電力信息安全管理體系應用及發(fā)展研究

圖5 ISO/IEC 27001架構調整圖

信息安全管理體系的這種變化，從管理體系層面來看，有利于與其他管理體系的兼容實施，并保障不同管理體系之間的協(xié)調一致。但就信息安全管理體系本身而言，其原有的標準架構直接規(guī)范了體系的建設流程，按PDCA四個階段明確了各流程的活動，比較有利于體系建設方應用該標準。而新架構劃分了更多的環(huán)節(jié)與控制，這種架構將影響到原有用戶對體系的認識，從邏輯性和條理性方面，都將需要一定時間的學習，因此會一定程度上增大體系建設的難度。

3.3 信息安全控制域的變化

新版本的ISO/IEC 27001不僅從架構上做了調整，從內容，尤其是信息安全控制方面，也做了相應調整。

原有標準將信息安全控制域劃分為11個方面：安全方針、信息安全組織、資產管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)和維護、信息安全事件管理、信息安全業(yè)務連續(xù)性管理、符合性。新標準將增加供應商關系管理、網絡應用服務管理兩個方面，控制域中的控制類也做了相應調整，例如將原來信息安全組織域中的對外部各方的管理，調整到新的供應商關系管理中。

體系在這方面的變化，也將影響到原有體系建設用戶，從整個文件體系的框架設計，到具體安全策略，可能都需要做相應的調整。

4 結束語

只要存在信息化應用，就會有信息安全問題。隨著組織信息化水平的不斷提高，其對信息化的依賴性也越來越強，因此信息安全也就成為組織信息化工作中非常重要的一環(huán)。信息安全管理體系作為實現(xiàn)組織信息安全的一種優(yōu)秀方法，已經得到了業(yè)界的認可。

本文從信息安全管理體系的特點出發(fā)，基于風險管理和持續(xù)改進的思想，從實踐出發(fā)，提出了行之有效的實施方法，此外，本文還跟蹤研究了信息安全管理體系的最新發(fā)展，介紹了信息安全管理體系在架構、內容等方面的重大變化，指出了這種變化對未來實施信息安全管理體系的影響。