专题 Subject 编辑徐航
新版信息安全管理体系的，
应用与实践 →文／李辉刘玉节
【摘要】ISO/IEC27001:2013标准使用了新的ISO标准架构，如何应用新的方法对组织来说是一个新的挑战。本文以深圳出入境检验检疫局的信息安全管理体系项目为例，试图解决此类挑战，并最终取得良好的效果。
[关键词】信息安全信息安全管理体系ISO/IEC27001
一、前言
组织以ISO/IEC27001标准为指引建立信息安全管理体系(ISMS）并通过认证，可以极大地促进信息安全以及信息化建设的健康发展。新版ISO/IEC27001标准应用了ISO/IEC导则第一部分的 ISO补充部分附录SL中定义的高层结构、同一子条款标题、同一文本、通用术语和核心定义，因此保持了与其他采用附录SL的管理体系标准的兼容性。新版ISO/IEC 27001标准中对于信息安全风险管理要求与ISO31000:2009（风险管理-原则和指引）保持一致，具备管理体系更容易整合、融入组织面临更新挑战以及更多指引延伸参考等新特点，从而能通过应用风险管理过程保持信息的保密性、完整性和可用性，使风险得到更充分的管理。
二、项目背景
随着信息技术的高速发展，检验检疫业务已和信息化应用紧密地结合起来，深圳出入境检验检疫局
68」《质量与认证》2015·9
的网络与业务应用系统规模日益庞大且结构复杂，因此也面临许多信息安全问题，产生这些问题的原因既有技术方面的漏洞，也有管理方面的不足。检验检疫信总化工作种类多样、结构繁杂，工作中所涉及到的网络系统、业务应用系统以及相关的设备、终端、数据等规模都非常庞大，在各类信息化工作中起着十分重要的作用，一旦出现信息安全方面的问题，将直接影响检验检疫业务的正常运行，给社会造成不同程度的损失，
深圳局信息中心在充分考虑
提升自身业务服务能力，管理上新台阶的指导思想下，提出按照 ISO/IEC27001：2013新版标准要求建设信息安全管理体系，信息中心认为，只有信息安全技术和管理并重，在宏观层次上实施良好的信息安全管理，才能使微观层次上的技术安全措施实现其恰当的作用，从而在宏观和微观、技术和管理全方面控制安全风
险，提升安全保障。
三、项目建设过程
深圳检验检疫局信息中心从 2014年5月开始着手建立信息安全管理体系项目，确定需求分析，7 月正式启动该项目。
1.现状调研
开展现状调研工作，评估信息中心信息安全状况与标准之间的差距。根据新版本标准的要求，系统地分析信息中心的相关环境和利益相关方的信总安全需求。经过调研，项目组发现在ISO/IEC 27001:2013定义的14个领域中，深圳局信息中心相对较弱的领域有：访问控制、密码学、供应关系、信息安全事件管理、信息安全方面的业务连续性、符合性等方面，见图1。
2.确认方针、目标
收集信息中心组织架构、职责及现有的制度流程等相关资料，明确了ISMS的实施范围。在结合信息中心的环境和利益相关方的分析结果，使用COBIT5（国际通用的信息系统审计标准）框架中的目标