1背景介绍

（1）什么是ISO27001

与ISO9000标准类似，ISO27001：2005也是一种国际标准。ISO27001主要关注企业和组织的信息安全，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。

（2）ISMS和ISO27001关系

ISMS（Information Security Management System）是信息安全管理系统英文缩写，是依据ISO27001所规定11个控制域、133个控制点所制定的信息安全管理文档体系。

ISMS文档体系可以根据不同企业、组织的业务模式和IT基础不同而有所不同。

（3）运营商为什么要进行ISMS体系建设

开展ISMS体系建设，可以在以下几个方面提升运营商的核心竞争力：

a)实现IT系统运维流程化、制度化、标准化；

b)有效开展IT系统安全运维KPI考核，提升IT系统安全运维水平；

c)减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失；

d)强化员工的信息安全意识，规范组织信息安全行为；

e)在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；

f)保护企业的知识产权、商标、竞争优势；

g)维护企业的声誉、品牌和客户信任。

2 建设内容

2.1 ISMS文档体系

ISMS安全体系建设严格按照ISO27001：2005标准所规定的11个安全域的控制项和控制点进行。其中11个安全域包括：安全策略、信息安全组织、资产管理、人员安全、物理和环境安全、通信和操作管理、访问控制、信息获取开发和维护、信息安全事故管理、业务可持续性、符合性。

ISMS安全体系文档总共由三个层次构成：

（1）一级文件：信息安全管理手册

依据ISO/IEC27001:2005《信息安全管理体系要求》，结合企业自身的具体情况编写而成。在信息安全管理手册中将阐明组织的信息安全目标和方针，对信息安全管理体系做出概括性叙述，是组织对外实施信息安全保证、对内进行信息安全管理的纲领性文件。信息安全管理手册所采用的条款与ISO/IEC27001:2005《信息安全管理体系要求》中的条款编写一致，并结合组织的特点编写了程序文件和记录文件，形成了信息安全管理标准，使信息安全管理体系有章可循、有法可依。

（2）二级文件：程序及策略文件

程序及策略文件是针对信息安全各方面工作的，是对信息安全方针和策略内容的进一步落实，描述了某项信息安全任务具体的操作步骤和方法，是对标准中各个安全领域内工作的细化。主要包括资产管理、人员安全、信息设备管理程序、内部审核程序、外包服务管理程序、业务持续性、符合性等文件。

（3）三级文件：记录文件

记录文件是实施各项信息安全程序的记录成果，通常表现为记录表格，是ISMS得以持续运行的有力证据，由各个相关部门自行维护。

2.2 ISMS支持系统

为了更好宣贯、落实已经制定的ISMS文档体系，需要建立与之配套的IT支持系统。主要包括：ISMS管理系统、机房和敏感区域出入管理系统。

（1）ISMS管理系统

可以通过在现有OA系统上增加一个版块，形成ISMS管理体系模块。该功能模块主要解决ISMS文档体系的版本管理、统一发布、分发反馈控制、文档发布反馈、文档作废声明等。

（2）机房和敏感区域出入管理系统

将ISMS文档体系中关于机房出入管理的流程，采用OA电子工单方式实现申请、审批、开通权限的电子管理流程。

3建设成效

通过ISMS信息安全体系建设，主要达到以下几个效果：

（1）建立完整的信息安全管理体系

实现标准化（ISO/IEC27001：2005）、业界最佳实践的结合；

完善安全管理组织机构、人员岗位职责；

完善各种技术规范、操作手册等文档；

建立、健全信息安全事件上报机制和应急预案；

明确各个岗位人员的关于安全事故的奖惩责任制。

（2）安全工作开展有条不紊

安全责任、目标明确；

实现IT安全运维标准化、制度化管理。

（3）部分日常运维工作实现IT流程化

机房、敏感数据区域的出入流程融入OA的工单系统；

强制从OA的工单系统走申请、审批、复核等流程；

任何操作都留下“蛛丝马迹”，便于审计；

安全运维水平体现方式由模糊变为数字化、指标化。

（4）建立信息安全门户网站

统一发布、管理ISMS文档体系；

集中展现公司信息安全治理水平，各个部门安全考核得分；

常见安全问题Q&A；

安全工具集锦。

（5）持续提升安全水平

建立安全管理持续提升机制；

定期进行安全回顾；

目标调整，管理、技术两方面改进。

（6）为27001做准备

可以为今后通过ISO/IEC27001做准备。

放眼电信市场，各大运营商的转型创新如火如荼。IT与电信迅速融为一体成为ICT，而IT为传统通信产业注入无限活力的同时，也引发了大量安全问题，能否解决这些安全问题，成为运营商与竞争对手拉开差距的关键，并已成为新的业务增长点。在此背景下，各大运营商需要建立完善的信息安全管理体系（ISMS），通过国际权威机构的安全，并不断巩固完善，旨在赢得国内外客户的信任与国际资本市场的青睐，为企业的持续健康发展保驾护航。