【我要印】讯：对一个企业或实体而言，信息是具有重要价值并且可以通过多种媒体传递和存在的一种资源。当今社会无疑已发展成一个信息社会收购，我们会因为信息的发达更快更准确地做出决策，而企业的很多有用信息也会很快成为竞争对手利用的资源，甚至还可能对企业自身产生威胁。同时，随着企业以计算机为主体的信息化建设的推进，企业对信息管理体系的依赖性非常大厂商信息，而信息化体系本身的安全性却受到来自多方面的影响和威胁，因此，企业有价值的信息已成为一种不容忽视的资产，应当对它的安全状态进行有效管理。

　　伴随着市场竞争的日益激烈，印刷企业纷纷借助国际标准完善管理，同时借此顺利迈过招标项目的门槛。据不完全统计报纸印刷，超过半数的大型印刷企业通过了ISO9001质量管理体系认证，还有很多企业通过了ISO14001环境管理体系认证和OHSAS18000职业健康安全管理体系认证。而在信息安全管理方面，随着近年来相关标准迅速被全球所认可和接受，印刷企业也找到了一个解决信息安全风险难题的有效方法。

　　ISO/IEC27001信息安全管理体系的有关要求

　　ISO/IEC27001系列标准包含下列标准：ISO/IEC27001（信息技术 安全技术 信息安全管理体系-要求），ISO/IEC27002（信息技术 安全技术 信息安全管理实用规则）印后设备，ISO/IEC27003（信息安全管理体系实施指南），ISO/IEC27004（信息安全管理-测量），ISO/IEC27005（信息安全风险管理），ISO/IEC27006（信息安全管理体系审核认证机构要求）。目前正式发布的有3个，即ISO/IEC27001、ISO/IEC27002、ISO/IEC27006。

　　ISO/IEC27000系列标准为我们提供了指导性建议德鲁巴，即基于PDCA（规划-执行-控制-改进）模型的持续改进的过程模式。根据标准中提出的最佳实践方法，可以形成一套动态、系统、制度化和以预防为主的信息安全管理体系（Information Security Management System, 简称为ISMS）。ISMS是管理体系方法在信息安全领域中的运用，它可以从组织整体的角度来识别安全风险，通过采取相应的安全控制措施（既包括安全技术措施，也包括安全管理措施）EFI，实现综合防范、保障信息安全的目标。

　　国家标准GB/T22081-2008《信息技术 安全技术 信息安全管理体系 要求》和国家标准GB/T22081-2008《信息技术 安全技术 信息安全管理实用规则》于2008年6月19日正式发布，并于2008年11月1日起实施。它们等同采用了国际标准ISO/IEC27001∶2005和ISO/IEC27002∶2005，为国内组织建立信息安全管理体系（ISMS）和认证机构从事ISMS认证提供了一致的标准依据。

　　国家标准GB/T22081-2008《信息技术 安全技术 安全技术 信息安全管理体系 要求》是建立和维持信息安全管理体系的标准。它要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系。

　　信息安全即信息的保密性、完整性、可用性以及其他属性的保持和维护。保密性指保证信息仅为那些被授权使用的人获取；完整性指保护信息及其处理方法的准确和完整；可用性是指保证被授权使用人需要时可以获取信息和使用相关的资产；其他属性包括真实性、可检查性、可靠性、防抵赖性等。而信息的范畴不仅涵盖了企业自身的所有信息，也包括客户、相关方由于业务关系而由企业来保存、使用和管理的信息。

　　信息安全管理体系的建立可以强化员工的信息安全意识，提高企业对关键信息资产的防护能力；在信息系统受到侵袭时胶片，确保业务持续开展，并将损失降到最低程度；企业较高的信息安全管理会使业务伙伴和客户放心合作。特别是对于安全印务公司，“安全”是整个业务的关键点，是与其他印刷活动的本质区别，尤其是对于安全属性中的“保密性”应高度重视。企业从接单开始食品包装，到生产作业，到交付至客户，每一个环节都必须保障业务信息和客户信息以及产品的安全保密，因此，建立完备的信息安全管理体系是开展安全印务的基本前提。

　　 【点击查看更多精彩内容】

        相关新闻:
　　我国正式启动信息安全管理体系认可工作
　　柯尼卡美能达：信息安全 2008致胜之道
　　中国信息安全产品防伪测评中心在上海成立

　

　　一、信息资产的分类

　　信息资产一般分为一下几大类

　　1.软件：应用软件（如数据库软件、操作系统软件、硬件驱动程序、开发工具、软件防火墙等。

　　2.硬件：主机、交换机、路由器、备份份存储设备、备份磁带、移动计算设备（移动硬盘/U盘/光盘）、硬件防火墙、网络布线等。

　　3.电子数据：源代码、数据库数据各种数据资料、系统文档、运行管理规程、计划、报告等。

　　4.实体信息:纸质的各种文件、合同、传真、财务报告、发展计划、证书UV印刷，以及各类其他材质的证书奖牌等。

　　5.办公设施:打印机、复印机、电源、空调、保险柜、文件柜、门禁、消防设施、照明系统等。

　　6.人员：各级管理人员、安全人员、网管员、系统管理员、业务操作人员，第三方人员，临时雇佣人员等。

　　二、信息资产的等级和重要度

　　信息资产的重要程度一般分为三个等级，即高、中、低。其划定和判断的标准为以下内容。

　　高：对这些资产的安全属性的影响将对公司造成灾难性的损失，通常其直接或间接的影响范围波及到整个公司。如网络服务器硬件及操作系统，安全印务重要产品的胶片、票样印刷市场，废品，工艺流程卡，产品数据库等。

　　中：对这些资产的安全属性的影响将对公司造成较严重的损失，通常其影响范围波及到公司的局部。如电脑客户端中的客户信息、产品信息，重要人员的台式电脑、施工单、移动介质等。

　　低：对这些资产的安全属性的影响将对公司造成一定的损失油墨，通常其影响范围仅波及到公司的很少部门。如不联外网的普通客户端、复印机、打印机等。

　　三、信息资产的识别和风险评估

　　对信息资产的风险评估是对其进行管理的重要基础。风险评估前应先对信息资产进行识别，并形成资产清单，然后对这些资产进行风险分析和评价，使用适当的风险评估工具，识别信息和信息处理设施的威胁、影响和脆弱点及其安全失效发生的可能性地图印刷，由此评估和确认安全风险大小及等级，形成风险评估报告。风险评估报告应区别和判断可接受的风险和不可接受的风险。食品包装

　　能否准确、正确地对信息资产进行识别、评估是信息安全管理的重要基础，它为信息安全管理的后续工作提供方向和依据，因为后续工作的优先等级和关注程度都是由信息安全风险决定的，而且安全控制措施的效果也必须通过对剩余风险的评估来衡量。

　　四、信息资产的风险处置

　　通过风险评估识别出信息资产的风险大小后，即应通过制定信息安全方针，选择适当的控制目标与控制方式使风险得到避免、转移或降至一个可被接受的水平。风险等级高的，一定要采取有针对性的计划措施。风险等级为中的，应当有纠正行动，必须在一个合理的时间段内制定有关计划来实施这些行动。风险等级低的人物，管理层可以根据具体情况确定是否需要采取纠正行动，或者接受风险。根据风险评估报告，针对不可接受的风险，从ISO/IEC 27001∶2005标准附录A中选择适当的控制目标和控制措施，制定风险处理计划。

　　五、控制目标和控制措施

　　ISO/IEC27001∶2005标准附录A中列出的控制目标与控制措施直接引用了ISO/IEC27002∶2005第5章到15章上海电气，它已包含了广泛通用的控制目标和控制措施列表，具体为，A.5安全策略；A.6信息安全组织；A.7资产管理；A.8人力资源安全；A.9物理与环境安全；A.10通讯及操作管理；A.11访问控制；A.12信息系统的获取、开发和维护；A.13信息安全事故管理；A.14业务连续性管理；A.15符合性。其中每一章都有明确的控制目标，并细分为133小项，提出了控制措施。企业应按照133项控制项目和控制措施实施管理EFI，使各项措施都处于有效控制状态。

　　六、适用性声明（SOA文件）

　　适应性声明ISO/IEC27001∶2005中的重要概念和重要文件，是企业对经过风险评估和风险处置过程所识别的适用于自己的控制目标和控制措施的评述，相当于一个控制目标与控制方式清单，其中应阐述选择和不选择的理由，并标明涉及的文件科雷，企业编写SOA文件时应直接选择但不限于附录A的全部列表内容。例如A.7.1.1资产清单，对应的控制措施为“应清楚识别所有的资产，编制并保持所有重要资产清单”，对应该项要求，必须选用并列出资产清单；再如A.10.9.1电子商务标签，一般印刷企业不使用电子商务，此项就可不必选用。

　　七、ISO/IEC27001∶2005与其他管理体系的兼容性

　　ISO/IEC27001∶2005附录C列示了几个体系要求的对应关系，从中可以看出，ISO/IEC27001∶2005与ISO9001∶2000质量管理体系、ISO14001∶2004环境管理体系是协调一致的，它们相互支持人民币，并可进行整合实施和运行。

　　本文并未阐述建立一个信息安全管理体系的过程，而是介绍了信息安全管理中的一些关键概念和关键要求。只有明确了这些关键概念和要求，才可以科学、主动地建立ISMS，系统、有效地保护企业信息资产的安全。特别要说明的是，信息安全管理对于印刷企业是比较新的概念测评，实践经验也比较少，因此本文难免会有一些纰漏，敬请指正。