本文依據信息安全的特性和管理的方法提出一個新的ISO27001信息安全管理模型，如下圖所 示。該模型由信(xin)(xin)(xin)(xin)息(xi)(xi)安(an)(an)(an)(an)(an)全(quan)(quan)策略、安(an)(an)(an)(an)(an)全(quan)(quan)保(bao)護措施、檢測、補救(jiu)組(zu)成的一個(ge)循(xun)環鏈(lian)和信(xin)(xin)(xin)(xin)息(xi)(xi)安(an)(an)(an)(an)(an)全(quan)(quan)管理(li)中(zhong)心(xin)(xin)(xin)兩部分組(zu)成，其中(zhong)信(xin)(xin)(xin)(xin)息(xi)(xi)安(an)(an)(an)(an)(an)全(quan)(quan)管理(li)中(zhong)心(xin)(xin)(xin)是(shi)整(zheng)個(ge)系統的核(he)心(xin)(xin)(xin)。循(xun)環鏈(lian)中(zhong)的 每一個(ge)環節都要(yao)定期地與(yu)信(xin)(xin)(xin)(xin)息(xi)(xi)安(an)(an)(an)(an)(an)全(quan)(quan)管理(li)中(zhong)心(xin)(xin)(xin)進行安(an)(an)(an)(an)(an)全(quan)(quan)信(xin)(xin)(xin)(xin)息(xi)(xi)交互，當信(xin)(xin)(xin)(xin)息(xi)(xi)安(an)(an)(an)(an)(an)全(quan)(quan)管理(li)中(zhong)心(xin)(xin)(xin)認為有(you)必(bi)要(yao)對(dui)組(zu)織的安(an)(an)(an)(an)(an)全(quan)(quan)目(mu)標進行修改時(shi)，要(yao)向高層(ceng)管理(li)匯報。高層(ceng)管理(li)再對(dui)安(an)(an)(an)(an)(an) 全(quan)(quan)目(mu)標進行最終的定奪(duo)。

　　信息安全(quan)管理模(mo)型

　　新的信息安全管理(li)模(mo)型(xing)的具體實施過程如下：

　　(1)組(zu)織根據商業(ye)運(yun)作(zuo)流程將其信(xin)息系統劃(hua)分成不同的安(an)全域(yu)。然后，組(zu)織運(yun)用定性與定量相(xiang)結合(he)的綜(zong)合(he)評估(gu)(gu)方法對所有(you)的安(an)全域(yu)進行信(xin)息安(an)全風險分析與評估(gu)(gu)，并將評估(gu)(gu)結果文(wen)檔(dang)化。最后，組(zu)織依據信(xin)息安(an)全風險評估(gu)(gu)結果建立基于ART2神經網(wang)絡的動態風險管(guan)理系統。

　　(2)組(zu)織根據風險分析與評估的(de)結(jie)果、安(an)全(quan)目標、商業目標制定最優的(de)信(xin)(xin)息安(an)全(quan)策(ce)略，并把信(xin)(xin)息安(an)全(quan)策(ce)略存(cun)儲到知識庫(ku)中，建立基(ji)于知識庫(ku)的(de)信(xin)(xin)息安(an)全(quan)策(ce)略管理系統。

　　(3) 組(zu)織根(gen)據信息(xi)(xi)安(an)(an)(an)全策略選擇(ze)并實(shi)施(shi)安(an)(an)(an)全保(bao)(bao)護措施(shi)。隨著安(an)(an)(an)全技術和安(an)(an)(an)全產品的(de)改(gai)進(jin)，這些(xie)安(an)(an)(an)全保(bao)(bao)護措施(shi)也要(yao)(yao)不定(ding)期地更換。但更換后的(de)保(bao)(bao)護措施(shi)仍然要(yao)(yao)遵循相(xiang)應的(de)信 息(xi)(xi)安(an)(an)(an)全策略。同時組(zu)織還要(yao)(yao)對其(qi)職員進(jin)行(xing)安(an)(an)(an)全教育與培訓(xun)，并根(gen)據職員的(de)不同角色為其(qi)制定(ding)不同的(de)安(an)(an)(an)全職責。每個(ge)職員都要(yao)(yao)制定(ding)一份個(ge)人年度(du)信息(xi)(xi)安(an)(an)(an)全計(ji)劃，并按照 計(ji)劃進(jin)行(xing)工(gong)作，年底時要(yao)(yao)對安(an)(an)(an)全計(ji)劃的(de)執行(xing)情況進(jin)行(xing)檢查。

　　(4)對信息(xi)(xi)系(xi)統(tong)進行安(an)全保護以后并不(bu)能完全消除信息(xi)(xi)安(an)全風(feng)險，所以要定期地監(jian)控(kong)整個信息(xi)(xi)系(xi)統(tong)以發現不(bu)正常的(de)活動。組織可以建(jian)立基于 Agent 的(de)信息(xi)(xi)安(an)全監(jian)控(kong)系(xi)統(tong)，實現對信息(xi)(xi)系(xi)統(tong)的(de)實時監(jian)控(kong)。

　　(5)當信(xin)(xin)息系統(tong)被入侵成功并遭(zao)到破壞后，組(zu)(zu)織可(ke)以采取相應的(de)補(bu)救措施，使得組(zu)(zu)織的(de)商業過程可(ke)以正(zheng)常進行(xing)，并重新(xin)進行(xing)風險分析與評估，增加或 更改原有的(de)信(xin)(xin)息安(an)全保護(hu)措施。在信(xin)(xin)息系統(tong)正(zheng)常運行(xing)時，組(zu)(zu)織就要定期(qi)地對系統(tong)進行(xing)備份。

　　(6) 信(xin)(xin)(xin)(xin)(xin)息(xi)安(an)(an)全(quan)(quan)管(guan)理(li)中(zhong)心(xin)是(shi)組織必(bi)須成立的(de)一個(ge)(ge)(ge)安(an)(an)全(quan)(quan)管(guan)理(li)部門，負責實施(shi)和監控整(zheng)個(ge)(ge)(ge)信(xin)(xin)(xin)(xin)(xin)息(xi)安(an)(an)全(quan)(quan)管(guan)理(li)體系(xi)。信(xin)(xin)(xin)(xin)(xin)息(xi)安(an)(an)全(quan)(quan)管(guan)理(li)模型中(zhong)的(de)每一個(ge)(ge)(ge)環(huan)(huan)節都必(bi)須與信(xin)(xin)(xin)(xin)(xin)息(xi)安(an)(an)全(quan)(quan)管(guan)理(li)中(zhong)心(xin)進(jin)(jin)行(xing)(xing) 信(xin)(xin)(xin)(xin)(xin)息(xi)交互。當某(mou)一個(ge)(ge)(ge)環(huan)(huan)節發現新的(de)安(an)(an)全(quan)(quan)需求時，便立刻向(xiang)信(xin)(xin)(xin)(xin)(xin)息(xi)安(an)(an)全(quan)(quan)管(guan)理(li)中(zhong)心(xin)匯(hui)報。信(xin)(xin)(xin)(xin)(xin)息(xi)安(an)(an)全(quan)(quan)管(guan)理(li)中(zhong)心(xin)在(zai)分析其它三個(ge)(ge)(ge)環(huan)(huan)節的(de)運(yun)作(zuo)情況(kuang)的(de)基(ji)礎上(shang)，對整(zheng)個(ge)(ge)(ge)信(xin)(xin)(xin)(xin)(xin)息(xi)安(an)(an)全(quan)(quan)系(xi)統 各個(ge)(ge)(ge)環(huan)(huan)節進(jin)(jin)行(xing)(xing)調整(zheng)，并(bing)在(zai)必(bi)要時與高(gao)層(ceng)管(guan)理(li)進(jin)(jin)行(xing)(xing)信(xin)(xin)(xin)(xin)(xin)息(xi)交互，決定(ding)是(shi)否有(you)必(bi)要對組織機構(gou)的(de)信(xin)(xin)(xin)(xin)(xin)息(xi)安(an)(an)全(quan)(quan)目標進(jin)(jin)行(xing)(xing)調整(zheng)。最高(gao)管(guan)理(li)層(ceng)則通過信(xin)(xin)(xin)(xin)(xin)息(xi)安(an)(an)全(quan)(quan)管(guan)理(li)中(zhong)心(xin)全(quan)(quan)面準確(que)地掌 握系(xi)統的(de)安(an)(an)全(quan)(quan)狀況(kuang)。

　　信(xin)(xin)息(xi)安(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理(li)中心(xin)還(huan)具有評價信(xin)(xin)息(xi)安(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理(li)體(ti)系(xi)運作情況的功(gong) 能。在(zai)實施信(xin)(xin)息(xi)安(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理(li)的過(guo)程中，人(ren)(ren)是一個很(hen)重要的因(yin)素。如(ru)果組織機構中的人(ren)(ren)員對(dui)安(an)(an)(an)全(quan)(quan)(quan)方(fang)針(zhen)、安(an)(an)(an)全(quan)(quan)(quan)制度(du)(du)和安(an)(an)(an)全(quan)(quan)(quan)措施不滿意，信(xin)(xin)息(xi)安(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理(li)體(ti)系(xi)就很(hen)難達到它預期 的目(mu)標。所以，信(xin)(xin)息(xi)安(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理(li)中心(xin)會利用(yong)問題表對(dui)安(an)(an)(an)全(quan)(quan)(quan)方(fang)針(zhen)、安(an)(an)(an)全(quan)(quan)(quan)制度(du)(du)和安(an)(an)(an)全(quan)(quan)(quan)措施的實施結(jie)果進行調查，并分析這些安(an)(an)(an)全(quan)(quan)(quan)舉措對(dui)組織機構的影(ying)響，然后(hou)提出相應的改 進方(fang)案。

　　該模型體現(xian)了以(yi)下信息安全管理原則：

　　信息安(an)全(quan)(quan)策略的制定和安(an)全(quan)(quan)保護措施的選擇建立在(zai)風(feng)險(xian)評估的基礎上;

　　考(kao)慮安全控制費用與(yu)風險(xian)平衡的原則，將風險(xian)降至組織可以接受的水(shui)平;

　　預防控制(zhi)為(wei)主(zhu)的思想(xiang)原則(ze);

　　商務(wu)(wu)持(chi)續性原則，即(ji)從(cong)故障(zhang)與(yu)(yu)災(zai)難(nan)中恢復商務(wu)(wu)運作，減少故障(zhang)與(yu)(yu)災(zai)難(nan)對關(guan)鍵商務(wu)(wu)過程的(de)影響(xiang);

　　動態管理(li)原則，即對風險(xian)實施動態管理(li);

　　全員參與的原(yuan)則。

　　與原有(you)的(de)信息(xi)安(an)全管(guan)理模型(xing)相比(bi)，新的(de)信息(xi)安(an)全管(guan)理模型(xing)具有(you)如下(xia)優點：

　　充(chong)分體現了(le)對信(xin)息安全的(de)管理，而且有一(yi)個專門的(de)信(xin)息安全管理中心用于(yu)對組織的(de)信(xin)息安全進行協調和規劃。

　　具有動態性(xing)，能及時適(shi)應信息環境和信息技術的變化，并(bing)對信息安全策略和安全保護措施進行改善(shan)。

　　可(ke)行性高，對組織的規模、資金沒有具體的要求(qiu)。任(ren)何組織都(dou)可(ke)以在其(qi)內部(bu)實施該信息安(an)全(quan)管理(li)模型(xing)，以實現其(qi)安(an)全(quan)目標。

　　模(mo)型中(zhong)的(de)四(si)個模(mo)塊之間連接緊密(mi)，循(xun)環(huan)性好，信息(xi)流(liu)動也快。通過四(si)個模(mo)塊的(de)循(xun)環(huan)和信息(xi)安全管(guan)理(li)中(zhong)心(xin)的(de)管(guan)理(li)，組織的(de)信息(xi)系統的(de)安全性可以不(bu)斷地得到提(ti)高。

　　總(zong)之，該(gai)新的(de)信(xin)(xin)息安全(quan)管(guan)(guan)理(li)模型在綜(zong)合運用現有的(de)信(xin)(xin)息安全(quan)管(guan)(guan)理(li)標準、管(guan)(guan)理(li)方(fang)法(fa)、安全(quan)技術(shu)的(de)基礎(chu)上克服了以往信(xin)(xin)息安全(quan)管(guan)(guan)理(li)模型的(de)缺點，實(shi)現了信(xin)(xin)息的(de)保(bao)密性、完整性、可用性。