病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡(luò)欺詐、重要信息資料丟失以及利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的各種犯罪行為，人們已不再陌生，并且這樣的事件好像經(jīng)常在我們身邊發(fā)生。

　　隨著科技的進(jìn)步，信息化的發(fā)展，信息安全的作用日益重要。企業(yè)面臨著信息技術(shù)發(fā)展和信息安全的雙重巨大壓力，迫切需要加強(qiáng)信息系統(tǒng)的安全管理，采用業(yè)界通用標(biāo)準(zhǔn)，建設(shè)符合自身發(fā)展需要的信息安全管理體系。

    長(zhǎng)久以來(lái)，很多人自覺(jué)不自覺(jué)地都會(huì)陷入技術(shù)決定一切的誤區(qū)當(dāng)中，尤其是那些從事信息系統(tǒng)集成業(yè)務(wù)的人員和企業(yè)。最早的時(shí)候，人們把信息安全的希望寄托在加密技術(shù)上面，認(rèn)為一經(jīng)加密，什么安全問(wèn)題都可以解決。

　　隨著互連網(wǎng)絡(luò)的發(fā)展，一段時(shí)期我們又常聽(tīng) 到"防火墻決定一切"的論調(diào)。及至更多安全問(wèn)題的涌現(xiàn)，入侵檢測(cè)、PKI、VPN  等新的技術(shù)應(yīng)用被接二連三地提了出來(lái)，但無(wú)論怎么變化，還是離不開(kāi)技術(shù)統(tǒng)領(lǐng)信息安全的路子?？蛇@樣的思路能夠真正解決安全問(wèn)題嗎？也許可以解決一部分，但卻解決不了根本。

　　實(shí)際上，對(duì)安全技術(shù)和產(chǎn)品的選擇運(yùn)用，這只是信息安全實(shí)踐活動(dòng)中的一部分，只是實(shí)現(xiàn)安全需求的手段而已。信息安全更廣泛的內(nèi)容，還包括制定完備的安全策略，通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)確定需求，根據(jù)需求選擇安全技術(shù)和產(chǎn)品，并按照既定的安全策略和流程規(guī)范來(lái)實(shí)施、維護(hù)和審查安全控制措施。歸根到底，信息安全并不是技術(shù)過(guò)程，而是管理過(guò)程。

    信息系統(tǒng)集成從業(yè)企業(yè)之所以有這樣的認(rèn)識(shí)誤區(qū)，原因是多方面的，從安全產(chǎn)品提供商的角度來(lái)看，既然側(cè)重在于產(chǎn)品銷(xiāo)售，自然從始至終向客戶灌輸?shù)亩际且约夹g(shù)和產(chǎn)品為核心的理念。而從客戶角度來(lái)看，只有產(chǎn)品是有形的，是看得見(jiàn)摸得著的，對(duì)決策投資來(lái)說(shuō)，這是至關(guān)重要的一 點(diǎn)，而信息安全的其他方面，比如無(wú)形的管理過(guò)程，自然是遭致忽略。

    正是因?yàn)橛羞@樣的錯(cuò)誤認(rèn)識(shí)，我們就經(jīng)常看到：許多組織使用了防火墻、IDS、安全掃描等設(shè)備，但卻沒(méi)有制定一套以安全策略為核心的管理措施，致使安全技術(shù)和產(chǎn)品的運(yùn)用非?；靵y，不能做到長(zhǎng)期有效和更新。即使組織制定有安全策略，卻沒(méi)有通過(guò)有效的實(shí)施和監(jiān)督機(jī)制去執(zhí)行，使得策略空有其文，成了擺設(shè)而未見(jiàn)效果。

    實(shí)際上對(duì)待技術(shù)和管理的關(guān)系應(yīng)該有充分理性的認(rèn)識(shí)：技術(shù)是實(shí)現(xiàn)安全目標(biāo)的手段，管理是選擇、實(shí)施、使用、維護(hù)、審查包括技術(shù)措施在內(nèi)的安全手段的整個(gè)過(guò)程，是實(shí)現(xiàn)信息安全目標(biāo)的必由之路。

　　因此，對(duì)于從事信息系統(tǒng)集成的企業(yè)來(lái)說(shuō)，有了安全的信息網(wǎng)絡(luò)集成產(chǎn)品，還需要提升企業(yè)信息安全管理體系的建立，這也是構(gòu)建企業(yè)軟實(shí)力的重要標(biāo)志。

　　如果iso27001認(rèn)證順利通過(guò)，多年來(lái)高度重視企業(yè)和用戶信息安全，持續(xù)建設(shè)投入的必然成果。經(jīng)過(guò)此次信息安全管理體系認(rèn)證的系統(tǒng)全面梳理，強(qiáng)化了全員的信息安全意識(shí)，規(guī)范了組織信息安全行為。公司的信息安全管理水平達(dá)到一個(gè)新的高度，將為公司及客戶提供更堅(jiān)實(shí)的信息安全保障。

　　當(dāng)然，在信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域需要研究和解決的問(wèn)題還很多，主要包括的問(wèn)題如下：

（1）    ISO27001 僅僅提供了一些原則性的建議，如何將這些原則性建議與企業(yè)自身的工作實(shí)際情況相結(jié)合，在企業(yè)中實(shí)施符合自身狀況的信息安全管理體系，才是真正具有挑戰(zhàn)性的工作。

（2）　建立信息安全管理體系后。接下來(lái)，還需要按照生產(chǎn)流程的順序，分批分期實(shí)施信息安全管理體系，逐步在全公司范圍實(shí)現(xiàn)ISO27001認(rèn)證。

（3）　信息安全風(fēng)險(xiǎn)評(píng)估模型設(shè)計(jì)和實(shí)施過(guò)程中，建立完備和針對(duì)性能夠強(qiáng)的資產(chǎn)、威脅和脆弱性的知識(shí)庫(kù)有利于提高風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性和全面性，同時(shí)如何用程序來(lái)實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估的自動(dòng)化，盡量減少人工的重復(fù)性工作也是非常重要。