前言Preface

在5G和大數據時代，我們享受著大數據分析與信息飛速傳輸帶來精準、及時信息的同時，其所帶來的信息安全問題也開始成為企業的隱患——信息泄露、黑客襲擊、病毒傳播等問題層出不窮，信息安全已成為人們關注的焦點。

信息安全三分靠技術、七分靠管理。在當前的技術環境下，網絡攻擊變得越來越容易、代價也越來越小，而防御變得越來越困難、代價也越來越大。如同木桶的短板效應，企業整體的信息安全水平通常取決于最弱的一個環節，任何一個員工或管理上的疏漏，都會給企業安全帶來威脅，甚至造成損失。采取集中管理對保障企業信息安全是非常必要的。

我國一直非常重視信息安全工作，2002年就成立了“全國信息安全標準化技術委員會”，為加強信息安全標準化建設，制定和發布了一系列信息安全技術、管理等方面的標準。其中，《信息技術　安全技術　信息安全管理體系　要求》（GB/T 22080—2016）提供了建立、實現、維護和持續改進信息安全管理體系的具體要求。企業建立信息安全管理體系，對企業安全管理及發展具有重要意義：在體系的建立過程中，通過對標準文件、體系文件的宣傳，可提高企業管理者及員工的信息安全意識，從而提升企業信息安全管理的水平，增強企業防御信息安全事件的能力；對企業整體進行信息安全風險評估是建立體系的必需步驟，對高風險需要采取相應措施來降低風險，可提升企業對信息安全風險的管控能力，從而更加科學有效地進行信息安全管理；GB/T 22080—2016“使用翻譯法”等同于采用ISO/IEC 27001：2013（國際標準），在國際上已獲得廣泛認同，企業建立信息安全管理體系可為企業向國際化發展提供有力支撐。

目前，我國有很多企業尤其是IT行業的企業已經建立或正在籌備建立自己的信息安全管理體系。不同企業對于信息安全管理體系的建設需求也不盡相同：有些企業完全從零開始建設；有些企業已經建立了所謂的“信息安全管理體系”，但僅僅是制定一套制度規范，并未與企業的實際情況相結合，也就是尚未實現在企業“落地”，出現了“兩張皮”的情形，從而沒能使這些制度規范在企業的日常業務中發揮應有的約束和管控作用；有些企業已結合自身的業務特點建立了信息安全管理體系，但是隨著信息技術的發展和企業業務的變化，現有的體系已無法滿足企業日益變化的安全需求，有待進一步優化改進。企業應該如何建設適合自身實際情況和需求的信息安全管理體系，是目前亟待解決的問題。

本書闡述了企業建立信息安全管理體系的基本流程，在各階段可采用的方式、方法，以及形成的文件記錄等，并給出了詳細的實施案例。本書在實施案例中給出了體系文件中各級文件的范例（在文中采用仿宋字體），為企業進行風險評估提供了科學有效的方法，旨在為企業建立信息安全管理體系提供全方位的參考和借鑒。

企業信息安全管理體系的建設需要相關人員既懂技術又懂管理，但很少有企業設置專門的安全管理崗位來進行體系建設，常見的做法是從行政和技術部門抽調人員來共同進行這項工作，在體系建設前期，必須對這些人員進行必要的培訓。本書介紹了企業信息安全管理體系建設的方方面面，也可作為培訓參考資料。

本書由趙慶齡負責第一章的撰寫及全書的統稿工作，第二、第三、第四章由趙慶聰撰寫。由于時間倉促，書中謬誤之處在所難免，懇請廣大讀者批評指正。

作者

2021年1月于北京