电子商务环境下基于IS027001的企业信息安全管理体系研究［摘要］文章分析了电子商务环境下企业信息安全管理所面临的问题，借鉴IS027001标准基于风险管理的思想，为企业设计了一套系统化、程序化和文件化的信息安全管理体系(ISMS),以期为企业信息安全实践指明方向，为安全控制措施的有效落实打下坚实的基础。［关键词］电子商务；IS027002；信息安全管理体系；风险管理［中图分类号JG202［文献标识码］A［文章编号］1008-0821(2011)02-0052-04随着信息技术的不断发展和互联网的普及，电子商务已经成为21世纪世界经济的主流商务模式。电子商务的推行使得企业的竞争逐步建立在信息能力上，信息已成为企业保持竞争力和业务持续运营的重要资产，必须得到妥善的保护。然而，随着信息技术的高速发展，许多信息安全的问题也纷纷涌现：系统瘫痪、病毒感染、黑客入侵、信息失真、数据丢失、客户资料的流失及公司内部资料的泄露等等，这些都将给企业带来严重的影响，可以说信息安全问题所带来的损失远大于交易的账面损失。据权威统计结果表明，企业信息受到的损失中，60%是由于内部员工的疏忽或者有意泄密造成的。所以，信息安全不仅仅是一个技术问题，在很大程度上已经表现为管理的问题，能不能对网络和企业实现有效的管理与控制是信息安全的根本问题之一。但是长久以来，信息安全却一直被人们视为单纯的技术问题，归于信息技术部门的独立处理，所以，企业迫切需要一套符合国际标准的信息安全管理体系来保障企业信息的安全。本文针对电子商务环境下企业所面临的信息安全问题，利用国际先进的信息安全管理标准，将其应用于企业信息安全管理的实践中，可以有效的提高企业信息安全水平，保障企业的业务持续运行，提高企业的核心竞争力。1.信息安全管理标准信息安全是依靠信息安全措施来保证的，安全措施则需要适当的安全标准来指导和管理。目前国际上公认的信息安全管理方面的标准有ISO/IEC27001、CoBiT、sysTrust、COSO等，这些标准从不同的角度给企业的实践提供了安全控制目标。其中ISO/IEC27001是国际信息安全管理领域的重要标准，它来源于英国标准协会(BritishStandardsInsti-tute,BSI)于1995年2月制定的信息安全管理标准BS7799OBS7799是应用最为广泛的信息安全管理标准，至2005年全部被国际标准化组织吸纳，形成了ISO/IEC27001：2005《信息技术安全技术信息安全管理体系要求》和ISO/IEC27002：2005《信息技术安全技术信息安全管理实施细则》两个国际标准。ISO/IEC27001信息安全管理体系由两部分构成。第一部分是信息安全管理体系的实施指南，提供了一套综合的由信息安全最佳惯例组成的实施规则，主要内容包括11个安全类别、39个控制目标、233项控制措施。第二部分是信息安全管理体系规范，详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应遵循的风险评估标准。本文将IS027001标准基于风险管理的思想应用于企业信息安全管理的实践中，构建一套全面完整的信息安全管理体系(InformadonsecurityManagementSystem,ISMS),从而有效控制信息系统的风险，确保在组织中建立充分和恰当的安全控制措施，通过有效的风险控制措施来保护组织的信息资产，增强包括客户在内的利益相关方的信心，提高组织的声誉。2.电子商务环境下企业信息安全管理问题电子商务的发展为企业带来快捷、方便和利益，但同时也使得企业在信息安全管理中面临着更多、更严峻的问题,主要表现在以下几个方面：2.1重技术，轻管理多数电子商务企业，不管是在早期的加密技术、数据备份、防病毒，还是近期网络环境下的防火墙、入侵检测、身份认证、支付交易等安全技术上都作了大量投资，而对管理的重视却一直不够。具体表现在，机房重地可以随意进出，计算机或工作站管理人员在开机状态下擅离岗位，重要或敏感信息临时存放在本地的磁盘上，这都会导致信息处于未保护状态，都会为外部入侵和内部破坏埋下隐患。2.2信息安全风险评估标准体系还有待完善信息安全的需求难以确定，要保护的对象和边界难以确定，缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。2.3企业对员工变动不够重视网络的...