隨著在世界范圍內(nèi)，信息化水平的不斷發(fā)展，信息安全逐漸成為人們關(guān)注的焦點(diǎn)，世界各地的相關(guān)機(jī)構(gòu)、組織、個(gè)人都在探尋如何保障信息安全的問題。英國(guó)、美國(guó)、挪威、瑞典、芬蘭、澳大利亞等國(guó)均制定了有關(guān)信息安全的本國(guó)標(biāo)準(zhǔn)。目前，在信息安全管理方面，ISO27001已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。企業(yè)遵循ISO27001信息安全管理體系進(jìn)行建設(shè)，可有效地保護(hù)企業(yè)信息系統(tǒng)安全，確保信息安全體系的持續(xù)發(fā)展。

　　企業(yè)信息安全是保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、利用和篡改，為企業(yè)員工提供安全、可信的服務(wù)，保證信息系統(tǒng)的可用性、完整性和保密性。主要包括兩方面的內(nèi)容：

　　企業(yè)安全管理類的評(píng)估

　　評(píng)估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個(gè)方面，包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)性管理。通過對(duì)企業(yè)的安全控制現(xiàn)狀與ISO27001的最佳實(shí)踐進(jìn)行對(duì)比，檢查企業(yè)在安全控制層面上存在的弱點(diǎn)，從而為改進(jìn)安全措施提供依據(jù)。

　　企業(yè)安全技術(shù)類評(píng)估

　　針對(duì)企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評(píng)估。關(guān)鍵應(yīng)用的評(píng)估方式采用滲透測(cè)試的方法，在應(yīng)用評(píng)估中將對(duì)應(yīng)用系統(tǒng)的威脅、弱點(diǎn)進(jìn)行識(shí)別，分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距，為后期改造提供依據(jù)。以ISO27001為核心，并借鑒國(guó)際常用的幾種評(píng)估模型的優(yōu)點(diǎn)，同時(shí)結(jié)合企業(yè)自身的特點(diǎn)，建立風(fēng)險(xiǎn)評(píng)估模型：在風(fēng)險(xiǎn)評(píng)估模型中，主要包含信息資產(chǎn)、弱點(diǎn)、威脅和風(fēng)險(xiǎn)四個(gè)要素。

　　根據(jù)業(yè)務(wù)需求建立業(yè)務(wù)模塊化：整體網(wǎng)絡(luò)建立模塊化的網(wǎng)絡(luò)結(jié)構(gòu)，各業(yè)務(wù)使用獨(dú)立的核心交換骨干網(wǎng)絡(luò)，將非關(guān)鍵業(yè)務(wù)區(qū)域與關(guān)鍵交易業(yè)務(wù)區(qū)域的交換網(wǎng)絡(luò)分離，避免關(guān)聯(lián)風(fēng)險(xiǎn)的影響，便于實(shí)施分級(jí)保護(hù)。同時(shí)建立層次化的網(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)風(fēng)險(xiǎn)級(jí)別區(qū)分不同的網(wǎng)絡(luò)層次，便于實(shí)施重點(diǎn)防護(hù)。

　　針對(duì)不同級(jí)別的WEB、APP、數(shù)據(jù)庫、存儲(chǔ)等邏輯區(qū)域，設(shè)計(jì)不同的安全防護(hù)級(jí)別，同時(shí)采用不同的安全設(shè)備進(jìn)行安全防護(hù)。