ISO27001内外部环境分析.docxVIP

ISO27001内外部环境分析

ISO27001是一种信息安全标准，定义了在设计、实施、监测和持续改进信息安全管理系统方面应采取的最佳实践。作为企业信息管理的基石，应用ISO27001已成为企业必不可少的信息安全控制手段，对于企业信息资产的安全保障和业务发展都具有非常重要的意义。

ISO27001标准分为两个部分：基础部分和扩展部分。其中的基础部分标准涵盖了企业内外部环境的详细分析，正确评估内外部环境的现状是建立一个安全信息管理系统中至关重要的一环。因此，本文将从内部和外部两个方面分别分析企业在ISO27001标准下实施信息安全管理系统中，如何开展内外部环境的详细分析。

一、内部环境分析

内部环境包括企业内部部门、业务流程、人员、设备等各种资源。评估企业内部现状旨在查明企业安全信息管理系统的优劣势和现有的风险，以便于确定适当的信息安全控制措施。下面将结合ISO27001标准内容，详细细分分析内部环境的各方面内容。

1、信息资产清单

在确定内部环境的数据资产一开始应该做的事情就是建立并维护正确的信息资产清单，包含各个部门各个项目所涉及的数据和资产，以及对于这些数据的处理方式。在建设信息安全管理体系的时候，系统管理员要确保这些清单具有本质的可靠性、准确性、可访问性和机密性。

2、信息风险评估

企业的信息风险评估是根据企业内部各种业务情况、业务需求、安全目标、业务资产各方面相关因素做出的全面分析。信息风险评估是将信息资产与可能的威胁相匹配，并确定对每个风险的影响程度，以确定所应采取的适当措施和措施的优先级，以最大程度地保护企业的信息资产。

3、信息资产管理

信息资产是信息安全的基础，对于各大企业而言，研究数据的风险是非常重要的。企业的信息资产管理是将所有的信息数据分门别类、标注，进行分类别、编目、存储、归档、备份等方面的管理，并对数据加以访问控制门槛，以防止数据泄露和非法修改等行为。

4、访问控制

对于企业内部的信息系统，在相当长的时间里面，都存在着相互不兼容、难以溯源的问题。但是，随着信息安全意识的提高和信息技术的不断成熟，数据解析、防护和发现的门槛逐渐降低，使得安全门槛也变得更加严格。访问控制代表了信息安全的最基本管理层面，谁能访问企业内部的信息系统，进入系统后能访问什么样的资源，这样的访问操作记录都应该通过安全日志、审计日志进行监控和备份，确保每一次访问均得到有效的保护。

5、人员安全审计

企业的信息安全是与人员直接相关的。人员可能会在多个方面影响到企业内部信息的安全。因此，企业需要实施人员安全审计，检查人员对信息的操作行为进行监控和备份，通过监测人员的访问行为并对需要的人员进行权限调整的方式，确保人员操作的合法性和数据的机密性。

二、外部环境分析

外部环境指的是企业之外的各种因素，包括了法律法规、竞争对手、市场现状、飞行中的新进技术等。企业在建立信息安全管理体系的时候，除了分析内部规范和对数据的保护之外，还需要对外部环境进行全面分析，以获得更全面和详细的保护控制措施。

1、重大信息风险扫描

重大信息风险扫描，指的是对企业售前服务、售后服务、制造生产、销售渠道、技术研发等各个方面的情况进行全面的分析和评估。针对各方面情况，企业应制定相应的控制措施，以保障信息的安全性。

2、安全监测

安全监测指的是企业通过各种方式开展外部环境的信息安全状态追踪，并根据情况制定相应的控制措施。企业应该认真把握安全监测的重要性，在评估外部环境的时候需要将安全监测作为一个重要的环节加以实施，掌握正确的安全信息。

3、合规性分析

合规性分析指的是企业在遵守各种法规、政策和规章制度方面的情况，通过对内部人员或外部监管组织的习惯方法分析和评估，了解企业是否符合相关的条例和规定。企业应该通过各种方式开展合规性分析，确保企业与相关机构之间的良好合作。

4、利益相关者分析

企业的安全信息管理系统不止是内部的人员和设备的保护问题，更包括了外部利益相关者的信息保护问题。利益相关者分析指的是对企业各种关键利益相关者的全面分析和评估，以制定相应的控制措施。针对不同的利益相关者，企业应该采取不同的保护措施，进行不同的沟通和教育。

结语

在ISO27001标准实施中，企业在分析内外部环境时，要真正深入理解其意义和作用，充分考虑不同类别的风险所涉及的因素，制定合适的控制策略、控制技术和控制管理方法，以达到更好的信息安全保护效果。ISO27001的实施不是一个简单的、线性的过程，而是一个需要不断探索的、不断完善的过程。只有真正的理解和充分的实践，才能更好地实现ISO27001标准下的信息安全保护。