电力信息安全管理体系应用及发展研究

图5 ISO/IEC 27001架构调整图

信息安全管理体系的这种变化，从管理体系层面来看，有利于与其他管理体系的兼容实施，并保障不同管理体系之间的协调一致。但就信息安全管理体系本身而言，其原有的标准架构直接规范了体系的建设流程，按PDCA四个阶段明确了各流程的活动，比较有利于体系建设方应用该标准。而新架构划分了更多的环节与控制，这种架构将影响到原有用户对体系的认识，从逻辑性和条理性方面，都将需要一定时间的学习，因此会一定程度上增大体系建设的难度。

3.3 信息安全控制域的变化

新版本的ISO/IEC 27001不仅从架构上做了调整，从内容，尤其是信息安全控制方面，也做了相应调整。

原有标准将信息安全控制域划分为11个方面：安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、信息安全业务连续性管理、符合性。新标准将增加供应商关系管理、网络应用服务管理两个方面，控制域中的控制类也做了相应调整，例如将原来信息安全组织域中的对外部各方的管理，调整到新的供应商关系管理中。

体系在这方面的变化，也将影响到原有体系建设用户，从整个文件体系的框架设计，到具体安全策略，可能都需要做相应的调整。

4 结束语

只要存在信息化应用，就会有信息安全问题。随着组织信息化水平的不断提高，其对信息化的依赖性也越来越强，因此信息安全也就成为组织信息化工作中非常重要的一环。信息安全管理体系作为实现组织信息安全的一种优秀方法，已经得到了业界的认可。

本文从信息安全管理体系的特点出发，基于风险管理和持续改进的思想，从实践出发，提出了行之有效的实施方法，此外，本文还跟踪研究了信息安全管理体系的最新发展，介绍了信息安全管理体系在架构、内容等方面的重大变化，指出了这种变化对未来实施信息安全管理体系的影响。