本文依據(jù)信息安全的特性和管理的方法提出一個新的ISO27001信息安全管理模型，如下圖所 示。該模型由信息安全策略、安全保護措施、檢測、補救組成的一個循環(huán)鏈和信息安全管理中心兩部分組成，其中信息安全管理中心是整個系統(tǒng)的核心。循環(huán)鏈中的 每一個環(huán)節(jié)都要定期地與信息安全管理中心進行安全信息交互，當信息安全管理中心認為有必要對組織的安全目標進行修改時，要向高層管理匯報。高層管理再對安 全目標進行最終的定奪。

　　信息安全管理模型

　　新的信息安全管理模型的具體實施過程如下：

　　(1)組織根據(jù)商業(yè)運作流程將其信息系統(tǒng)劃分成不同的安全域。然后，組織運用定性與定量相結合的綜合評估方法對所有的安全域進行信息安全風險分析與評估，并將評估結果文檔化。最后，組織依據(jù)信息安全風險評估結果建立基于ART2神經(jīng)網(wǎng)絡的動態(tài)風險管理系統(tǒng)。

　　(2)組織根據(jù)風險分析與評估的結果、安全目標、商業(yè)目標制定最優(yōu)的信息安全策略，并把信息安全策略存儲到知識庫中，建立基于知識庫的信息安全策略管理系統(tǒng)。

　　(3) 組織根據(jù)信息安全策略選擇并實施安全保護措施。隨著安全技術和安全產(chǎn)品的改進，這些安全保護措施也要不定期地更換。但更換后的保護措施仍然要遵循相應的信 息安全策略。同時組織還要對其職員進行安全教育與培訓，并根據(jù)職員的不同角色為其制定不同的安全職責。每個職員都要制定一份個人年度信息安全計劃，并按照 計劃進行工作，年底時要對安全計劃的執(zhí)行情況進行檢查。

　　(4)對信息系統(tǒng)進行安全保護以后并不能完全消除信息安全風險，所以要定期地監(jiān)控整個信息系統(tǒng)以發(fā)現(xiàn)不正常的活動。組織可以建立基于 Agent 的信息安全監(jiān)控系統(tǒng)，實現(xiàn)對信息系統(tǒng)的實時監(jiān)控。

　　(5)當信息系統(tǒng)被入侵成功并遭到破壞后，組織可以采取相應的補救措施，使得組織的商業(yè)過程可以正常進行，并重新進行風險分析與評估，增加或 更改原有的信息安全保護措施。在信息系統(tǒng)正常運行時，組織就要定期地對系統(tǒng)進行備份。

　　(6) 信息安全管理中心是組織必須成立的一個安全管理部門，負責實施和監(jiān)控整個信息安全管理體系。信息安全管理模型中的每一個環(huán)節(jié)都必須與信息安全管理中心進行 信息交互。當某一個環(huán)節(jié)發(fā)現(xiàn)新的安全需求時，便立刻向信息安全管理中心匯報。信息安全管理中心在分析其它三個環(huán)節(jié)的運作情況的基礎上，對整個信息安全系統(tǒng) 各個環(huán)節(jié)進行調整，并在必要時與高層管理進行信息交互，決定是否有必要對組織機構的信息安全目標進行調整。最高管理層則通過信息安全管理中心全面準確地掌 握系統(tǒng)的安全狀況。

　　信息安全管理中心還具有評價信息安全管理體系運作情況的功 能。在實施信息安全管理的過程中，人是一個很重要的因素。如果組織機構中的人員對安全方針、安全制度和安全措施不滿意，信息安全管理體系就很難達到它預期 的目標。所以，信息安全管理中心會利用問題表對安全方針、安全制度和安全措施的實施結果進行調查，并分析這些安全舉措對組織機構的影響，然后提出相應的改 進方案。

　　該模型體現(xiàn)了以下信息安全管理原則：

　　信息安全策略的制定和安全保護措施的選擇建立在風險評估的基礎上;

　　考慮安全控制費用與風險平衡的原則，將風險降至組織可以接受的水平;

　　預防控制為主的思想原則;

　　商務持續(xù)性原則，即從故障與災難中恢復商務運作，減少故障與災難對關鍵商務過程的影響;

　　動態(tài)管理原則，即對風險實施動態(tài)管理;

　　全員參與的原則。

　　與原有的信息安全管理模型相比，新的信息安全管理模型具有如下優(yōu)點：

　　充分體現(xiàn)了對信息安全的管理，而且有一個專門的信息安全管理中心用于對組織的信息安全進行協(xié)調和規(guī)劃。

　　具有動態(tài)性，能及時適應信息環(huán)境和信息技術的變化，并對信息安全策略和安全保護措施進行改善。

　　可行性高，對組織的規(guī)模、資金沒有具體的要求。任何組織都可以在其內部實施該信息安全管理模型，以實現(xiàn)其安全目標。

　　模型中的四個模塊之間連接緊密，循環(huán)性好，信息流動也快。通過四個模塊的循環(huán)和信息安全管理中心的管理，組織的信息系統(tǒng)的安全性可以不斷地得到提高。

　　總之，該新的信息安全管理模型在綜合運用現(xiàn)有的信息安全管理標準、管理方法、安全技術的基礎上克服了以往信息安全管理模型的缺點，實現(xiàn)了信息的保密性、完整性、可用性。