信息技术的高速发展,改变了人们的工作和生活方式,信息的重要性被广泛接受并已成为许多企业组织特别关心的重要资产。信息安全管理体系(Information Security Management System)(简称ISMS)是系统地解决信息安全问题的有效途径。ISMS是组织整体管理体系的一个部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。ISO/IEC27001作为当前国际上具有代表性的信息安全管理体系标准,得到了越来越多国家的认可。本文对ISO27001理论、风险管理理论做了大量的研究,研究分析了企业的现状和安全需求,提出了可行的风险评估方法,设计了风险评估的流程,并在企业ISMS体系的实施过程中,根据企业特点,设计了一系列的表单,采用了一些适合的方式,使得风险评估方法和设计在实施过程中得到了很好的应用,企业ISMS体系顺利通过了ISO/IEC 27001的认证。本文中结合企业信息资产特点以及信息安全需求,兼顾实现的可行性,设计了定性与定量相结合的风险分析方法,即采用定性的方式对资产安全三性赋值、威胁发生可能性和弱点进行评估,保证对大量信息资产识别和评估的可操作性。而对资产价值和风险系数的评估,采用定量的方式,使得风险量化,提高后续风险管理的直观性和准确性。本文中通过对业务信息流程的分析实现了信息资产的完整识别,形成企业的信息资产清单。作为一家集成电路芯片代工企业,客户的IC设计资料关系是制造生产的源头,在企业的信息安全管理体系中,IC设计资料处于核心的位置。因此,在资产识别过程中,围绕客户的IC设计资料所进行的业务进行BIF分析,效率高,并确保了重要资产识别的完整性。在风险评估中,通过以脆弱性为主线,结合ISO27001标准的控制点的识别方式,获得了全面丰富的风险信息,有利于企业把握目前所面临的风险,提高风险的可控性。本文以企业生产管理系统——REMS系统为典型案例,在整个信息安全管理体系的实施过程中,进行风险分析。根据风险评估的结果,确定REMS系统属于高风险的软件资产,需要实施风险控制措施,加强安全管理。在风险控制方案中,为REMS系统设计了开发流程,即系统开发生命周期SDLC。然后,在REMS系统的系统开发生命周期中,将ISO27001标准与接触点开发模型以二维矩阵的形式相结合,设计出对REMS系统安全管理的模式。其中,接触点开发模型是在软件开发生命周期的基础上设计安全管理的架构,而ISO27001是从技术的角度对软件开发的各个方面提出了具体的实施指南。企业在建立了信息安全管理体系并通过ISO27001的认证后,提高了企业信息安全的保密性、完整性和可用性,形成了一套可持续改进的信息安全管理环境。