信息安全和风险管理是提升企业竞争力的重要条件,信息风险安全管理能力已成为影响技术合作的因素之一,国内企业、政府部门对网络信息安全的重要性已有深刻的认识。在企业、政府部门等内网中,出现了一大批网络安全信息管理的软件,这些软件要么只有“漏洞扫描”功能,要么只是“政策性风险评估”,本文研究了一种基于ISO27000的内网网络安全信息管理系统,该系统覆盖了网络信息安全管理全过程,既有漏洞扫描功能,也有ISO27000符合性评估功能。本文首先在了解网络安全与信息安全以及ISO27000标准的相关背景下,从“漏洞扫描系统”与“风险评估系统”两个方面,对国内外的内网网络安全信息管理系统的研究现状进行分析。其次,在对国内内网网络管理的现状调研之后,分析了实现基于ISO27000的内网网络安全信息管理系统的必要性和可行性,并在此基础上明确系统的总体设计。然后,对基于ISO27000的内网网络安全信息管理系统的关键技术进行详细的研究。在此基础上,设计并实现了基于ISO27000的内网网络安全信息管理系统。主要的关键技术有资产安全信息采集、基于ISO27000风险值计算模型的研究以及网络安全漏洞与解决方案知识库的建立等。最后,根据安全信息采集模块(Agent)采集到的安全数据,对基于ISO27000的内网网络安全信息管理系统进行测评。本文的创新之处在于在风险评估的时候,综合了“漏洞扫描型”与“政策对照型”评估工具的功能,既能自动的扫描并发现安全漏洞,又能依据ISO27000评估信息系统的安全风险,并且在一定程度上实现了网络信息安全风险评估的自动化。