实施ISO27001 - 部分中小企业已有的信息安全管理模型简介

（1）全网动态安全体系模型

全网动态信息安全体系模型的提出者认为，网络的安全是一个动态的概念。网络的动态安全模型能够提供给用户更完整、更合理的安全机制，全网动态安全体系可用下 面的公式概括：网络安全=风险分析+指定策略+系统防护+实时检测+实时响应+恢复。即网络安全是一个“APPDRR”的动态安全模型。

从信息安全体系的可实施、动态性角度，动态安全体系的设计充分考虑到风险评估、安全策略的制定、防御体系、监控与检测、响应和恢复等各个方面，并且考虑到各部分之间的动态关系与依赖性。

提出“APPDRR”动态安全模型的学者认为，这一模型为网络建立了四道防线：安全保护是第一道防线，能够阻止对网络的入侵和危害；安全检测室网络的第二道 防线，可以及时发现和入侵和破坏；实时响应是网络的第三道防线，当攻击发生时维持网络“打不垮”；恢复是网络的第四道防线，使得信息系统在遭受攻击后能以 最快的速度恢复，最大程度上降低安全事件带来的损失。

（2）P-D-C- A(Plan,Do,Check和Act，即戴明环)过程模式：计划、实施、检测和改进与评价。P-D-C-A模型是管理学中惯用的一个过程模型，该模型 最初应用于质量管理中。该模型在应用时，按照P-D-C-A的顺序依次进行，一次完整的P-D-C-A可以看成组织在管理上的一个周期，每经过一次P- D-C-A循环，组织的管理体系都会得到一定程度的提高和完善，同时进入下一个更高级的管理周期，通过连续不断的P-D-C-A循环，组织的管理体系能够 得到持续的改进，管理水平将随之不断提升。

应用于信息安全管理的PDCA模型如图5.2所示，图5.2说明了如何把相关方的信息安全要求和期望作为输入，并通过必要的行动和过程，产生满足这些要求和期望的信息安全结果。我们可以认为ISO/IEC27001就是一个PDCA过程，那么这本身就是很多循环的嵌套。

（3）P3R2AME模型

P3R2AME 模型是由P2DRR发展而来，P2DRR模型是一种典型的信息安全控制模型，它是一种动态的、自适应的模型，可适应安全风险和安全需求的不断变化，以提供 持续的安全保障。P2DRR模型包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)和恢复 (Recovery)5个环节，在该模型中，防护、检测、响应和恢复构成一个完整的、动态的安全循环。

P3R2AME 模型在安全策略的指导下共同实现安全保障提出了较完整的企业信息安全防护模型。该模型以信息安全策略(Policy)为核心,依次进行风险分析 (Analyse)、制定方案(Plan)、安全防护(Protection)、实时监测(Monitor),直至实时响应(Response)和恢复 (Recover)环节。这是一个动态循环的过程,响应和恢复情况又为风险分析提供依据,并且在整个过程中都要注重在企业内部进行安全教育 （Education）。

（4）信息保障体系模型

信息安全的本质是风险管理，而风险管理密切相关的是企业的资产、资产面临的威胁以及采取的安全防护措施。

安全防护措施又由管理和技术两个方面组成。信息安全系统式一个复杂的系统，涉及方方面面，例如：人、管理和技术等。

信息保障体系模型称为VISAF框架，它包括下面六个步骤：

第一、要分析现状，评估当前安全状态和各个措施的强度和效果。

第二、考虑加强现有防护体系，比如加强口令管理、操作系统安全加固和加强安全区域审计。

第三、马上要考虑的就是加强审计和跟踪体系，也就是加强检测技术和产品及相关管理制度的制定和落实。

第四、要构建应急和响应体系，包括建立基本的冗余恢复设备，制定应急流程和应急预案，并进行应急演练等。

第五、要建立全面的信息安全管理体系，其中要特别强调高层领导的责任和全员的信息安全技能和意思教育。

第六、发展到从集中入侵检测与管理系统起步的安全运营中心体系，达到技术和管理的融合。

（5）基于WSR方法的企业信息安全模型

WSR是一种方法论，它蕴含了东方“天人合一”哲学思想，把认识自然、改造自然的主体和客体作为一个整体来研究,从而系统、完整、分层次地来对复杂问题进行研 究，在系统科学研究方法中有其独特性。张彩江博士认为，“物理”是指涉及某项系统项目、问题处理过程人们面对的客观存在，是物质运动的规律总和。“事理” 是指涉及某项系统项目、问题处理过程中人们面对的客观存在及其规律时介入的机理，它体现一种人——物界面。“人理”指涉及某项系统项目、问题处理过程中的 所有的人们之间的相互关系及其变化过程，通过研究和管理这种关系，促进人们能按照可接受的事理去实现项目、问题的预定目标。物理、事理、人理概念的界定， 有利于人们正确利用WSR方法来研究和分析复杂问题。

企业信息安全管理机制是一个复杂的系统工程，它既有物理、事理和人理的部分，而且人的部分是其中的重点，三个部分相互促进，相互制约。因此，WSR方法论可以用于建立完善的企业信息系统安全管理机制，依照WSR方法论构建企业信息安全管理机制。

上述信息安全管理模型从不同的角度对信息安全问题提出了不同的管理模型，他们的主要优点是管理模型完整而系统，对于信息安全的各个方面都考虑比较全面。主要 缺点是如果要完成上述的信息安全管理体系，企业要花费大量的时间、金钱和精力，当然因此带来的收益也是客观的，这就是一个信息安全的投资和收益的问题了。 因为中小企业的规模小，人员流动快等特点，上述信息安全模型并不合适。

中小企业依据ISO27001建立的信息安全管理的模型应该简洁而适用，着重考虑企业重要的信息资产，注重企业内部的信息安全的管理，对于企业外部的威胁往往大规模的企业都没有足够的应对能力，更何况中小企业。中小企业对外部的威胁的抵御往往得不偿失，因此中小企业的信息安全模型应该注重内部建立起良好的组织和管理措施，对于外部的入侵只能在企业人力和财力的范围内购买信息安全产品或者外包给专门的机构来解决问题。