病毒破壞、黑客攻擊、信息系統癱瘓、網絡欺詐、重要信息資料丟失以及利用計算機網絡實施的各種犯罪行為，人們已不再陌生，并且這樣的事件好像經常在我們身邊發(fā)生。

　　隨著科技的進步，信息化的發(fā)展，信息安全的作用日益重要。企業(yè)面臨著信息技術發(fā)展和信息安全的雙重巨大壓力，迫切需要加強信息系統的安全管理，采用業(yè)界通用標準，建設符合自身發(fā)展需要的信息安全管理體系。

    長久以來，很多人自覺不自覺地都會陷入技術決定一切的誤區(qū)當中，尤其是那些從事信息系統集成業(yè)務的人員和企業(yè)。最早的時候，人們把信息安全的希望寄托在加密技術上面，認為一經加密，什么安全問題都可以解決。

　　隨著互連網絡的發(fā)展，一段時期我們又常聽 到"防火墻決定一切"的論調。及至更多安全問題的涌現，入侵檢測、PKI、VPN  等新的技術應用被接二連三地提了出來，但無論怎么變化，還是離不開技術統領信息安全的路子。可這樣的思路能夠真正解決安全問題嗎？也許可以解決一部分，但卻解決不了根本。

　　實際上，對安全技術和產品的選擇運用，這只是信息安全實踐活動中的一部分，只是實現安全需求的手段而已。信息安全更廣泛的內容，還包括制定完備的安全策略，通過風險評估來確定需求，根據需求選擇安全技術和產品，并按照既定的安全策略和流程規(guī)范來實施、維護和審查安全控制措施。歸根到底，信息安全并不是技術過程，而是管理過程。

    信息系統集成從業(yè)企業(yè)之所以有這樣的認識誤區(qū)，原因是多方面的，從安全產品提供商的角度來看，既然側重在于產品銷售，自然從始至終向客戶灌輸的都是以技術和產品為核心的理念。而從客戶角度來看，只有產品是有形的，是看得見摸得著的，對決策投資來說，這是至關重要的一 點，而信息安全的其他方面，比如無形的管理過程，自然是遭致忽略。

    正是因為有這樣的錯誤認識，我們就經常看到：許多組織使用了防火墻、IDS、安全掃描等設備，但卻沒有制定一套以安全策略為核心的管理措施，致使安全技術和產品的運用非常混亂，不能做到長期有效和更新。即使組織制定有安全策略，卻沒有通過有效的實施和監(jiān)督機制去執(zhí)行，使得策略空有其文，成了擺設而未見效果。

    實際上對待技術和管理的關系應該有充分理性的認識：技術是實現安全目標的手段，管理是選擇、實施、使用、維護、審查包括技術措施在內的安全手段的整個過程，是實現信息安全目標的必由之路。

　　因此，對于從事信息系統集成的企業(yè)來說，有了安全的信息網絡集成產品，還需要提升企業(yè)信息安全管理體系的建立，這也是構建企業(yè)軟實力的重要標志。

　　如果iso27001認證順利通過，多年來高度重視企業(yè)和用戶信息安全，持續(xù)建設投入的必然成果。經過此次信息安全管理體系認證的系統全面梳理，強化了全員的信息安全意識，規(guī)范了組織信息安全行為。公司的信息安全管理水平達到一個新的高度，將為公司及客戶提供更堅實的信息安全保障。

　　當然，在信息安全風險評估領域需要研究和解決的問題還很多，主要包括的問題如下：

（1）    ISO27001 僅僅提供了一些原則性的建議，如何將這些原則性建議與企業(yè)自身的工作實際情況相結合，在企業(yè)中實施符合自身狀況的信息安全管理體系，才是真正具有挑戰(zhàn)性的工作。

（2）　建立信息安全管理體系后。接下來，還需要按照生產流程的順序，分批分期實施信息安全管理體系，逐步在全公司范圍實現ISO27001認證。

（3）　信息安全風險評估模型設計和實施過程中，建立完備和針對性能夠強的資產、威脅和脆弱性的知識庫有利于提高風險評估的準確性和全面性，同時如何用程序來實現風險評估的自動化，盡量減少人工的重復性工作也是非常重要。