ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

ISO/IEC27001对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。

标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。

信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。

一、前言

  文章介绍了企业计算机网络安全存在的问题，阐述了对影响企业计算机网络系统安全的因素，通过分析，并结合自身实践经验和相关理论知识，探讨了如何加强企业网络安全管理措施。

二、企业计算机网络安全存在的问题

  1.安全意识淡薄在企业网络系统中，每一台计算机的安全性都会影响整个系统的安全性能，网络安全与每个用户息息相关。内部员工了解公司的网络结构、数据存放方式和地点甚至掌握业务系统的密码。在具有严格访问权限的系统中，使用弱密码的用户有可能成为安全系统中的缺陷，甚至有些人随意改动系统注册表，使得整个网络安全系统失效

  2.网络安全体系不健全当前很多企业尽管采取了一些安全措施，但安全保护措施较为零散，缺乏整体性与系统性，对于企业网络信息安全保护缺乏统一的、明确的指导思想，没有建立一个完善的安全体系，这是引发安全问题的主要源头。

  3.网络黑客攻击黑客肆意妄为，破坏的手段也越来越多样化。企业的内部资料对于整个企业经营来说相当重要，因为它关系到整个企业的生死存亡。企业存放信息会因网络黑客攻击而造成资料的泄密
  4.来自企业外部的感染来自企业外部的计算机病毒具有传播性、破坏性、隐蔽性、潜伏性和可触发性等特点，通过入侵网络系统和设备，对数据进行破坏，使网络瘫痪，不能正常运作。网络蠕虫由于不需要用户干预就能触发，因而其传播速度要远远大于计算机病毒，其对网络性能产生的影响也更为显著和严重。木马是指附着在应用程序中或者单独存在的一些恶意程序，它可以利用网络远程控制安装有服务端程序的主机，实现对主机的控制或者窃取主机上的机密信息。

  5.来自企业网络内部的攻击企业防护重点是对外，往往忽视对内部防护的重视。利用企业内部计算机对企业局域网络进行攻击，企业局域网络也会受到严重攻击，当前企业内部攻击行为大大加强了企业网络安全的风险。

三、影响企业计算机网络系统安全的因素

  1.病毒攻击目前，计算机病毒的制造者大多利用Internet网络进行传播，因中小企业防范薄弱管理规范性有待提高，所以他们很大可能要遭到病毒的攻击。病毒可能会感染大量的机器系统，也可能会大量占用网络带宽，阻塞正常流量，如：发送垃圾邮件病毒，从而影响企业计算机网络的正常运行。

  2.软件漏洞任何软件都有漏洞，这是客观事实。而同时中小企业在软件采用上大都以节约为本，不注重也不舍得花销来进行软件更新的后期升级服务，以至于非法用户正好通过这些需要升级的漏洞窃取用户信息和破坏信息，针对固有的安全漏洞进行攻击.

  3.职员不当操作中小企业计算机管理人员配置少，监督管理都难以细致，其它职工在信息化系统操作中容易出现工作马虎，不细心，不按成型的规范操作，不遵守制定的相应规章制度。中小企业中很多职工信息安全意识不强，将自己的生日或工号作为系统口令，或将单位的账号随意转借他人使用，从而造成信息的丢失或篡改。

  四、加强企业网络安全管理措施

  1.要加大对计算机网络与信息安全工作的投入。信息技术进步神速，我国在这一领域同发达国家比，并没有优势。因此我国更应加大投入，刻苦攻关，掌握一些关键的信息技术，以确保我国在信息安全方面的自主能力。可以毫不夸张地说，今年安全方面的自主能力，将制约我国的综合国力和国防实力，因此，我国应当像五六十年代发展“两弹一星”一样，集中力量，加大投入，迎接信息技术革命的挑战，保卫国-家-安-全。这一点，我们不能幻想通过进口来解决问题。在信息安全技术方面，发达国家一方面极为重视研究开发，美国政府曾为了改进美国政府的计算机安全系统，投入巨大的资金;另一方面，又严格控制信息安全技术的出口。以美国为代表的发达国家，对信息安全产品出口，已作出许多严格限制，以维护其在信息技术领域的绝对优势。

  2.关键数据采用加密手段。在企业计算机网络中关于数据安全的隐患无处不在。尤其是一些机密数据库、商业数据等一定要保证它的安全性，这时一般会采取对数据加密的手段，它是一种保护数据在存储和传递过程中不被窃取或修改的一种手段，该数据加密系统在使用的过程中需要综合考虑执行效率与安全性之间的平衡。

  3.加强安全管理力度健全管理制度。首先，加强信息安全管理力度应积极采取宏观管理与重点监控相结合的方式，保证信息化项目的安全性。系统的实施及管理部门应该全面掌握各单位的计算机网络系统的相关情况，为企业统一管理提供可靠依据。同时，对重点工程实地考察，对信息安全进行检查，发现问题及时解决。

  4.事务管理和故障恢复。事务管理和故障恢复主要是对付系统内发生的自然因素故障，保证数据和事务的一致性和完整性。故障恢复的主要措施是进行日志记录和数据复制。计算机同其他设备一样，都可能发生各种各样的故障，比如电源故障、软件故障、灾害故障以及人为破坏等，这些故障可能会造成数据库的数据丢失，因此为了保证计算机的安全运行，必须在发生故障时采取必要的措施恢复数据库，事务管理和故障恢复就是这个作用，它能够保障数据库在出现故障时，仍可以把数据库系统还原到正常状态。

 
  五、企业信息安全新形势网络信息安全工作始终是通信行业最为关键的工作之一，具有长期性、复杂性和艰巨性的特点。2015年3G及宽带网络蓬勃发展，三网融合开始实施操作，云计算和物联网产业方兴未艾，需求的个性化、数字的海量化、业务的复杂化给通信行业网络信息安全带来了新的更大的挑战，行业中企业要进一步提高对网络信息安全重要性的认识，发展与管理并重，加强部门协调配合，加强网络基础管理工作，加强网络信息安全保障能力建设，特别是要加快网络信息安全关键基础产业的研发应用和产业化，通过核心技术掌握自主知识产权，加快发展自主可控的信息安全产业，建设新时期通信行业网络安全、信息安全长城。从国际国内出现的安全现象出发应对多种复杂的安全新问题，应该借助于RFID等物联网新技术，并通过极主动地建立网络与信息安全的保障体系，技术和管理并重，加强立法建设、政策制订、技术研究、标准制订、队伍建设、人才培养、市场服务、宣传教育等多方面的工作，通过产业链各方的紧密合作共同构造一个全方位多层次的网络与信息安全环境，来共同改善全球的网络与信息安全问题。结束语随着科技的发展，一些不法份子和黑客通过计算机网络窃取企业商业机密的现象越来越多，因此，对于计算机网络信息安全管理应该予以高度重视，否则可能对企业造成不可预估的损失。信息安全管理的重要性随着计算机技术的不断发展，计算机被广泛地应用于各个领域。在企业中，利用计算机进行管理可以显著的提高工作效率，使企业管理水平有一个明显的提高。对于中小企业而言，信息化是中小企业迎接新经济的挑战，提高企业运作效率、降低经营管理成本、把握新的商业机会的必由之路。在各类管理信息系统中，信息制作和传播等都要涉及信息的存储、传输与使用等信息处理问题，而信息处理过程中的信息安全问题尤为突出。对于存储在计算机中的重要文件、数据库中的重要数据等信息，一旦丢失、损坏或泄露、不能及时送达，都会给企业造成很大的损失。如果是商业机密信息，给企业造成的损失会更大，甚至会影响到企业的生存和发展。目前，国内大中型企业由于信息化起步早、资金和技术力量充足、管理制度较为完善，因此信息安全体系成熟度也相对较高，但众多中小企业由于资金、技术等方面的原因，在信息安全性方面普遍存在着严重漏洞，与大型企业、行业用户相比，它们更容易受到网络病毒的侵害，损失同样严重。因此构建一个成熟的信息安全管理体系对中小企业尤为重要。