隨著在世界范圍內，信息化水平的不斷發展，信息安全逐漸成為人們關注的焦點，世界各地的相關機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準。目前，在信息安全管理方面，ISO27001已經成為世界上應用最廣泛與典型的信息安全管理標準。企業遵循ISO27001信息安全管理體系進行建設，可有效地保護企業信息系統安全，確保信息安全體系的持續發展。

　　企業信息安(an)全(quan)是(shi)保障(zhang)企業業務系統(tong)不被非法訪問、利(li)用和(he)(he)篡改，為(wei)企業員工提(ti)供安(an)全(quan)、可信的服(fu)務，保證(zheng)信息系統(tong)的可用性(xing)、完整性(xing)和(he)(he)保密性(xing)。主要(yao)包括兩(liang)方面的內容(rong)：

　　企業安全管理類的評估

　　評估內容包(bao)括ISO27001所涵蓋的(de)(de)與信息安全(quan)(quan)(quan)(quan)管(guan)理(li)體系相關的(de)(de)11個方面(mian)，包(bao)括信息安全(quan)(quan)(quan)(quan)策略、安全(quan)(quan)(quan)(quan)組(zu)織、資產分類與控制(zhi)、人員安全(quan)(quan)(quan)(quan)、物(wu)理(li)和環境安全(quan)(quan)(quan)(quan)、通信和操(cao)作管(guan)理(li)、訪(fang)問(wen)控制(zhi)、系統開發與維護、安全(quan)(quan)(quan)(quan)事件管(guan)理(li)、業(ye)務連續性管(guan)理(li)。通過對企(qi)(qi)業(ye)的(de)(de)安全(quan)(quan)(quan)(quan)控制(zhi)現狀與ISO27001的(de)(de)最佳實踐進行對比，檢查企(qi)(qi)業(ye)在安全(quan)(quan)(quan)(quan)控制(zhi)層面(mian)上存在的(de)(de)弱(ruo)點(dian)，從(cong)而為改進安全(quan)(quan)(quan)(quan)措施(shi)提供依據。

　　企業安全技術類評估

　　針對企業具有代表性的關鍵應用進行安全評估。關鍵應用的評估方式采用滲透測試的方法，在應用評估中將對應用系統的威脅、弱點進行識別，分析其和應用系統的安全目標之間的差距，為后期改造提供依據。以ISO27001為核心，并借鑒國際常用的幾種評估模型的優點，同時結合企業自身的特點，建立風險評估模型：在風險評估模型中，主要包含信息資產、弱點、威脅和風險四個要素。

　　根(gen)據(ju)業(ye)務(wu)需求建(jian)立(li)(li)業(ye)務(wu)模(mo)塊化(hua)：整(zheng)體網絡(luo)建(jian)立(li)(li)模(mo)塊化(hua)的(de)網絡(luo)結構，各業(ye)務(wu)使用獨立(li)(li)的(de)核心(xin)交(jiao)換骨干網絡(luo)，將非關(guan)鍵業(ye)務(wu)區(qu)域與關(guan)鍵交(jiao)易業(ye)務(wu)區(qu)域的(de)交(jiao)換網絡(luo)分離(li)，避免關(guan)聯風險(xian)的(de)影響，便于實施分級(ji)保(bao)護。同(tong)時(shi)建(jian)立(li)(li)層次化(hua)的(de)網絡(luo)結構，根(gen)據(ju)風險(xian)級(ji)別區(qu)分不同(tong)的(de)網絡(luo)層次，便于實施重(zhong)點防護。

　　針對(dui)不(bu)(bu)同(tong)(tong)(tong)級別的(de)WEB、APP、數據庫、存儲等邏輯區域，設(she)計不(bu)(bu)同(tong)(tong)(tong)的(de)安全防護級別，同(tong)(tong)(tong)時采用不(bu)(bu)同(tong)(tong)(tong)的(de)安全設(she)備進行(xing)安全防護。