项目背景

       随着企业或机构信息化程度的提高和业务量的进一步扩大，信息网络企业或机构每一项业务的开展对信息系统的依赖性越来越强，网络瘫痪、信息系统故障成了网络企业或机构的头等大敌，将带来不可估量的经济损失和严重后果。因此，如何确保网络信息安全和众多的业务应用系统正常运作，成为企业或机构保持业务持续性发展的重要课题。

       从企业或机构网络拓扑结构可以看出，企业或机构信息化建设水平已经相当发达，其网络系统和业务应用系统相当庞大和复杂，为了进一步提升网络企业或机构的核心竞争力，切实保障企业或机构技术及商业机密，保障网络企业或机构的信息系统与业务的正常运作，企业或机构或机构非常有必要引入信息安全管理体系，对信息安全进行系统地改进，保障信息资产安全和业务持续发展。

       实施目标

       通过建立和实施信息安全管理体系，达到以下目标：

       ★ 把信息安全纳入企业或机构整体发展规划，确立适应组织特点的信息安全战略方针和目标；

       ★ 建立一套适合组织业务特点的信息安全管理制度，完善各项生产、管理等业务过程中的信息安全措施，确保信息安全管理正规有序；

       ★ 对现有网络和信息系统安全进行加固，抵御各种网络攻击行为，增强其安全性和强壮性；

       ★ 有很强的防病毒能力，病毒危害减少至最低；

       有很强漏洞检测能力，能及时发现漏洞和更新补丁；

       ★ 进一步完善数据备份（包括应急备份）策略，确保各种紧急情况下及时恢复生产、管理等应用系统，把业务中断时间和损失降低到最小；

       ★ 所有进出企业或机构的电子文件(包括E-mail)受到有效监控、管理；

       ★ 对信息安全事件有较强的响应机制；

       ★ 对输入输出设备、移动设备、无线网络设备等进行有效监控、管理；

       ★ 保证与外界的重要敏感信息的传输交换安全顺畅；

       ★ 对纸质文件资料实施有效的安全保密管理；

       ★ 确保财务信息的安全；

       ★ 为企业或机构培训一批合格的信息安全内审员各信息安全风险评估人员，使之具有独立审核和风险评估的能力。

       ★ 增强企业或机构全体员工的信息安全意识和参与度；

       ★ 通过ISO27001:2005信息安全管理体系的认证。