3〕要充分认识到信息安全管理是一个过程。信息安全是一个动态的过程，必须分阶段对安全策略进行调整，同时安全攻击和防范技术都在髙速的发展，而这一切是一个没有终点的过程，必须建立在一套好的信息安全管理机制的基础上。

总的来说，安全管理不是一种即买即用的东西，一购买就能提供足够安全水平的安全管理体系是不存在的。建立一个有效的信息安全管理体系首先需要在信息安全评估的基础上，制定出相关的管理策略和规章制度后，才能通过配套选用相应的安全产品，搭建起整个信息安全架构。现在，有些企业安装了部分的安全产品或者制定了一些安全制度，但没有得到良好的执行，我们也不能认为这个企业就有了信息安全管理体系，因为安全管理体系的建立是一个管理系统的验证规范，需依循“？0 ”循环进行，包括持续改善、制定政策、管理审查、文件管制、内部稽核等。需要说明的是，要遵循以上要求，即使对最有安全意识和执行能力的企业来说，也不是一件简单的事，但总体来说，提高信息安全管理水平巳是一股不可违逆的潮流，所有的机构或企业已不是“做”与“不做”的问题，而是必须尽早实施的问题。企业应权衡自身承受安全的风险与成本，制定出一套符合本身需求的安全政策，改善自身的营运体制，以符合国际安全标准与世界潮流。

9丨3，4安全技术体系

随着社会信息化程度的不断提髙，信息技术正在深刻影响着人们的生活方式、工作方式乃至整个社会的结构，人们的日常生活和工作巳越来越依赖于信息技术。然而，信息技术是一把双刃剑，它在给人类带来文明的同时，也带来了新的安全隐患和威胁。世界广泛采用的关于信息安全管理体系的英国标准一857799 -2： 2002，经修订后，于2005年10月15日作为国际标准130乃以：27001:2005发布，从而为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统（巧 ）是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。

27001 ： 2005能协助机构保护专利信息，同时也为制定统一的机构保安标准搭建了一个平台，更有助于提升安全管理的实务表现和增强机构间商业往来的信任。15027001 ： 2005标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据，无论是组织自我评估还是-海口企业网站建设www.hiSosi.com-评估供方能力都可以采用，也可以用作独立第三方认证的依据。

任何使用内部或外部电脑系统、拥有机密资料或依靠信息系统进行商业活动的机构，均可采用27001: 2005标准。简单地说，也就是那些需要处理信息、并认识到信息保护重要性的机构。27001: 2005制定的宗旨是确