企业网络信息安全实际上是一个架构，其中包括一套完整的作业流程及运作机制。ISO27001（原BS7799标准）正是这样一套信息安全领域的国际标准。它已经成为世界上应用最广泛的、典型的信息安全管理标准。ISO27001的信息安全架构共包括11个控制域、39个控制措施、133个控制点。其中的控制域包括：安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作安全、信息系统获得，开发和维护、访问控制、信息安全事件管理、业务连续性管理、符合性。

    一、熟知信息安全的三个主体

    1、第一主体：人
    首要的主体也就是人，再安全的架构，缺乏安全意识的人去使用，也照样漏洞百出。信息安全团队的建置，合理的权责界限，合格的第三方支持人员等等，涉及到安全管理活动链条中的每个角色都必须经过安全评估。管理的是人，被管理的也是人。看似矛盾过程，但实际上是一个相互制约相互促进的过程。另外，企业安全的执行需要企业高层的支持，中层的督促，员工的执行。缺少任何一个，所有的工作都会成为徒劳。安全是需要全员的参与，提高全员的信息安全意识，才能全面做好整个企业的安全工作。

    2、第二主体：流程
  　有了安全意识的人员，没有安全的流程，一旦企业信息环境发生了变化，安全将不复存在。故而定制可高效执行的，可管理的流程，标准化各个方面的作业管理，是维持企业信息安全的有力支柱。如果说人是整个安全体系中最重要的主体，那么流程则是安全体系中的灵魂，通过流程，可以了解及控制整个安全项目的作业标准、规范及完整性。如果安全性改善在实施过程中发现问题，就需要通过预定的流程，提出改善建议，向指定部门提交报告，从而不断完善整个流程的合理性及适用性。

    3、第三主体：技术
  　有了安全的人和安全的流程，还需要导入有效的工具，以控制流程的安全执行，因为最有安全意识的人，也会懈怠！技术是人和流程上的一个补充，通过技术实现自动化控制的最大化，是实施安全技术的基本原则。例如，建置SOC系统，以提高安全事件的响应；导入资产管理系统，以加强软硬件的集中、自动化的管理。

    这三个安全主体构成了企业信息安全稳定的体系架构，缺一不可。

    二、了解信息安全架构

    信息安全的体系架构在设计之前，需要深入到企业内部了解两方面的问题：

    1、各项业务的内容、操作流程、运作模式

    ２、当前IT运作的状况
    ISO27001标准中的核心模块都是针对IT基础架构而构建，一个良好的IT基础架构是企业信息安全防护的前提。例如，美国信息系统审计与控制协会（ISACA）提出的信息系统和技术控制目标（Cobit），英国政府中央计算机与电信管理中心（CCTA）提出的信息技术基础设施库（ITIL），以及微软提出的微软操作架构（MOF）等IT管理工具都可以加强并改善IT服务管理（ITSM）。做好了ITSM，自然也就提升了企业信息安全性。同样，做好ISO27001，ITSM则变得更加完善及健全。ITSM和ISO标准可以说是一套相互补充、相互改善的机制。

    三、定义信息安全范畴

    任何一个项目的执行都必须定义范畴，没有执行范畴的项目只能是漫无边际而又毫无效率！而如何定义信息安全所覆盖的范畴（Scope），以及评估范畴内各个方面所面临的风险（Risk），就成为信息安全架构的要素。

    范畴（scope）的界定非常重要。它关系到企业内业务的保护层面。现在，我们在前期所做的工作就有用了。根据前期对业务的调查，界定资源保护的层面。其实所有评定条件的标准都需要依据企业内业务的内容、性质作为前提条件。

    风险（Risk）的评估更为重要。因为企业内各项资源的重要及安全级别的评量，将直接影响到企业内业务的保护程度。这将需要我们花费大量的时间和精力，根据界定的范畴来评量这些需要保护的资源的风险。

    只有做到清晰的范畴界定和符合原则的风险评估，方可在一定的成本预算下，对需要保护的资源实现最大程度上的保护，尽可能降低整体的安全风险系数。

    四、制定信息安全策略

    接下来，我们根据范畴界定以及风险评估，设计相应的安全策略（Policy）。这里可能需要重点强调一下，安全策略的设计一定要符合企业的安全性原则。我曾经在实际的安全稽核过程中，看到用户把密码写下来贴在显示器上或办公桌上，原因是密码过于复杂，难以记忆。可见，策略设计不合理，就会适得其反。这样的事情，在不合理的信息安全策略制定过程中非常常见。完整的信息安全策略制定过程，是一个持续的过程，包括四个阶段：导入安全控管系统，建置作业流程，定期稽核和侦察，后续做持续改善。

    五、小结

    信息安全的整个架构中，安全事件的发生是不可能完全杜绝的，我们所要做的，就是降低已知存在的风险，减小对企业业务影响。实施信息安全保护需要在安全性和易用性之间寻找合适的平衡点，追求绝对安全在大多数情况下是不合适的。信息安全防护是一个长期的、持续的过程，而非一蹴而就的。在这个过程中，还需要我们不断地重复安全监视、侦防、稽核以及改善过程。