信息是對一個企業或實體而言具有重要價值并且可以通過多種媒體傳遞和存在的一種資源。當今的社會無疑已發展成一個信息社會，我們會因為信息的發達更快更準確地做出決策，同時，企業的很多有用的信息也會很快成為競爭對手可利用的資源，甚至還可能對我們自身產生威脅。同時，隨著企業以計算機為主體的信息化建設的推進，企業對信息管理體系的依賴性非常大，而信息化體系本身的安全性卻受到來自多方面的影響和威脅，因此，企業有價值的信息已成為一種不容忽視的資產，應當對它的安全狀態進行有效的管理。
　　
　　隨著市場競爭的日益激烈，印刷企業紛紛借助標準完善管理，同時得以順利邁過招標項目的門檻。大型印刷企業已有超過半數通過了ISO9001質量管理體系認證，也有很多企業通過了ISO14001環境管理體系認證和OHSAS18000職業健康安全管理體系認證。近年來，信息安全管理系列標準迅速被接受和認可，成為世界各國各種類型、各種規模的組織解決信息安全問題的一個有效方法，也為擺在印刷企業面前的解決信息安全風險的難題提供了有力的幫助。
　　
　　一、標準ISO27001：2005信息安全管理體系要求
　　
　　ISO/IEC27000系列標準包括下列標準：ISO/IEC27001（信息技術安全技術信息安全管理體系-要求），ISO/IEC27002（信息技術安全技術信息安全管理實踐用規則），ISO/IEC27003（信息安全管理體系實施指南），ISO/IEC27004（信息安全管理-測量），ISO/IEC27005（信息安全風險管理），ISO/IEC27006（信息安全管理體系審核認證機構要求）。目前正式發布的有三個，即ISO/IEC27001、ISO/IEC27002、ISO/IEC27006。
　　
　　ISO/IEC27000系列標準為我們提供了指導性建議，即基于PDCA（規劃-執行-控制改進）模型的持續改進的過程模式，根據標準中提出的佳實踐方法，可以形成一套動態、系統、制度化和以預防為主的信息安全管理體系（Information Security Management System,簡稱為ISMS）。ISMS是管理體系方法在信息安全領域的運用，它可以從組織整體的角度來識別安全風險，通過采取相應的安全控制措施（既包括安全技術措施，也包括安全管理措施），達到綜合防范、保障信息安全的目標。
　　
　　國家標準GB/T22080-2008《信息技術安全技術信息安全管理體系要求》和國家標準GB/T22081-2008《信息技術安全技術信息安全管理實用規則》于2008年6月19日正式發布，并于2008年11月1日起實施。它們等同采用了標準ISO/IEC27001:2005和ISO/IEC27002:2005，為國內組織建立信息安全管理體系（ISMS）和認證機構從事ISMS認證提供了一致的標準依據。
　　
　　GB/T22080-2008《信息技術安全技術信息安全管理體系要求》《ISO/IEC27001信息安全管理體系-要求》是建立和維持信息安全管理體系的標準。它要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系。
　　
　　信息安全即信息的保密性、完整性、可用性以及其它屬性的保持和維護。保密性指保證信息僅為那些被授權使用的人獲取；完整性指保護信息及其處理方法的準確性和完整性；可用性是指保證被授權使用人需要時可以獲取信息和使用相關的資產；其它屬性包括真實性、可檢查性、可靠性、防抵賴性等。而信息的范疇不僅涵蓋了企業自身的所有信息，也包括客戶、相關方由于業務關系而由企業來保存、使用和管理的信息。
　　
　　信息安全管理體系的建立可以強化員工的信息安全意識，提高企業對關鍵信息資產的防護能力；在信息系統受到侵襲時，確保業務持續開展，并將損失降到低程度；企業較高的信息安全管理會使業務伙伴和客戶放心合作。特別是對于安全印務公司，“安全”是整個業務的關鍵點，是與其他印刷活動的本質區別，尤其是對于安全屬性中的“保密性”應高度重視。企業從接單開始，到生產作業，到交付至客戶，每一個環節都必須保障業務信息和客戶信息以及產品的安全保密，因此，建立完備的信息安全管理體系是開展安全印務業務的基本前提。
　　
　　二、印刷企業信息安全管理的關鍵概念和關鍵要求
　　
　　（一）信息資產的分類：
　　
　　信息資產一般分為以下幾大類：
　　
　　1.軟件：應用軟件（如數據庫軟件）、操作系統軟件、硬件驅動程序、開發工具、軟件防火墻等。
　　
　　2.硬件：主機、交換機、路由器、備份存儲設備、備份磁帶、移動計算設備（移動硬盤/U盤/光盤）硬件防火墻、網絡布線等。
　　
　　3.電子數據：源代碼、數據庫數據，各種數據資料、系統文檔、運行管理規程、計劃、報告等。
　　
　　4.實體信息：紙質的各種文件、合同、傳真、財務報告、發展計劃、證書，以及各類其它材質的證書獎牌等。
　　
　　5.辦公設施：打印機、復印機、電源、空調、保險柜、文件柜、門禁、消防設施、照明系統等。
　　
　　6.人員：各級管理人員、安全人員、網管員、系統管理員、業務操作人員，第三方人員，臨時雇傭人員等。
　　
　　7.無形資產：如組織的聲譽和形象。
　　
　　（二）信息資產的等級和重要度
　　
　　信息資產的重要度一般分為三個等級，即高、中、低。其劃定和判斷的標準為：
　　
　　高：對這些資產的安全屬性的影響將對公司造成災難性的損失，通常其直接或間接的影響范圍波及到整個公司。如網絡服務器硬件及操作系統，安全印務重要產品的菲林、票樣，廢品，工藝流程卡，產品數據庫等。
　　
　　中：對這些資產的保密性、完整性或可用性等安全屬性的影響將對公司造成較重要的損失，通常其影響范圍波及到公司的局部。如電腦客戶端中的客戶信息、產品信息，重要人員的臺式電腦、施工單、移動介質等。
　　
　　低：對這些資產的安全屬性的影響將對公司造成一定的損失，通常其影響范圍僅波及到公司的很少部門。如不聯外網的普通客戶端、復印機、打印機等。
　　
　　（三）信息資產的識別和風險評估
　　
　　對信息資產的風險評估是對其進行管理的重要基礎。風險評估前應先對信息資產進行識別，并形成資產清單，然而對這些資產進行風險分析和評價，即使用適當的風險評估工具，識別信息和信息處理設施的威脅、影響和脆弱點及其安全失效發生的可能性，由此評估和確認安全風險大小及等級，形成風險評估報告，風險評估報告應區別和判斷可接受的風險和不可接受的風險。
　　
　　是否準確、正確地對信息資產進行識別、評估是信息安全管理的重要基礎，它為信息安全管理的后續工作提供方向和依據，因為后續工作的優先等級和關注程度都是由信息安全風險決定的，而且安全控制措施的效果也必須通過對剩余風險的評估來衡量。
　　
　　（四）信息資產的風險處置
　　
　　通過風險評估識別出信息資產的風險大小后，即應通過制定信息安全方針，選擇適當的控制目標與控制方式使風險得到避免、轉移或降至一個可被接受的水平。風險等級高的，一定要采取有針對性的計劃措施。風險等級中的，應當有糾正行動，必須在一個合理的時間段內制定有關計劃來實施這些行動。風險等級低的，管理層可以根據具體情況確定是否需要采取糾正行動，或者接受風險。根據風險評估報告，針對不可接受的風險，從ISO/IEC27001:2005附錄A中選擇適當的控制目標和控制措施，制定風險處理計劃。
　　
　　（五）控制目標和控制措施
　　
　　ISO/IEC27001：2005標準附錄A中列出的控制目標與控制措施直接引用了ISO/IEC27002:2005第5章到15章，它已包含了廣泛通用的控制目標和控制措施列表，具體為A.5安全策略、A.6信息安全組織、A.7資產管理、A.8人力資源安全、A.9物理與環境安全、A.10通訊及操作管理、A.11訪問控制、A.12信息系統的獲取、開發和維護、A.13信息安全事故管理、A.14業務連續性管理、A.15符合性。其中16章每一章都有明確的控制目標，并細分為133小項，提出了控制措施。企業應按照133項控制項目和控制措施實施管理，使各項措施都處于有效控制狀態。
　　
　　（六）適用性聲明（SOA文件）
　　
　　適用性聲明是ISO/IEC27001：2005中的重要概念和重要文件，是企業對經過風險評估和風險處置過程所識別的適用于自己的控制目標和控制措施的評述，相當于一個控制目標與控制方式清單，其中應闡述選擇和不選擇的理由，并標明涉及的文件，企業編寫SOA文件時應直接選擇但不限于附錄A的全部列表內容。例如A.7.1.1資產清單，對應的控制措施為“應清楚識別所有的資產，編制并保持所有重要資產清單”，對應該就項要求，應當必需選擇用并列出資產清單；再如A.10.9.1電子商務，一般印刷企業不使用電子商務，此項就可不必選擇用。
　　
　　（七）ISO/IEC27001：2005與其它管理體系的兼容性
　　
　　ISO/IEC27001：2005附錄C列示了幾個體系要求的對應關系，從中可以看出，ISO/IEC27001：2005與ISO9001：2000質量管理體系、ISO14001：2004環境管理體系是協調一致的，它們相互支持，并可進行整合實施和運行。
　　
　　本文并未闡述建立一個信息安全管理體系的過程，而是介紹本了信息安全管理中的一些關鍵概念和關鍵要求，明確了這些關鍵要概念和要求，才可以科學地、主動地建立ISMS，系統有效地保護企業信息資產的安全。特別要說明的是，信息安全管理對于印刷企業是比較新的概念，實踐經驗也比較少，因此本文難免會有一些紕漏，敬請批示指正。