随着公司信息化程度的不断提高，信息技术的便利性既给工作带来了方便和效率的提升，但同时也带来了企业的信息安全管理问题日益突出。尤其是在目前快速、激烈的市场竞争环境下，企业都在积极寻求创新，如何用技术手段保护企业的核心价值，让企业的创新不被恶意和无意泄漏，从而保障企业的核心竞争力，大多数企业已意识到并非常重视把构建信息安全的应用环境提升到企业的战略层面。

　　ISO27001:2013信息安全管理体系2013版标准是基于风险的管理体系。什么是信息安全：保持信息的保密性、完整性、可用性;另外，也包括其他属性，如：真实性、可核查性、抗抵赖性和可靠性。信息资产所面临的风险：信息泄漏、完整性破坏、拒绝服务。资产的示例及分类：信息资产：数据库和数据文件、系统文件、用户手册、培训资料、操作与维护程序、知识产权、业务持续性计划、应急安排等。书面文件：合同、公司文件、人事记录、财务记录、采购文件、发票等。软件资产：应用软件、系统软件、开发工具和实用程序等。

　　项目范围管理的主要过程包括以下内容：范围计划编制、范围定义、创建工作分解结构(WBS)、范围确认、范围控制。

　　1.范围计划编制：是指进一步形成各种文档，为将来项目决策提供基础，这些文档中包括用以衡量一个项目或项目阶段是否已经顺利完成的标准等。我们在信息安全项目的范围计划编制工作中使用的工具和技术是专家判断，模块、表格或标准。

　　2.范围定义：是指将项目主要的可交付成果细分成较小的、更易管理的组分。范围定义最重要的任务就是详细定义项目范围边界。我们在信息安全项目的范围定义工作中使用的工具和技术是产品分析，备选方案识别，专家判断法，项目干系人分析。

　　3.创建工作分解结构(WBS)：是面向可付物的项目元素的层次分解，详细描述了项目所要完成的工作。WBS的最低层次元素是能够被评估的、安排进度的和被跟踪的。它是组织管理工作的主要依据。我们在信息安全项目的创建工作分解结构(WBS)工作中使用的工具和技术是WBS模板，分解，分解技术。

　　4.范围确认：是项目干系人正式接受已完成的项目范围的过程。我们在信息安全项目的范围确认工作中使用的工具和技术是检查。

　　5.范围控制：其涉及到以下内容：影响引起范围变更的因素，确保所有被请求的变更按照项目整体变更控制处理，并在范围变更实际发生时进行管理。未经控制的变更经常被看作范围蔓延。变更是不可避免的，所以我们要以书面的形式规定某种变更控制过程。我们在信息安全项目的范围控制工作中使用的工具和技术是变更控制系统,偏差分析,重新规划，配置管理系统。

　　珠海某某电气有限公司的企业信息化建设主要包括三大工作：IT固定资产包括800套联想台式电脑、200台笔记本电脑、60台打印机;网络包括内部网和外部网1000个信息点;有十多个业务应用系统，集团2014年6月已成功实施SAP系统并正式上线。

　　某某电气有限公司经营业务涉及电网行业的软硬件研发、生产及销售的一体化运营管理，其产品设计图纸、产品研发技术文档、产品开发源代码都是公司的核心技术资料、一旦泄露，将公司造成重大损失，甚至是毁灭性的灾难。公司领导对信息资产安全管理高度重视，曾在2007年部署实施了天盾文档加密安全系统，针对公司研发涉密的文档、图纸进行了加密管理。随着公司业务的快速发展，办公电脑数量的逐步增加，以及各种外设设备的频繁使用，公司没有一套工具对信息资料的流失进行有效管控，原有的天盾系统在实际工作应用场景中已不能同步满足公司当前的信息安全管理要求。基于上术的各种因素，公司拟决定重新实施一套整体的、集成的信息安全管理平台，来对公司各类文档加密及桌面管控的合规管理，有效的保障公司的信息安全管理目标。结合公司的实际需求，半年来搭建售前产品选型的测试环境和生成测试报告，通过公司招标流程，最终选择了IP-guard管控和加密软件系统，实现公司信息安全性与便利性的平衡。

　　范围控制的核心是管理变更，即影响发生变更的因素、保证所有被请求的变更按照项目整体变更控制处理，并对范围变更实际发生时进行管理。为了对范围变更进行追踪，确保已通过的范围变更请求得到处理，我们引入了SVN配置管理系统，将所有的通过的变更请求作为配置项管理，并委派专门的配置管理人员不定期检查配置项的状态。此外，我们在定期的项目评审会议上，还要检查当前项目中是否引入了未批准的变更。另外，针对项目绩效报告，我们也要进行分析，确认是否需要采取措施引入变更。

　　项目范围管理是项目管理的关键一步。在范围管理的过程中要根据客户的实际情况、项目本身的特点、项目所处的环境，制订相应的信息安全管理体系流程，以减少后期风险，做到以客户为中心，实现双赢。