2)信息安全管理
◇信息安全管理体系
信息安全管理体系是组织整体管理体系的一部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、国标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
目前国际上主流的信息系统管理标准有ISO/IEC(International Organization For Stanclarclization/International Electrotechnical CommiSSion)的国际标准27000系列,美国国家标准和技术委员会(National I11St i【Llte Of Stanclards And Teclmology,NIST)的特别出版物NISTSP 800系列,在我国,信息安全等级保护制度也非常重视安全管理。
◇风险管理
信息安全风险管理是以风险为主线进行信息安全的管理,它的实施目标就是要依据安全标准和信息系统的安全需求,对信息、信息载体、信息环境进行安全管理以达到安全目标。
风险管理贯穿于整个信息系统生命周期,包括对象确立、风险评估、风险控制、审核批准、监控与审查、沟通与咨询等六个方面的内容。其中,对象确立、风险评估、风险控制和审核批准是信息安全风险管理的四个基本步骤,监控与审查、沟通与咨询则贯穿于这四个基本步骤中。