信息安全保障要素中的信息安全管理

2)信息安全管理

◇信息安全管理体系

信息安全管理体系是组织整体管理体系的一部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的认识，ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，并且表现为组织结构、策略方针、计划活动、国标与原则、人员与责任、过程与方法、资源等诸多要素的集合。

目前国际上主流的信息系统管理标准有ISO／IEC(International Organization For Stanclarclization/International Electrotechnical CommiSSion)的国际标准27000系列，美国国家标准和技术委员会（National I11St i【Llte Of Stanclards And Teclmology，NIST）的特别出版物NISTSP 800系列，在我国，信息安全等级保护制度也非常重视安全管理。

◇风险管理

信息安全风险管理是以风险为主线进行信息安全的管理，它的实施目标就是要依据安全标准和信息系统的安全需求，对信息、信息载体、信息环境进行安全管理以达到安全目标。

风险管理贯穿于整个信息系统生命周期，包括对象确立、风险评估、风险控制、审核批准、监控与审查、沟通与咨询等六个方面的内容。其中，对象确立、风险评估、风险控制和审核批准是信息安全风险管理的四个基本步骤，监控与审查、沟通与咨询则贯穿于这四个基本步骤中。