信息安全管理基本概念

5.1  知识子域：信息安全管理体系

5.1.1  信息安全管理基础

1.信息安全管理基本概念

1）管理

管理主体组织并利用其各个要素（人、财、物、信息和时空），借助管理手段，完成该组织目标的过程。其中，信息就像其他重要业务资产和管理要素一样，也是对组织业务至关重要的一种资产，因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中。

信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在，用哪种方法存储或共享，都宜对它进行适当地保护。信息安全是保护信息免受各种威胁的损害，以确保业务连续性，业务风险最小化，投资回报和商业机遇最大化。

2)信息安全管理

管理者为实现信息安全目标（信息资产的CIA等特性，以及组织目标运作的持续）而进行的计划、组织、指挥、协调和控制的一系列活动。通过实施一组合适的控制措施而达到的组织的目标，其中包括制定策略、审定过程、编制规程、设计组织结构以及开发必要的软件和硬件安全功能。在必要时需建立、实施、监视、评审和改进包含这些控制措施的信息安全管理过程，以确保满足该组织的特定安全和业务目标。这个过程宜与其他业务管理过程联合进行。