2)信息安全管理

◇信息安全管理體系

信息安全管理體系是組織整體管理體系的一部分，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。基于對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的認(rèn)識(shí)，ISMS包括建立、實(shí)施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng)，并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計(jì)劃活動(dòng)、國(guó)標(biāo)與原則、人員與責(zé)任、過(guò)程與方法、資源等諸多要素的集合。

目前國(guó)際上主流的信息系統(tǒng)管理標(biāo)準(zhǔn)有ISO／IEC(International Organization For Stanclarclization/International Electrotechnical CommiSSion)的國(guó)際標(biāo)準(zhǔn)27000系列，美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)委員會(huì)（National I11St i【Llte Of Stanclards And Teclmology，NIST）的特別出版物NISTSP 800系列，在我國(guó)，信息安全等級(jí)保護(hù)制度也非常重視安全管理。

◇風(fēng)險(xiǎn)管理

信息安全風(fēng)險(xiǎn)管理是以風(fēng)險(xiǎn)為主線進(jìn)行信息安全的管理，它的實(shí)施目標(biāo)就是要依據(jù)安全標(biāo)準(zhǔn)和信息系統(tǒng)的安全需求，對(duì)信息、信息載體、信息環(huán)境進(jìn)行安全管理以達(dá)到安全目標(biāo)。

風(fēng)險(xiǎn)管理貫穿于整個(gè)信息系統(tǒng)生命周期，包括對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制、審核批準(zhǔn)、監(jiān)控與審查、溝通與咨詢(xún)等六個(gè)方面的內(nèi)容。其中，對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和審核批準(zhǔn)是信息安全風(fēng)險(xiǎn)管理的四個(gè)基本步驟，監(jiān)控與審查、溝通與咨詢(xún)則貫穿于這四個(gè)基本步驟中。