安全管理模型

10.3.3　安全管理模型

安全管理的最终目标是将系统（即管理对象）的安全风险降低到用户可接受的程度，保证系统的安全运行和使用。风险的识别与评估是安全管理的基础，风险的控制是安全管理的目的，从这个意义上讲，安全管理实际上是风险管理的过程。由此可见，安全管理策略的制定依据就是系统的风险分析和安全要求。

新的风险在不断出现，系统的安全需求也在不断变化，也就是说，安全问题是动态的。因此，安全管理应该是一个不断改进的持续发展过程。图10-7给出的安全管理模型就体现出这种持续改进的模式。安全管理模型遵循管理的一般循环模式，即计划（Plan）、执行（Do）、检查（Check）和行动（Action）的持续改进模式，简称PDCA模式。每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的，每次循环都会通过检查环节发现新的问题，然后采取行动予以改进，从而形成了安全管理策略和活动的螺旋式提升。

图10-7　安全管理模型——PDCA持续改进模式

信息安全管理也遵循PDCA持续改进模式。信息安全管理策略包括管理的任务、目标、对象、原则、程序和方法，将在下一节进行详尽论述。信息安全管理活动包括制订计划、建立机构、落实措施、开展培训、检查效果和实施改进等，简要说明如下：

●　制订计划　制订信息安全管理的具体实施、运行和维护计划。

●　建立机构　建立相应的安全管理机构。

●　落实措施　选择适当的安全技术和产品并实施。

●　开展培训　对所有相关人员进行必要的安全教育和培训。

●　检查效果　对所构建的信息安全管理体系进行符合性检查。

●　实施改进　对检查结果进行评审，评价现有信息安全管理体系的有效性，针对存在的问题采取改进措施。