信息安全管理的主要内容

1.3.2　信息安全管理的主要内容

信息安全管理从信息系统的安全需求出发，结合组织的信息系统建设情况，引入适当的技术控制措施和管理体系，形成了综合的信息安全管理架构，如图1－1所示。

图1－1　信息安全管理的主要内容

信息安全需求是信息安全的出发点，它包括机密性需求、完整性需求、可用性需求、抗抵赖性需求、真实性需求、可控性需求和可靠性需求等。信息安全管理范围是由信息系统安全需求决定的具体信息安全控制点，对这些实施适当的控制措施可确保组织相应环节的信息安全，从而确保组织整体的信息安全水平。信息安全控制措施是指为改善具体信息安全问题而设置技术或管理手段，信息安全控制措施是信息安全管理的基础。

BS7799给出了一个具体的信息安全管理范围的划分方法，它将信息安全的管理范围分为10大管理方面、36个管理目标和127项控制措施指南。10大管理方面分别是：信息安全方针策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与运维安全、访问控制、系统开发和维护、业务连续性管理、符合法律法规要求等。127项控制措施涵盖目前可能的信息安全技术手段和管理手段。信息安全技术体系是信息安全控制措施的主要方面。

对一个特定的组织或信息系统，选择和实施控制措施的方法就是信息安全管理方法，信息安全管理的方法多种多样，信息安全风险评估是其中的主流。除此之外，信息安全事件管理、信息安全测评认证、信息安全工程管理也从不同侧面对信息安全的安全性进行管理。

信息安全保障体系则是保障信息安全管理各环节、各对象正常运作的基础，其中包括信息安全法律法规、信息安全标准体系、信息安全基础设施、信息安全产业和信息安全教育体系等方面。