"信息安全管理与ISMS体系构建建议"

第10章 信息安全管理翟健宏主要内容 10.1 概述 信息化社会的发展使得信息安全成为建立在信息社会的基础设施及信息服务系统之间的互联、互通、互操作意义上的安全需求。这种安全需求分为安全技术需求和安全管理需求两个方面。在信息安全管理中，管理的重要性高于安全技术层面，业界普遍认为“三分技术，七分管理”的理念。信息安全管理体系ISMS从管理学惯用的过程模型PDCA（Plan、Do、Check、Act）发展演化而来。 10.2 信息安全风险管理 信息安全管理体系（ISMS）是一个系统化、过程化的管理体系，建立ISMS需要全面、系统、科学的风险评估、制度保证和有效监督机制。ISMS应该体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程的动态调整，以确保整个安全体系在有效管理控制下，不断改进完善以适应新的安全需求。 10.3 信息安全标准 在信息安全管理中，信息安全标准起着重要作用，它可以帮助组织明确信息安全目标和要求，指导组织明确信息安全目标和要求，指导组织安全技术、管理和操作，并在全球范围内提供信息安全保护。 10.4 法律法规 遵守国家有关信息安全的法律法规是信息安全管理中的基本要求，组织应当依法履行信息安全管理的基本义务，加强信息安全防范，加强对信息安全事件和事故的应急处理。 10.5 工程伦理与道德规范 在信息安全管理中，工程伦理与道德规范也起着重要作用。信息安全管理要求组织建立和健全信息安全管理制度，建立信息安全文化，提高全员信息安全意识，加强对信息安全问题的研究。 总的来说，信息安全管理涉及到多个方面，需要全面、系统、科学的考虑。信息安全管理体系ISMS帮助组织建立系统化、过程化的管理体系，并体现预防控制为主的思想。遵守信息安全标准和法律法规，加强工程伦理与道德规范都是信息安全管理的基本要求。信息安全管理的建立和健全需要组织全员的共同努力，以确保信息安全管理体系在有效管理控制下，不断改进完善以适应新的安全需求。