信息安全管理是任何组织的信息安全活动中的必不可少的内容，目前信息安全管理领域中，国际上比较流行的管理体系是信息安全管理体系(ISMS)，国际标准化组织也加快了信息安全管理体系标准的研究和制定的步伐，目前已经形成了14个国际标准研究编制内容。

我国已经形成的信息安全管理标准主要包括GB/T 22080—2008(信息技术安全技术信息安全管理体系要求》和GB/T 22081—2008(信息技术安全技术安全管理实用规则》。

随着我国信息安全工作的发展，公安部制定了一系列标准，进行信息系统分等级保护，将信息系统划分为五个安全等级，安全要求从第一级到第五级逐级递增。主要标准包括《计算机信息系统安全等级保护划分准则》、《信息安全技术信息系统安全保护等级定级指南》、《信息安全技术信息系统安全等级保护基本要求》等。其等级保护制度的推行，是为了进一步落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的要求“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。因此推行等级保护制度，与建立信息安全管理体系之间有着紧密的关联。

1、信息安全管理体系

1.1信息安全管理体系的结构

信息安全管理体系，即Information security management system(ISMS)，是由信息安全最佳惯例组成的实施规则，主要内容包括11个安全类别，39个控制目标，133项控制措施。信息安全管理体系中提倡对信息系统进行风险评估，其最终目的是通过风险控制，达到信息安全管理的目的。信息安全管理体系的安全类别包括以下几个方面。

(1)安全方针

确定信息安全管理的方针、目标。

(2)信息安全组织

对组织内部和外部各方的信息安全进行管理。

(3)资产管理

对组织的所有信息资产进行分类，并实施有效管理。

(4)人力资源安全

对员工的所有可能影响信息安全的行为和过程列入信息安全管理范围。

(5)物理和环境安全

对组织的办公环境、设备所处环境等的安全管理。

(6)通信和操作管理

对所有涉及到通信和操作的所有内容加以控制。

(7)访问控制

对信息、信息系统、网络服务等方面的访问进行控制。

(8)信息系统获取、开发和维护

对信息系统的设计、开发、验收、维护等方面进行管理。

(9)信息安全事件管理

对信息安全事件的划分、发现、报告、处理程序进行规范。

(10)业务连续性

为防止业务中断，保护关键业务过程而进行的管理。

(11)符合性

保证符合法律、法规要求及符合组织安全策略的管理。

信息安全管理体系中针对所有管理范围都提出了管理要求。其管理体系虽然是针对“管理”建立的，但是其中亦涵盖了所有针对技术方面所应实施的内容。

1.2信息安全管理体系的特点

信息安全管理体系ISMS具有如下特点：(1)基于一个组织;(2)目标是体系化建设;(3)立足于风险管理思想;(4)贯穿了“规划-实施-检查-处置”(PDCA)持续改进的过程和活动;(5)根据组织自身的任务和应对安全风险需求来选择安全控制措施;(6)通过安全控制的测度和审核来检查信息安全技术和管理运用的合规性。

(责任编辑：)