2)信息安全管理

◇信息安全管理體系

信息安全管理體系是組織整體管理體系的一部分，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。基于對業(yè)務風險的認識，ISMS包括建立、實施、操作、監(jiān)視、復查、維護和改進信息安全等一系列的管理活動，并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計劃活動、國標與原則、人員與責任、過程與方法、資源等諸多要素的集合。

目前國際上主流的信息系統(tǒng)管理標準有ISO／IEC(International Organization For Stanclarclization/International Electrotechnical CommiSSion)的國際標準27000系列，美國國家標準和技術(shù)委員會（National I11St i【Llte Of Stanclards And Teclmology，NIST）的特別出版物NISTSP 800系列，在我國，信息安全等級保護制度也非常重視安全管理。

◇風險管理

信息安全風險管理是以風險為主線進行信息安全的管理，它的實施目標就是要依據(jù)安全標準和信息系統(tǒng)的安全需求，對信息、信息載體、信息環(huán)境進行安全管理以達到安全目標。

風險管理貫穿于整個信息系統(tǒng)生命周期，包括對象確立、風險評估、風險控制、審核批準、監(jiān)控與審查、溝通與咨詢等六個方面的內(nèi)容。其中，對象確立、風險評估、風險控制和審核批準是信息安全風險管理的四個基本步驟，監(jiān)控與審查、溝通與咨詢則貫穿于這四個基本步驟中。