信息安全管理的核心内容

信息安全管理

信息安全管理的内容 [1]

1. 信息安全风险管理。信息安全管理是一个过程，而不是一个 产品 ，其本质是 风险管理 。信息安全风险管理可以看成是一个不断降低安全风险的过程，最终目的是使安全风险降低到一个可接受的程度，使用户和 决策者 可以接受剩余的 风险 。信息安全风险管理贯穿 信息系统生命周期 的全部过程。信息系统生命周期包括 规划 、设计、实施、运维和废弃五个阶段。每个阶段都存在相关风险， 需要 采用同样的信息安全风险管理的方法加以 控制 。

2. 设施的 安全管理。设施的安全管理包括 网络 的安全管理、保密设备的安全管理、硬件设施的安全管理、场地的安全管理等。

3. 信息的安全管理。根据 信息化建设 发展的需要，信息包括三个层次的内容：一是在网络和系统中被采集、传输、处理和存储的对象，如技术文档、 存储介质 、各种 信息 等；二是指使用的各种软件；三是安全管理手段的密钥和口令等信息。软件设施的安全管理。对软件设施的安全管理主要考虑配置管理、使用和维护管理、开发管理、病毒管理。软件设施主要包括操作系统、 数据库系统 、 应用软件 、网络管理软件以及网络协议等。操作系统是整个计算机系统的基石，由于它的安全等级不高，需要提供不同安全等级的保护。