信息安全管理是任何組織的信息活動中的必不可少的內(nèi)容，目前信息安全管理領域中，國際上比較流行的管理體系是信息安全管理體系(ISMS)，國際標準化組織也加快了信息安全管理體系標準的研究和制定的步伐，目前已經(jīng)形成了14個國際標準研究編制內(nèi)容。

　　我國已經(jīng)形成的信息安全管理標準主要包括GB/T 22080—2008(技術安全技術信息安全管理體系要求》和GB/T 22081—2008(信息技術安全技術安全管理實用規(guī)則》。

　　隨著我國信息安全工作的發(fā)展，公安部制定了一系列標準，進行信息系統(tǒng)分等級保護，將信息系統(tǒng)劃分為五個安全等級，安全要求從第一級到第五級逐級遞增。主要標準包括《計算機信息系統(tǒng)安全等級保護劃分準則》、《信息安全技術信息系統(tǒng)安全保護等級定級指南》、《信息安全技術信息系統(tǒng)安全等級保護基本要求》等。其等級保護制度的推行，是為了進一步落實《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)的要求“要重點保護基礎信息和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。因此推行等級保護制度，與建立信息安全管理體系之間有著緊密的關聯(lián)。

　　1、信息安全管理體系

　　1.1信息安全管理體系的結構

　　信息安全管理體系，即Information security management system(ISMS)，是由信息安全最佳慣例組成的實施規(guī)則，主要內(nèi)容包括11個安全類別，39個控制目標，133項控制措施。信息安全管理體系中提倡對信息系統(tǒng)進行風險評估，其最終目的是通過風險控制，達到信息安全管理的目的。信息安全管理體系的安全類別包括以下幾個方面。

　　(1)安全方針

　　確定信息安全管理的方針、目標。

　　(2)信息安全組織

　　對組織內(nèi)部和外部各方的信息安全進行管理。

　　(3)資產(chǎn)管理

　　對組織的所有信息資產(chǎn)進行分類，并實施有效管理。

　　(4)人力資源安全

　　對員工的所有可能影響信息安全的行為和過程列入信息安全管理范圍。

　　(5)物理和環(huán)境安全

　　對組織的辦公環(huán)境、設備所處環(huán)境等的安全管理。

　　(6)通信和操作管理

　　對所有涉及到通信和操作的所有內(nèi)容加以控制。

　　(7)訪問控制

　　對信息、信息系統(tǒng)、網(wǎng)絡服務等方面的訪問進行控制。

　　(8)信息系統(tǒng)獲取、開發(fā)和維護

　　對信息系統(tǒng)的設計、開發(fā)、驗收、維護等方面進行管理。

　　(9)信息安全事件管理

　　對信息安全事件的劃分、發(fā)現(xiàn)、報告、處理程序進行規(guī)范。

　　(10)業(yè)務連續(xù)性

　　為防止業(yè)務中斷，保護關鍵業(yè)務過程而進行的管理。

　　(11)符合性

　　保證符合法律、法規(guī)要求及符合組織安全策略的管理。

　　信息安全管理體系中針對所有管理范圍都提出了管理要求。其管理體系雖然是針對“管理”建立的，但是其中亦涵蓋了所有針對技術方面所應實施的內(nèi)容。

　　1.2信息安全管理體系的特點

　　信息安全管理體系ISMS具有如下特點：(1)基于一個組織;(2)目標是體系化建設;(3)立足于風險管理思想;(4)貫穿了“規(guī)劃-實施-檢查-處置”(PDCA)持續(xù)改進的過程和活動;(5)根據(jù)組織自身的任務和應對安全風險需求來選擇安全控制措施;(6)通過安全控制的測度和審核來檢查信息安全技術和管理運用的合規(guī)性。

　　2、等級保護中的安全管理

　　2.1安全管理基本要求

　　等級保護制度是根據(jù)國家等級保護管理規(guī)定，等級保護包含技術和管理兩個方面。其中安全管理要求分為五個方面：安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理。這五個方面貫穿了信息系統(tǒng)的全生命周期。其具體要求內(nèi)容隨著安全級別越高，要求的強度越高。

　　(1)安全管理制度

　　從建立安全管理制度的角度，要求對日常管理形成管理制度，并進行適當?shù)木S護。

　　(2)安全管理機構

　　要求建立具有明確職責的信息安全管理機構，并做好具體分工。

　　(3)人員安全管理

　　對人員的錄用、離崗、考核、教育及外部人員的安全進行規(guī)范。

　　(4)系統(tǒng)建設管理

　　從系統(tǒng)生命周期角度，對系統(tǒng)的設計、采購、實施等角度對信息系統(tǒng)進行安全管理。

　　(5)系統(tǒng)運維管理

　　在系統(tǒng)運維過程中，對系統(tǒng)運行過程中的全部安全問題進行管理。

　　2.2等級保護基本要求

　　等級保護的基本要求分為技術和管理兩個方面，在實際的技術要求中，亦涉及到了管理的內(nèi)容，比如在物理安全層面中對機房的管理、主機安全等層面中對安全審計的要求等，因此，等級保護中的管理與技術兩大類是密不可分的，其具有相互關聯(lián)性，能夠在某些方面互相彌補。是一個統(tǒng)一的整體。

　　3、信息安全管理體系與等級保護管理要求的關系

　　信息安全管理的目標是保證信息系統(tǒng)資產(chǎn)的安全，不論是何種管理制度，其保護的對象都是信息和信息系統(tǒng)。因此，信息安全管理體系與等級保護的管理其最終目的都是一樣的，但是等級保護要求中將管理要求與技術要求進行了區(qū)分，因此信息安全管理體系中所包含的管理內(nèi)容更加全面。本文就具體內(nèi)容進行分析。

　　信息安全管理體系中，信息安全方針的管理與等保管理要求中的“安全管理制度：管理制度”的要求相同。

　　在信息安全組織類中，信息安全管理的承諾對應“安全管理機構：崗位設置”、“安全管理制度：制定和發(fā)布”;信息安全協(xié)調(diào)對應“安全管理機構：溝通和合作”;信息安全職責的分配對應“安全管理機構：崗位設置”;信息處理設施的授權過程對應“系統(tǒng)建設管理：產(chǎn)品采賄私使用”，保密性協(xié)議對應“人員安全管理：人員錄用”，與政府部門的聯(lián)系對應“安全管理機構：溝通和合作”，與特定利益集團的聯(lián)系對應“安全管理機構：溝通和合作”，信息安全的獨立評審對應“安全管理制度：制定和發(fā)布”，與外部各方相關風險的識別、處理與顧客有關的安全問題對應“人員安全管理：外部人員訪問管理”，處理第三方協(xié)議中的安全問題對應“系統(tǒng)建設管理：安全服務商選擇”。

　　在資產(chǎn)管理安全類中，資產(chǎn)清單、資產(chǎn)責任人、資產(chǎn)的合格使用、信息分類指南、信息的標記和處理對應“系統(tǒng)運維管理：資產(chǎn)管理”。

　　人力資源安全類中，任用前的角色和職責對應“安全管理機構：人員配置”、“安全管理機構：崗位設置”，任用前的審查、任用條款和條件、人員任用中的管理職責對應“人員安全：人員錄用”，信息安全意識、教育和培訓對應“人員安全管理：安全意識教育和培訓”，紀律處理過程對應“人員安全管理：人員考核”，任用終止職責、資產(chǎn)的歸還、撤銷訪問權對應“人員安全管理：人員離崗”。

　　物理安全管理類中，大部分內(nèi)容對應等級保護要求中的“物理安全”層面，其中物理安全邊界、物理人口控制、辦公室、房間和設施的安全保護、在安全區(qū)域工作、支持性設施、資產(chǎn)的移動對應“系統(tǒng)運維管理：環(huán)境管理”，設備維護、組織場所外的設備安全對應“系統(tǒng)運維管理：設備管理”，設備的安全處置和再利用對應“系統(tǒng)運維管理：介質(zhì)管理”。

　　在通信和操作管理安全類中，文件化的操作程序對應“安全管理制度：管理制度”中日常操作規(guī)程的要求，變更管理對應“系統(tǒng)運維管理：變更管理”，系統(tǒng)操作的責任分割對應“安全管理機構：人員配置”，開發(fā)、測試和運行設施分離對應“系統(tǒng)建設管理：自行軟件開發(fā)”，第三方服務交付對應“系統(tǒng)建設管理：系統(tǒng)交付”，第三方服務的監(jiān)視和評審對應“系統(tǒng)建設管理：工程實施”中關于實施過程管理、建立等方面的要求，第三方服務的變更管理對應“系統(tǒng)運維管理：變更管理”中關于系統(tǒng)變更的控制，系統(tǒng)容量管理對應“系統(tǒng)運維管理：系統(tǒng)安全管理”中關于系統(tǒng)容量的要求，系統(tǒng)驗收對應“系統(tǒng)建設管理：測試驗收”和“系統(tǒng)建設管理：系統(tǒng)交付”，控制惡意代碼、控制移動代碼對應“系統(tǒng)運維管理：惡意代碼防范”，信息備份對應“系統(tǒng)運維管理：備份與恢復管理”，網(wǎng)絡控制對應“系統(tǒng)運維管理：網(wǎng)絡安全管理”，網(wǎng)絡服務安全對應的是等級保護技術要求中的網(wǎng)絡安全層面，可移動介質(zhì)的管理、介質(zhì)的處置對應“系統(tǒng)運維管理：介質(zhì)管理”，系統(tǒng)文件安全對應“系統(tǒng)運維管理：系統(tǒng)安全管理”，審計日志對應“系統(tǒng)運維管理：系統(tǒng)安全管理”，監(jiān)視系統(tǒng)的使用對應“系統(tǒng)運維管理：監(jiān)控管理和安全管理中心”，另外一些如日志信息的保護、管理員和操作員日志、故障日志、時鐘同步、電子消息發(fā)送、業(yè)務信息系統(tǒng)、電子商務、在線交易等對應到等級保護要求中的“主機安全”、“應用安全”、“安全”等多個瑟面。

　　在訪問控制安全類里面，大部分都對應著等級保護要求的“主機安全”、“應用安全”、“網(wǎng)絡安全”中的“訪問控制”控制點，另外，訪問控制策略對應“系統(tǒng)運維管理：系統(tǒng)安全管理”，網(wǎng)絡連接控制對應“系統(tǒng)運維管理：網(wǎng)絡安全管理”。

　　系統(tǒng)安全要求分析和說明對應“系統(tǒng)建設管理：安全方案設計”，密鑰管理對應“系統(tǒng)運維管理：密碼管理”，變更控制程序、操作系統(tǒng)變更后應用的技術評審對應“系統(tǒng)運維管理：變更管理”，外包軟件開發(fā)對應“系統(tǒng)建設管理：外包軟件開發(fā)”，技術脆弱性的控制對應“系統(tǒng)運維管理：網(wǎng)絡安全管理”和“系統(tǒng)運維管理：系統(tǒng)安全管理”中關于系統(tǒng)漏洞及補丁的要求。

　　在信息安全事件管理的安全類里面，報告信息安全事態(tài)、報告安全弱點、職責和程序、對信息安全事件的總結、證據(jù)的收集都對應著“系統(tǒng)運維管理：安全事件處置”。

　　在業(yè)務連續(xù)性管理安全類中，主要對應等級保護要求中的“系統(tǒng)運維管理：應急預案管理”，但是業(yè)務連續(xù)性管理中提到了要進行風險評估，并根據(jù)評估結果開發(fā)連續(xù)性計射，這與等級保護政策中開展等級測評，并根據(jù)測評結果進行信息系統(tǒng)改建的要求是相一致的。

　　在符合性要求類中，主要涉及等級保護要求中的“安全管理機構：審核和檢查”及一些技術要求。

　　4、結束語

　　信息安全管理體系的建立是為了保障組織的信息和信息系統(tǒng)的安全，與等級保護的最終目標是一致的，雖然信息安全管理體系的名為管理，實際上涵蓋了所有對技術實施方面的要求，是一個綜合的管理體系。等級保護基本要求中的管理要求是按照組織實施管理過程的五個基本方面來進行約束的，對組織的信息安全、提供服務迸行保障。兩者之間既有區(qū)別又有聯(lián)系，但是其最終目的都是為了保障組織的信息安全。