信息安全管理是任何組織的信息活動(dòng)中的必不可少的內(nèi)容，目前信息安全管理領(lǐng)域中，國(guó)際上比較流行的管理體系是信息安全管理體系(ISMS)，國(guó)際標(biāo)準(zhǔn)化組織也加快了信息安全管理體系標(biāo)準(zhǔn)的研究和制定的步伐，目前已經(jīng)形成了14個(gè)國(guó)際標(biāo)準(zhǔn)研究編制內(nèi)容。

　　我國(guó)已經(jīng)形成的信息安全管理標(biāo)準(zhǔn)主要包括GB/T 22080—2008(技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T 22081—2008(信息技術(shù)安全技術(shù)安全管理實(shí)用規(guī)則》。

　　隨著我國(guó)信息安全工作的發(fā)展，公安部制定了一系列標(biāo)準(zhǔn)，進(jìn)行信息系統(tǒng)分等級(jí)保護(hù)，將信息系統(tǒng)劃分為五個(gè)安全等級(jí)，安全要求從第一級(jí)到第五級(jí)逐級(jí)遞增。主要標(biāo)準(zhǔn)包括《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》、《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等。其等級(jí)保護(hù)制度的推行，是為了進(jìn)一步落實(shí)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào))的要求“要重點(diǎn)保護(hù)基礎(chǔ)信息和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。因此推行等級(jí)保護(hù)制度，與建立信息安全管理體系之間有著緊密的關(guān)聯(lián)。

　　1、信息安全管理體系

　　1.1信息安全管理體系的結(jié)構(gòu)

　　信息安全管理體系，即Information security management system(ISMS)，是由信息安全最佳慣例組成的實(shí)施規(guī)則，主要內(nèi)容包括11個(gè)安全類(lèi)別，39個(gè)控制目標(biāo)，133項(xiàng)控制措施。信息安全管理體系中提倡對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，其最終目的是通過(guò)風(fēng)險(xiǎn)控制，達(dá)到信息安全管理的目的。信息安全管理體系的安全類(lèi)別包括以下幾個(gè)方面。

　　(1)安全方針

　　確定信息安全管理的方針、目標(biāo)。

　　(2)信息安全組織

　　對(duì)組織內(nèi)部和外部各方的信息安全進(jìn)行管理。

　　(3)資產(chǎn)管理

　　對(duì)組織的所有信息資產(chǎn)進(jìn)行分類(lèi)，并實(shí)施有效管理。

　　(4)人力資源安全

　　對(duì)員工的所有可能影響信息安全的行為和過(guò)程列入信息安全管理范圍。

　　(5)物理和環(huán)境安全

　　對(duì)組織的辦公環(huán)境、設(shè)備所處環(huán)境等的安全管理。

　　(6)通信和操作管理

　　對(duì)所有涉及到通信和操作的所有內(nèi)容加以控制。

　　(7)訪問(wèn)控制

　　對(duì)信息、信息系統(tǒng)、網(wǎng)絡(luò)服務(wù)等方面的訪問(wèn)進(jìn)行控制。

　　(8)信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)

　　對(duì)信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、驗(yàn)收、維護(hù)等方面進(jìn)行管理。

　　(9)信息安全事件管理

　　對(duì)信息安全事件的劃分、發(fā)現(xiàn)、報(bào)告、處理程序進(jìn)行規(guī)范。

　　(10)業(yè)務(wù)連續(xù)性

　　為防止業(yè)務(wù)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程而進(jìn)行的管理。

　　(11)符合性

　　保證符合法律、法規(guī)要求及符合組織安全策略的管理。

　　信息安全管理體系中針對(duì)所有管理范圍都提出了管理要求。其管理體系雖然是針對(duì)“管理”建立的，但是其中亦涵蓋了所有針對(duì)技術(shù)方面所應(yīng)實(shí)施的內(nèi)容。

　　1.2信息安全管理體系的特點(diǎn)

　　信息安全管理體系ISMS具有如下特點(diǎn)：(1)基于一個(gè)組織;(2)目標(biāo)是體系化建設(shè);(3)立足于風(fēng)險(xiǎn)管理思想;(4)貫穿了“規(guī)劃-實(shí)施-檢查-處置”(PDCA)持續(xù)改進(jìn)的過(guò)程和活動(dòng);(5)根據(jù)組織自身的任務(wù)和應(yīng)對(duì)安全風(fēng)險(xiǎn)需求來(lái)選擇安全控制措施;(6)通過(guò)安全控制的測(cè)度和審核來(lái)檢查信息安全技術(shù)和管理運(yùn)用的合規(guī)性。

　　2、等級(jí)保護(hù)中的安全管理

　　2.1安全管理基本要求

　　等級(jí)保護(hù)制度是根據(jù)國(guó)家等級(jí)保護(hù)管理規(guī)定，等級(jí)保護(hù)包含技術(shù)和管理兩個(gè)方面。其中安全管理要求分為五個(gè)方面：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。這五個(gè)方面貫穿了信息系統(tǒng)的全生命周期。其具體要求內(nèi)容隨著安全級(jí)別越高，要求的強(qiáng)度越高。

　　(1)安全管理制度

　　從建立安全管理制度的角度，要求對(duì)日常管理形成管理制度，并進(jìn)行適當(dāng)?shù)木S護(hù)。

　　(2)安全管理機(jī)構(gòu)

　　要求建立具有明確職責(zé)的信息安全管理機(jī)構(gòu)，并做好具體分工。

　　(3)人員安全管理

　　對(duì)人員的錄用、離崗、考核、教育及外部人員的安全進(jìn)行規(guī)范。

　　(4)系統(tǒng)建設(shè)管理

　　從系統(tǒng)生命周期角度，對(duì)系統(tǒng)的設(shè)計(jì)、采購(gòu)、實(shí)施等角度對(duì)信息系統(tǒng)進(jìn)行安全管理。

　　(5)系統(tǒng)運(yùn)維管理

　　在系統(tǒng)運(yùn)維過(guò)程中，對(duì)系統(tǒng)運(yùn)行過(guò)程中的全部安全問(wèn)題進(jìn)行管理。

　　2.2等級(jí)保護(hù)基本要求

　　等級(jí)保護(hù)的基本要求分為技術(shù)和管理兩個(gè)方面，在實(shí)際的技術(shù)要求中，亦涉及到了管理的內(nèi)容，比如在物理安全層面中對(duì)機(jī)房的管理、主機(jī)安全等層面中對(duì)安全審計(jì)的要求等，因此，等級(jí)保護(hù)中的管理與技術(shù)兩大類(lèi)是密不可分的，其具有相互關(guān)聯(lián)性，能夠在某些方面互相彌補(bǔ)。是一個(gè)統(tǒng)一的整體。

　　3、信息安全管理體系與等級(jí)保護(hù)管理要求的關(guān)系

　　信息安全管理的目標(biāo)是保證信息系統(tǒng)資產(chǎn)的安全，不論是何種管理制度，其保護(hù)的對(duì)象都是信息和信息系統(tǒng)。因此，信息安全管理體系與等級(jí)保護(hù)的管理其最終目的都是一樣的，但是等級(jí)保護(hù)要求中將管理要求與技術(shù)要求進(jìn)行了區(qū)分，因此信息安全管理體系中所包含的管理內(nèi)容更加全面。本文就具體內(nèi)容進(jìn)行分析。

　　信息安全管理體系中，信息安全方針的管理與等保管理要求中的“安全管理制度：管理制度”的要求相同。

　　在信息安全組織類(lèi)中，信息安全管理的承諾對(duì)應(yīng)“安全管理機(jī)構(gòu)：崗位設(shè)置”、“安全管理制度：制定和發(fā)布”;信息安全協(xié)調(diào)對(duì)應(yīng)“安全管理機(jī)構(gòu)：溝通和合作”;信息安全職責(zé)的分配對(duì)應(yīng)“安全管理機(jī)構(gòu)：崗位設(shè)置”;信息處理設(shè)施的授權(quán)過(guò)程對(duì)應(yīng)“系統(tǒng)建設(shè)管理：產(chǎn)品采賄私使用”，保密性協(xié)議對(duì)應(yīng)“人員安全管理：人員錄用”，與政府部門(mén)的聯(lián)系對(duì)應(yīng)“安全管理機(jī)構(gòu)：溝通和合作”，與特定利益集團(tuán)的聯(lián)系對(duì)應(yīng)“安全管理機(jī)構(gòu)：溝通和合作”，信息安全的獨(dú)立評(píng)審對(duì)應(yīng)“安全管理制度：制定和發(fā)布”，與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別、處理與顧客有關(guān)的安全問(wèn)題對(duì)應(yīng)“人員安全管理：外部人員訪問(wèn)管理”，處理第三方協(xié)議中的安全問(wèn)題對(duì)應(yīng)“系統(tǒng)建設(shè)管理：安全服務(wù)商選擇”。

　　在資產(chǎn)管理安全類(lèi)中，資產(chǎn)清單、資產(chǎn)責(zé)任人、資產(chǎn)的合格使用、信息分類(lèi)指南、信息的標(biāo)記和處理對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：資產(chǎn)管理”。

　　人力資源安全類(lèi)中，任用前的角色和職責(zé)對(duì)應(yīng)“安全管理機(jī)構(gòu)：人員配置”、“安全管理機(jī)構(gòu)：崗位設(shè)置”，任用前的審查、任用條款和條件、人員任用中的管理職責(zé)對(duì)應(yīng)“人員安全：人員錄用”，信息安全意識(shí)、教育和培訓(xùn)對(duì)應(yīng)“人員安全管理：安全意識(shí)教育和培訓(xùn)”，紀(jì)律處理過(guò)程對(duì)應(yīng)“人員安全管理：人員考核”，任用終止職責(zé)、資產(chǎn)的歸還、撤銷(xiāo)訪問(wèn)權(quán)對(duì)應(yīng)“人員安全管理：人員離崗”。

　　物理安全管理類(lèi)中，大部分內(nèi)容對(duì)應(yīng)等級(jí)保護(hù)要求中的“物理安全”層面，其中物理安全邊界、物理人口控制、辦公室、房間和設(shè)施的安全保護(hù)、在安全區(qū)域工作、支持性設(shè)施、資產(chǎn)的移動(dòng)對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：環(huán)境管理”，設(shè)備維護(hù)、組織場(chǎng)所外的設(shè)備安全對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：設(shè)備管理”，設(shè)備的安全處置和再利用對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：介質(zhì)管理”。

　　在通信和操作管理安全類(lèi)中，文件化的操作程序?qū)?yīng)“安全管理制度：管理制度”中日常操作規(guī)程的要求，變更管理對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：變更管理”，系統(tǒng)操作的責(zé)任分割對(duì)應(yīng)“安全管理機(jī)構(gòu)：人員配置”，開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施分離對(duì)應(yīng)“系統(tǒng)建設(shè)管理：自行軟件開(kāi)發(fā)”，第三方服務(wù)交付對(duì)應(yīng)“系統(tǒng)建設(shè)管理：系統(tǒng)交付”，第三方服務(wù)的監(jiān)視和評(píng)審對(duì)應(yīng)“系統(tǒng)建設(shè)管理：工程實(shí)施”中關(guān)于實(shí)施過(guò)程管理、建立等方面的要求，第三方服務(wù)的變更管理對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：變更管理”中關(guān)于系統(tǒng)變更的控制，系統(tǒng)容量管理對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：系統(tǒng)安全管理”中關(guān)于系統(tǒng)容量的要求，系統(tǒng)驗(yàn)收對(duì)應(yīng)“系統(tǒng)建設(shè)管理：測(cè)試驗(yàn)收”和“系統(tǒng)建設(shè)管理：系統(tǒng)交付”，控制惡意代碼、控制移動(dòng)代碼對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：惡意代碼防范”，信息備份對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：備份與恢復(fù)管理”，網(wǎng)絡(luò)控制對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：網(wǎng)絡(luò)安全管理”，網(wǎng)絡(luò)服務(wù)安全對(duì)應(yīng)的是等級(jí)保護(hù)技術(shù)要求中的網(wǎng)絡(luò)安全層面，可移動(dòng)介質(zhì)的管理、介質(zhì)的處置對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：介質(zhì)管理”，系統(tǒng)文件安全對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：系統(tǒng)安全管理”，審計(jì)日志對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：系統(tǒng)安全管理”，監(jiān)視系統(tǒng)的使用對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：監(jiān)控管理和安全管理中心”，另外一些如日志信息的保護(hù)、管理員和操作員日志、故障日志、時(shí)鐘同步、電子消息發(fā)送、業(yè)務(wù)信息系統(tǒng)、電子商務(wù)、在線交易等對(duì)應(yīng)到等級(jí)保護(hù)要求中的“主機(jī)安全”、“應(yīng)用安全”、“安全”等多個(gè)瑟面。

　　在訪問(wèn)控制安全類(lèi)里面，大部分都對(duì)應(yīng)著等級(jí)保護(hù)要求的“主機(jī)安全”、“應(yīng)用安全”、“網(wǎng)絡(luò)安全”中的“訪問(wèn)控制”控制點(diǎn)，另外，訪問(wèn)控制策略對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：系統(tǒng)安全管理”，網(wǎng)絡(luò)連接控制對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：網(wǎng)絡(luò)安全管理”。

　　系統(tǒng)安全要求分析和說(shuō)明對(duì)應(yīng)“系統(tǒng)建設(shè)管理：安全方案設(shè)計(jì)”，密鑰管理對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：密碼管理”，變更控制程序、操作系統(tǒng)變更后應(yīng)用的技術(shù)評(píng)審對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：變更管理”，外包軟件開(kāi)發(fā)對(duì)應(yīng)“系統(tǒng)建設(shè)管理：外包軟件開(kāi)發(fā)”，技術(shù)脆弱性的控制對(duì)應(yīng)“系統(tǒng)運(yùn)維管理：網(wǎng)絡(luò)安全管理”和“系統(tǒng)運(yùn)維管理：系統(tǒng)安全管理”中關(guān)于系統(tǒng)漏洞及補(bǔ)丁的要求。

　　在信息安全事件管理的安全類(lèi)里面，報(bào)告信息安全事態(tài)、報(bào)告安全弱點(diǎn)、職責(zé)和程序、對(duì)信息安全事件的總結(jié)、證據(jù)的收集都對(duì)應(yīng)著“系統(tǒng)運(yùn)維管理：安全事件處置”。

　　在業(yè)務(wù)連續(xù)性管理安全類(lèi)中，主要對(duì)應(yīng)等級(jí)保護(hù)要求中的“系統(tǒng)運(yùn)維管理：應(yīng)急預(yù)案管理”，但是業(yè)務(wù)連續(xù)性管理中提到了要進(jìn)行風(fēng)險(xiǎn)評(píng)估，并根據(jù)評(píng)估結(jié)果開(kāi)發(fā)連續(xù)性計(jì)射，這與等級(jí)保護(hù)政策中開(kāi)展等級(jí)測(cè)評(píng)，并根據(jù)測(cè)評(píng)結(jié)果進(jìn)行信息系統(tǒng)改建的要求是相一致的。

　　在符合性要求類(lèi)中，主要涉及等級(jí)保護(hù)要求中的“安全管理機(jī)構(gòu)：審核和檢查”及一些技術(shù)要求。

　　4、結(jié)束語(yǔ)

　　信息安全管理體系的建立是為了保障組織的信息和信息系統(tǒng)的安全，與等級(jí)保護(hù)的最終目標(biāo)是一致的，雖然信息安全管理體系的名為管理，實(shí)際上涵蓋了所有對(duì)技術(shù)實(shí)施方面的要求，是一個(gè)綜合的管理體系。等級(jí)保護(hù)基本要求中的管理要求是按照組織實(shí)施管理過(guò)程的五個(gè)基本方面來(lái)進(jìn)行約束的，對(duì)組織的信息安全、提供服務(wù)迸行保障。兩者之間既有區(qū)別又有聯(lián)系，但是其最終目的都是為了保障組織的信息安全。