5.1  知識子域：信息安全管理體系

5.1.1  信息安全管理基礎(chǔ)

1.信息安全管理基本概念

1）管理

管理主體組織并利用其各個要素（人、財(cái)、物、信息和時(shí)空），借助管理手段，完成該組織目標(biāo)的過程。其中，信息就像其他重要業(yè)務(wù)資產(chǎn)和管理要素一樣，也是對組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當(dāng)?shù)乇Ｗo(hù)。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越來越廣的威脅和脆弱性當(dāng)中。

信息可以以多種形式存在。它可以打印或?qū)懺诩埳?、以電子方式存儲、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用語言表達(dá)。無論信息以什么形式存在，用哪種方法存儲或共享，都宜對它進(jìn)行適當(dāng)?shù)乇Ｗo(hù)。信息安全是保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和商業(yè)機(jī)遇最大化。

2)信息安全管理

管理者為實(shí)現(xiàn)信息安全目標(biāo)（信息資產(chǎn)的CIA等特性，以及組織目標(biāo)運(yùn)作的持續(xù)）而進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。通過實(shí)施一組合適的控制措施而達(dá)到的組織的目標(biāo)，其中包括制定策略、審定過程、編制規(guī)程、設(shè)計(jì)組織結(jié)構(gòu)以及開發(fā)必要的軟件和硬件安全功能。在必要時(shí)需建立、實(shí)施、監(jiān)視、評審和改進(jìn)包含這些控制措施的信息安全管理過程，以確保滿足該組織的特定安全和業(yè)務(wù)目標(biāo)。這個過程宜與其他業(yè)務(wù)管理過程聯(lián)合進(jìn)行。