信息安全管理是指通過維護(hù)信息的機(jī)密性、完整性和可用性來管理和保護(hù)信息資產(chǎn)，是對信息安全保障進(jìn)行指導(dǎo)、規(guī)范和管理的一系列活動和過程。

　　1、信息安全風(fēng)險(xiǎn)管理

　　信息安全管理是一個過程，而不是一個產(chǎn)品，其本質(zhì)是風(fēng)險(xiǎn)管理。信息安全風(fēng)險(xiǎn)管理可以看成是一個不斷降低安全風(fēng)險(xiǎn)的過程，最終目的是使安全風(fēng)險(xiǎn)降低到一個可接受的程度，使用戶和決策者可以接受剩余的風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過程。信息系統(tǒng)生命周期包括規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄五個階段。每個階段都存在相關(guān)風(fēng)險(xiǎn)，需要采用同樣的信息安全風(fēng)險(xiǎn)管理的方法加以控制。

　　信息安全風(fēng)險(xiǎn)管理是為保護(hù)信息及其相關(guān)資產(chǎn)，指導(dǎo)和控制一個組織相關(guān)信息安全風(fēng)險(xiǎn)的協(xié)調(diào)活動。我國《信息安全風(fēng)險(xiǎn)管理指南》指出，信息安全風(fēng)險(xiǎn)管理包括對象確立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)控制、審核批準(zhǔn)、監(jiān)控與審查、溝通與咨詢六個方面，其中前四項(xiàng)是信息安全風(fēng)險(xiǎn)管理的四個基本步驟，監(jiān)控與審查和溝通與咨詢則貫穿于前四個步驟中。

　　2、設(shè)施的安全管理

　　設(shè)施的安全管理包括網(wǎng)絡(luò)的安全管理、保密設(shè)備的安全管理、硬件設(shè)施的安全管理、場地的安全管理等。

　　管理網(wǎng)絡(luò)的安全管理。信息管理網(wǎng)絡(luò)是一個用于收集、傳輸、處理和存儲有關(guān)信息系統(tǒng)與網(wǎng)絡(luò)的維護(hù)、運(yùn)行和管理信息的、高度自動化網(wǎng)絡(luò)化的綜合管理系統(tǒng)。它包括性能管理、配置管理、故障管理、計(jì)費(fèi)管理、安全管理等功能。而安全管理又包括系統(tǒng)的安全管理、安全服務(wù)管理、安全機(jī)制管理、安全事件處理管理、安全審計(jì)管理、安全恢復(fù)管理等。

　　硬件設(shè)施的安全管理。對硬件設(shè)施的安全管理主要考慮配置管理、使用管理、維修管理、存儲管理、網(wǎng)絡(luò)連接管理。常見的網(wǎng)絡(luò)設(shè)備需要防止電磁輻射、電磁泄漏和自然老化。對集線器、交換機(jī)、網(wǎng)關(guān)設(shè)備或路由器，還需防止受到拒絕服務(wù)、訪問控制、后門缺陷等威脅。對傳輸介質(zhì)還需防止電磁干擾、搭線竊聽和人為破壞，對衛(wèi)星信道、微波接力信道等需防止對信道的竊聽及人為破壞。對保密設(shè)備主要包括保密性能指標(biāo)的管理、工作狀態(tài)的管理、保密設(shè)備類型、數(shù)量、分配、使用者狀況的管理、密鑰的管理。場地設(shè)施的安全管理。機(jī)房和場地設(shè)施的安全管理需要滿足防水、防火、防靜電、防雷擊、防輻射、防盜竊等國家標(biāo)準(zhǔn)。人員出入控制，需要根據(jù)安全等級和涉密范圍，采取必要的技術(shù)與行政措施，對人員進(jìn)入和退出的時間及進(jìn)入理由進(jìn)行登記等。電磁輻射防護(hù)，需要根據(jù)技術(shù)上的可行性與經(jīng)濟(jì)上的合理性，采取設(shè)備防護(hù)、建筑物防護(hù)、區(qū)域性防護(hù)、磁場防護(hù)。

　　3、信息的安全管理

　　根據(jù)信息化建設(shè)發(fā)展的需要，信息包括三個層次的內(nèi)容：一是在網(wǎng)絡(luò)和系統(tǒng)中被采集、傳輸、處理和存儲的對象，如技術(shù)文檔、存儲介質(zhì)、各種信息等；二是指使用的各種軟件；三是安全管理手段的密鑰和口令等信息。軟件設(shè)施的安全管理。對軟件設(shè)施的安全管理主要考慮配置管理、使用和維護(hù)管理、開發(fā)管理、病毒管理。軟件設(shè)施主要包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)管理軟件以及網(wǎng)絡(luò)協(xié)議等。操作系統(tǒng)是整個計(jì)算機(jī)系統(tǒng)的基石，由于它的安全等級不高，需要提供不同安全等級的保護(hù)。對數(shù)據(jù)庫系統(tǒng)，需要加強(qiáng)數(shù)據(jù)庫的安全性，并采用加密技術(shù)對數(shù)據(jù)庫中的敏感數(shù)據(jù)加密。目前使用最廣泛的網(wǎng)絡(luò)通信協(xié)議是TCP/IP協(xié)議。由于存在許多安全設(shè)計(jì)缺陷，常常面臨許多威脅。網(wǎng)絡(luò)管理軟件是安全管理的重要組成部分，常用的有：HP公司的OpenView，IBM公司的NetView，SUN公司的NetManager等，也需要額外的安全措施。

　　存儲介質(zhì)的安全管理。存儲介質(zhì)包括：紙介質(zhì)、磁盤、光盤、磁帶、錄音/錄像帶等，它們的安全對信息系統(tǒng)的恢復(fù)、信息的保密、防病毒起著十分關(guān)鍵的作用。對不同類別的存儲介質(zhì)，安全管理要求也不盡相同。對存儲介質(zhì)的安全管理主要考慮存儲管理、使用管理、復(fù)制和銷毀管理、涉密介質(zhì)的安全管理。技術(shù)文檔的安全管理。技術(shù)文檔是系統(tǒng)或網(wǎng)絡(luò)在設(shè)計(jì)、開發(fā)、運(yùn)行和維護(hù)中所有技術(shù)問題的文字描述。技術(shù)文檔按其內(nèi)容的涉密程度進(jìn)行分級管理，一般分為絕密級、機(jī)密級、秘密級和公開級。對技術(shù)文檔的安全管理主要考慮文檔的使用、備份、借閱、銷毀等方面，需要建立嚴(yán)格的管理制度和相關(guān)負(fù)責(zé)人。

　　密鑰和口令的安全管理。密鑰是加密解密算法的關(guān)鍵，密鑰管理就是對密鑰的生成、檢驗(yàn)、分配、保存、使用、注入、更換和銷毀等過程所進(jìn)行的管理。口令是進(jìn)行設(shè)備管理的一種有效手段，對口令的產(chǎn)生、傳送、使用、存儲、更換均需要有效的管理和控制。

　　4、運(yùn)行的安全管理

　　信息系統(tǒng)和網(wǎng)絡(luò)在運(yùn)行中的安全狀態(tài)也是需要考慮的問題，目前常常關(guān)注安全審計(jì)和安全恢復(fù)兩個安全管理問題。

　　安全審計(jì)。安全審計(jì)是指對系統(tǒng)或網(wǎng)絡(luò)運(yùn)行中有關(guān)安全的情況和事件進(jìn)行記錄、分析并采取相應(yīng)措施的管理活動。目前主要對操作系統(tǒng)及各種關(guān)鍵應(yīng)用軟件進(jìn)行審計(jì)。安全審計(jì)工作應(yīng)該由各級安全機(jī)構(gòu)負(fù)責(zé)實(shí)施管理，安全審計(jì)可以采用人工、半自動或自動智能三種方式。人工審計(jì)一般通過審計(jì)員查看、分析、處理審計(jì)記錄；半自動審計(jì)一般由計(jì)算機(jī)自動分析處理，再有審計(jì)員作出決策和處理；自動智能審計(jì)一般由計(jì)算機(jī)完成分析處理，并借助專家系統(tǒng)作出判斷，更能滿足不同應(yīng)用環(huán)境的需求。

　　安全恢復(fù)。安全恢復(fù)是指網(wǎng)絡(luò)和信息系統(tǒng)在收到災(zāi)難性打擊或破壞時，為使網(wǎng)絡(luò)和信息系統(tǒng)迅速恢復(fù)正常，并使損失降低到最小而進(jìn)行的一系列活動。安全恢復(fù)的管理主要包括安全恢復(fù)策略的確立、安全恢復(fù)計(jì)劃的制定、安全恢復(fù)計(jì)劃的測試和維護(hù)、安全恢復(fù)計(jì)劃的執(zhí)行。

　　信息安全管理應(yīng)遵循統(tǒng)一的安全管理原則：

　?。?）規(guī)范化原則：各階段都應(yīng)遵循安全規(guī)范要求，根據(jù)組織安全需求，制定安全策略。

　?。?）系統(tǒng)化原則：根據(jù)安全工程的要求，對系統(tǒng)各階段，包括以后的升級、換代和功能擴(kuò)展進(jìn)行全面統(tǒng)一地考慮。

　　（3）綜合保障原則：人員、資金、技術(shù)等多方面綜合保障；

　　（4）以人為本原則：技術(shù)是關(guān)鍵，管理是核心，提高管理人員的技術(shù)素養(yǎng)和道德水平。

　?。?）首長負(fù)責(zé)原則：只有首長負(fù)責(zé)才能把安全管理落到實(shí)處

　　（6）預(yù)防原則：安全管理以預(yù)防為主，并要有一定的超前意識；

　?。?）風(fēng)險(xiǎn)評估原則：根據(jù)實(shí)踐對系統(tǒng)定期進(jìn)行風(fēng)險(xiǎn)評估以改進(jìn)系統(tǒng)的安全狀況；

　?。?）動態(tài)原則：根據(jù)環(huán)境的改變和技術(shù)的進(jìn)步，提高系統(tǒng)的保護(hù)能力

　?。?）成本效益原則：根據(jù)資源價值和風(fēng)險(xiǎn)評估結(jié)果，采用適度的保護(hù)措施。

　?。?0）均衡防護(hù)原則：根據(jù)“木捅原理”，整個系統(tǒng)的安全強(qiáng)度取決員弱的一環(huán)，片面追求某個方面的安全強(qiáng)度對整個系統(tǒng)沒有實(shí)際意義。

　　此外，在信息安全管理的具體實(shí)施過程中還應(yīng)道循下面一些原則：分權(quán)制衡原則、最小特權(quán)原則、職權(quán)分離原則、普遍參與原則、審計(jì)獨(dú)立原則等。

　　信息安全管理的方法包括法律方法、行政方法、經(jīng)濟(jì)方法和宣傳教育方法。四者相互結(jié)合，形成完整的管理方法體系。

　　1、法律方法是指通過國家制定和實(shí)施各種法規(guī)以進(jìn)行管理的方法。這里的法規(guī)包括國家頒布的法律、國家及軍隊(duì)的各級領(lǐng)導(dǎo)機(jī)構(gòu)以及各個管理系統(tǒng)所制定的法令、條例、制定等各種具有法律效力的規(guī)范。

　　2、行政方法是指行政組織機(jī)構(gòu)和領(lǐng)導(dǎo)者運(yùn)用權(quán)力，通過強(qiáng)制性的行政命令、規(guī)定、指示等行政手段，按照行政系統(tǒng)和層次，直接指揮下屬工作以實(shí)施管理的方法。在安全管理過程中，法律方法、經(jīng)濟(jì)方法、

　　3、宣傳教育方法等都需要通過行政系統(tǒng)來具體地組織與貫徹實(shí)施。經(jīng)濟(jì)方法是根據(jù)客觀經(jīng)濟(jì)規(guī)律，運(yùn)用各種經(jīng)濟(jì)手段，調(diào)節(jié)各方面經(jīng)濟(jì)利益之間的關(guān)系，以獲取較高的社會效益與經(jīng)濟(jì)效益的管理方法。尤其是對安全技術(shù)方法、安全產(chǎn)品采辦、安全設(shè)施建設(shè)、安全人才培養(yǎng)、信息資源共享等方面應(yīng)給予充分的注意。

　　4、宣傳教育方法是指通過多種形式的教育，全面提高全社會的安全素質(zhì)。事實(shí)證明，很多信息安全事故的發(fā)生都和人的思想因素有關(guān)。為此，可根據(jù)人員的工作性質(zhì)、分層次有重點(diǎn)、有計(jì)劃、有步驟地普及一般信息技術(shù)以及網(wǎng)絡(luò)安全保密、線通信安全保密、電磁輻射泄密防范、信息對抗等知識與技能。