1.5.1 信息安全管理体系

信息安全管理体系（Information Security Management System，ISMS）是通过计划、组织、领导、控制等措施以实现信息安全目标的相互关联或者相互作用的一组要素。国际信息安全管理标准体系（ISO 17799/BS 7799 Information Security Certification）是2000年12月ISO正式发布的有关信息安全的国际标准，包括信息系统安全管理和安全认证两大部分。企业和组织可以将ISO/IEC 17799作为衡量信息安全管理体系规范程度的一个标准和指标。我国已经将ISO/IEC 27001:2005（《信息安全管理体系要求》）等同转化为中国国家标准GB/T 22080—2008/ISO/IEC 27001:2005（《信息技术 安全技术 信息安全管理体系 要求》）（2008年6月19日发布，2008年11月1日实施），将ISO/IEC 27002:2005等同转化为中国国家标准GB/T 22081—2008/ISO/IEC 27002:2005（《信息技术 安全技术 信息安全管理实用规则》）（2008年6月19日发布，2008年11月1日实施）。全国信息安全标准化技术委员会（TC260）信息安全管理工作组（WG7）正在不断推进信息安全管理体系国家标准的编制和转化工作。

信息安全管理主要涵盖信息安全管理过程中的设备管理、密码管理、网络管理、人员管理、信息安全技术标准以及信息安全等级保护等内容。设备管理是指对网络中的安全产品，如防火墙、VPN、防病毒、入侵检测、漏洞扫描等，实现统一管理和统一监控，对网络设备进行安全有效的保护。密码管理是指对密码进行有效的安全保护和监控，防止对关于IT服务的未经许可的介入、损伤和干扰，避免对信息及其处理设施的破坏或窃取。网络管理就是保护网络通畅和安全，降低网络系统失效的风险，防止资产被损坏和业务活动被干扰和中断。人员管理则是通过降低人为错误、窃取、欺骗及滥用相关设施的风险，来确保使用者意识到信息安全的威胁。通常采用签署保密协议、定期的安全教育培训、安全事故与教训总结、惩罚等措施来减少人为造成的风险。

不同信息系统的其工作条件和工作性质都不相同，当然对其安全要求也就不尽相同，适合的安全技术和安全机制也不一样。国际标准化组织根据对各种信息系统的分析，提出一些共同的安全要求，制定一些通用的安全技术标准，这些通用的安全技术标准被称作信息安全的基础标准。这些标准在规定了必须遵循的一些原则的前提下，也提供了可供不同信息系统任意选用的多种可用选项。ISO对开放系统的安全问题进行了多方分析研究，开发了各种信息安全技术的基础标准，其中包括安全体系结构、框架和模型、服务和协议的安全扩充、安全技术和安全机制、分布式应用安全、安全管理等。