信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动, 关于信息安全风险的指导和控制活动通常包括制定信息安全方针、进行风险评估、确定控制目标、选择控制方式、实施风险控制、获 得安全保证等。信息安全管理实际上是风险管理的过程,管理的基础是风险识别与评估。
系统的信息安全管理体现以 下原则:
●制定信息安全方针为信息安全管理提供导向和支持;
●以风险评估为基础选择控制目标与控制方式;
●考虑控制费用与风险平衡的原则,将风险降低到组织可接受的水平;
●预防控制为主 的思想;
●业务持续性原则,即从故障与灾难中恢复业务运作,减少故障与灾难对关 键业务过程的影响;
●动态管理原则,即对风险实施动态管理;
●全员参与的原则;
更新时间:2016/11/9 9:14:15