信息安全管理主要包含哪些內容

信息安全管理主要包含以下內容：

• 信息安全管理體系：信息安全管理體系是整體管理體系的一部分，也是組織在整體或特定范圍內建立信息安全方針和目標，并完成這些目標所用方法的體系。基于對業務風險的認識，信息安全管理體系包括建立、實施、運作、監視、評審、保持和改進信息安全等一系列管理活動，它是組織結構、方針策略、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。

• 信息安全風險管理：信息安全管理就是依據安全標準和安全需求，對信息、信息載體和信息環境進行安全管理以達到安全目標。風險管理貫穿于整個信息系統生命周期，包括背景建立、風險評估、風險處理、批準監督、監控審查和溝通咨詢6個方面的內容。其中，背景建立、風險評估、風險處理和批準監督是信息安全風險管理的4個基本步驟，監控審查和溝通咨詢則貫穿于這4個基本步驟的始終。

• 信息安全控制措施：信息安全控制措施是管理信息安全風險的具體手段和方法。將風險控制在可接受的范圍內，這依賴于組織部署的各種安全措施。合理的控制措施集應綜合技術、管理、物理、法律、行政等各種方法，威懾安全違規人員甚至犯罪人員，預防、檢測安全事件的發生，并將遭受破壞的系統恢復到正常狀態。確定、部署并維護這種綜合全方位的控制措施是組織實施信息安全管理的重要組成部分。通常，組織需要從安全方針、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取開發和維護、信息安全事件管理、業務連續性管理和符合性11個方面，綜合考慮部署合理的控制措施。

• 應急響應與災難恢復：部署信息安全控制措施的目的之一是防止發生信息安全事件，但由于信息系統內部固有的脆弱性和外在的各種威脅，很難徹底杜絕信息安全事件的發生。所以，應及時有效地響應與處理信息安全事件，盡可能降低事件損失，避免事件升級，確保在組織能夠承受的時間范圍內恢復信息系統和業務的運營。應急響應工作管理過程包括準備、檢測、遏制、根除、恢復和跟蹤總結6個階段。信息系統災難恢復管理過程包括災難恢復需求分析、災難恢復策略制定、災難恢復策略實現及災難恢復預案制定與管理4個步驟。應急響應與災難恢復關系到一個組織的生存與發展。

• 信息安全等級保護：信息安全等級保護是我國信息安全管理的一項基本制度。它將信息系統按其重要程度以及受到破壞后對相應客體（即公民、法人和其他組織的）合法權益、社會秩序、公共利益和國家安全侵害的嚴重程度，將信息系統由低到高分為5級。每一保護級別的信息系統需要滿足本級的基本安全要求，落實相關安全措施，以獲得相應級別的安全保護能力，對抗各類安全威脅。信息安全等級保護的實施包括系統定級、安全建設整改、自查、等級測評、系統備案、監督檢查6個過程。