信息安全中管理技术

（3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需信息。

（4）抗抵赖性：证实行为或事件已经发生的特性，以保证事件或行为不能抵赖。

（5）可靠性：保持持续的预期行为及结果的特性。

（6）可控性：对信息传播及内容具有控制能力，访问控制即属于可控性。

（7）真实性：信息所反映内容与客观事实是否一致的特性。

信息安全的建设过程是一个系统工程，它需要对信息系统的各个环节进行统一的综合考虑、规划和架构，并需要兼顾组织内外不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。这和管理学上木桶原理相似。木桶原理是指，一只木桶由许多木板组成，如果木板的长短不一，那么木桶的最大容量取决于最短的那块木板。由于信息安全是一个多层面、多因素、综合和动态的过程，如果组织凭着一时的需要，想当然地制定一些控制措施和引入一些技术产品，都难免存在顾此失彼的问题。使得信息安全这只“木桶”出现若干“短板”，从而无法保证信息

安全。正确的做法是遵循国内外相关信息安全标准和实践过程，考虑到组织信息安全各个层面的实际需求，建立合理的安全管理体系。这保证体系还应当随着环境的变化、业务发展和信息技术的提高而不断改进，不能一成不变，因此实现信息安全是一个需要完整体系来保证的的持续过程。这就是组织需要信息安全管理的基本出发点。对现代企业和组织来说，信息管理对其正常运行无疑起着举足轻重的作用。

简单的说信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护组织所有的信息资产一系列活动，所以这不仅是安全管理部门的事务，而是整个组织必须共同面对的问题。信息安全管理涉及组织安全策略及安全管理制度、人员管理、业务流程、物理安全、操作安全等多个方面。从人员上看，信息安全管理涉及全体员工，包括各级管理人员、技术人员、操作人员等；从业务看，信息安全管理贯穿所有与信息及其处理设施有关的流程。

二、信息安全管理模型

信息安全管理从信息系统的安全需求出发，信息安全保障体系

结合组织的信息系统建设情况，引入恰当的技术控制措施和管理架构体系，信息安全管理的模型如下图所示：

信息安全需求是信息安全的出发点，包括机密性需求、完整性需求、可用性需求等。信息安全管理范围是由信息系统安全需求决定的具体信息安全控制点，对这些实施适当的控制措施可确保相应环节的信息安全，从而确保组织整体的信息安全水平。信息安全控制措施是指为改善具体信息安全问题而设置的技术或管理手段，是信息安全管理的基础。

对一个特定的组织或信息系统，选择和实施控制措施的方法就是信息安全管理方法。信息安全管理方法各种各样，信息安全风险评估是其中的主流。除此之外，信息安全事件管理、信息安全测评认证、信息安全工程管理也从不同侧面对信息安全的安全性进行管理。

信息安全应急响应是应对信息安全突发事件的重要环节，包括应急响应的内涵、应急响应组织、应急响应体系、应急响应关键技术等方面。

三、信息安全管理体系

信息安全管理体系（ISMS，Information

Security Management System）是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的一套管理体系，是整个管理体系的一部分，管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。提出了在组织整体业务活动和所面临风险的环境下，实施PDCA持续改进的模型。

PDCA含义分别如下：

1）P（Plan）表示计划，确定方针和目标，确定活动计划。

2）D（Do）表示实施，实现计划中的内容。

3）C（Check）表示检查，总结执行计划的结果，注意效果，找出问题。

4）A（Action）表示处理总结结果，对成功的经验加以肯定、推广和标准化；对失败的教训加以总结，避免重犯；未解决问题理入下一循环。

信息安全管理体系使组织由里到外得到全面的价值提升，如理顺安全管理职责、提高组织信誉、提高安全意识、保证核心业务的连续性、减少风险等。

四、信息安全管理的意义

习近平总书记指出：“没有网络安全，就没