第17章网络安全管理17.1信息安全管理概述17.1.2安全管理的重要性 在信息时代，信息是一种资产。仅通过技术手段实现的安全能力是有限的，主要体现在以下两个方面。 一方面，许多安全技术和产品远远没有达到人们需要的水准。 另一方面，即使某些安全技术和产品在指标上达到了实际应用的某些安全需求，如果配置和管理不当，还是不能真正地实现这些安全需求。安全管理模型——PDCA持续改进模式信息安全管理策略应包括信息安全管理的任务、目标、对象、原则、程序和方法这些内容。 1.信息安全管理的任务：信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。 2.信息安全管理的目标：信息安全管理的目标是达到信息系统所需的安全级别，将风险控制在用户可以接受的程度。 3.信息安全管理的对象：信息安全管理的对象从内涵上讲是指信息及其载体——信息系统，从外延上说其范围由实际应用环境来界定。4.信息安全管理遵循如下基本原则： （1）策略指导原则 （2）风险评估原则 （3）预防为主原则 （4）适度安全原则 （5）立足国内原则 （6）成熟技术原则 （7）规范标准原则 （8）均衡防护原则 （9）分权制衡原则 （10）全体参与原则 （11）应急恢复原则 （12）持续发展原则5.信息安全管理的程序，信息安全管理的程序遵循PDCA循环模式的4大基本步骤： （1）计划（Plan）：制定工作计划，明确责任分工，安排工作进度，突出工作重点，形成工作文件。 （2）执行（Do）：按照计划展开各项工作，包括建立权威的安全机构，落实必要的安全措施，开展全员的安全培训等。 （3）检查（Check）：对上述工作所构建的信息安全管理体系进行符合性检查，并报告结果。 （4）行动（Action）：依据上述检查结果，对现有信息安全管理策略的适宜性进行评审与评估，评价现有信息安全管理体系的有效性，采取改进措施。6.信息安全管理的方法：信息安全管理根据具体管理对象的不同，采用不同的具体管理方法。信息安全管理的具体对象包括机构、人员、软件、设备、介质、涉密信息、技术文档、网络连接、门户网站、应急恢复、安全审计、场地设施等。BS7799标准是由英国标准协会（BSI）制定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准。该标准包括以下两部分： BS7799-1:2000《信息安全管理实施规则》； BS7799-2:2002《信息安全管理体系规范》。 其中，BS7799-1:2000于2000年12月通过国际标准化组织（ISO）认可，正式成为国际标准，即ISO/IEC17799:2000《信息技术——信息安全管理实施规则》。17.3.1标准的组成与结构 标准的第一部分为BS7799-1:2000《信息安全管理实施规则》，是组织建立并实施信息安全管理体系的一个指导性准则，主要是为组织实施有效的信息安全管理提供通用的最佳实施规则。 第二部分为BS7799-2:2002《信息安全管理体系规范》，规定了建立、实施和维护信息安全管理体系的要求，指出组织需依据风险评估和自身需求来确定最适宜的安全控制要求，采取最适当的安全控制措施。 可以这样说，BS7799-1:2000为BS7799-2:2002的具体实施提供了指南。 17.3.2信息安全管理体系要求 下面简要介绍一下BS7799-2:2002中的信息安全管理体系要求。 1.总则 总则（general）是标准对信息安全管理体系的总体要求。 2.建立管理构架 建立管理构架（EstablishingManagementFrame）属于对信息安全管理体系策划的一个要求，即按照以下步骤确定控制目标与控制方式： ①制定组织的信息安全方针。 ②界定信息安全管理体系的适用范围。 ③对组织可能遭受的风险进行系统地评估。 ④根据方针和风险程度，决定风险管理内容。 ⑤选择适合组织商务运作的控制目标和控制方式，包括从BS7799-1:2000中选出的控制和识别出的其他控制。 ⑥准备适用性声明，它是对组织选择的控制目标和控制方式的评论性文件，并经过管理层的批准。3.实施 组织要按照所选择的控制目标和控制方式进行有效的安全控制，即按照方针、程序等要求开展信息处理、安全管理各项活动。 4.文件化 信息安全管理体系文件（documentation）是按标准要求建立管理框架的证据，它一般包括方针、适用性声明、方针手册、管理及实施程序、作业指导书和记录。5.文件控制 组织应建立一个文件控制（DocumentControl）程序，对信息安全管理体系文件进行以下方面的控制： (1)明确文件控制活动的各项职责； (2)文件发布前应履行审批手续； (3)进行发放管理，确保授权的人员随时获得； (4)定期评审，必要时予以修订，以符合组织的安全方针； (5)进行版本控制，保证现场使用的文件为最新有