信息安全管理

管什么

管理对象：包括人在内的信息相关资产

管理组成：人员、目标、规则、过程

为什么管

反映业务目标的保障

组织整体组成部分

信息安全技术的融合剂

预防，组织或减少事件发生

对内、对外管控

管理特点

攻击和防护严重不对称，攻击很容易，防护成功极为困难

木桶原理，安全水平取决于防护最薄弱地带

常见管理标准

狭义的，ISO270001标准定义的ISMS，最新版是ISO/IEC 27001:2012版

建立和执行简单，难以和其他体系和管理形成一体化

广义的，管理包括各体系集合，建立难度大，控制严格

安全风险管理模型

常见的COSO、ISO31000、COBIT模型

风险识别、评估、优化，最小化检测和控制不良事件的可能性机影响，最大限度实现业务

保障是预防为主的思想

COSO

美国反虚假报告委员会缩写，主要是控环活评通监5项，适用很多地方，财务审计和战略常用模型

包括四类风险：战略、运营、报告、合规风险（宏观层，具体执行层，评价结果，法规层）

<