2)信息安全管理

◇信息安全管理體系

信息安全管理體系是組織整體管理體系的一部分，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。基于對業務風險的認識，ISMS包括建立、實施、操作、監視、復查、維護和改進信息安全等一系列的管理活動，并且表現為組織結構、策略方針、計劃活動、國標與原則、人員與責任、過程與方法、資源等諸多要素的集合。

目前國際上主流的信息系統管理標準有ISO／IEC(International Organization For Stanclarclization/International Electrotechnical CommiSSion)的國際標準27000系列，美國國家標準和技術委員會（National I11St i【Llte Of Stanclards And Teclmology，NIST）的特別出版物NISTSP 800系列，在我國，信息安全等級保護制度也非常重視安全管理。

◇風險管理

信息安全風險管理是以風險為主線進行信息安全的管理，它的實施目標就是要依據安全標準和信息系統的安全需求，對信息、信息載體、信息環境進行安全管理以達到安全目標。

風險管理貫穿于整個信息系統生命周期，包括對象確立、風險評估、風險控制、審核批準、監控與審查、溝通與咨詢等六個方面的內容。其中，對象確立、風險評估、風險控制和審核批準是信息安全風險管理的四個基本步驟，監控與審查、溝通與咨詢則貫穿于這四個基本步驟中。