信息安全管理主要包含哪些内容

信息安全管理主要包含以下内容：

• 信息安全管理体系：信息安全管理体系是整体管理体系的一部分，也是组织在整体或特定范围内建立信息安全方针和目标，并完成这些目标所用方法的体系。基于对业务风险的认识，信息安全管理体系包括建立、实施、运作、监视、评审、保持和改进信息安全等一系列管理活动，它是组织结构、方针策略、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。

• 信息安全风险管理：信息安全管理就是依据安全标准和安全需求，对信息、信息载体和信息环境进行安全管理以达到安全目标。风险管理贯穿于整个信息系统生命周期，包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询6个方面的内容。其中，背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4个基本步骤，监控审查和沟通咨询则贯穿于这4个基本步骤的始终。

• 信息安全控制措施：信息安全控制措施是管理信息安全风险的具体手段和方法。将风险控制在可接受的范围内，这依赖于组织部署的各种安全措施。合理的控制措施集应综合技术、管理、物理、法律、行政等各种方法，威慑安全违规人员甚至犯罪人员，预防、检测安全事件的发生，并将遭受破坏的系统恢复到正常状态。确定、部署并维护这种综合全方位的控制措施是组织实施信息安全管理的重要组成部分。通常，组织需要从安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个方面，综合考虑部署合理的控制措施。

• 应急响应与灾难恢复：部署信息安全控制措施的目的之一是防止发生信息安全事件，但由于信息系统内部固有的脆弱性和外在的各种威胁，很难彻底杜绝信息安全事件的发生。所以，应及时有效地响应与处理信息安全事件，尽可能降低事件损失，避免事件升级，确保在组织能够承受的时间范围内恢复信息系统和业务的运营。应急响应工作管理过程包括准备、检测、遏制、根除、恢复和跟踪总结6个阶段。信息系统灾难恢复管理过程包括灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现及灾难恢复预案制定与管理4个步骤。应急响应与灾难恢复关系到一个组织的生存与发展。

• 信息安全等级保护：信息安全等级保护是我国信息安全管理的一项基本制度。它将信息系统按其重要程度以及受到破坏后对相应客体（即公民、法人和其他组织的）合法权益、社会秩序、公共利益和国家安全侵害的严重程度，将信息系统由低到高分为5级。每一保护级别的信息系统需要满足本级的基本安全要求，落实相关安全措施，以获得相应级别的安全保护能力，对抗各类安全威胁。信息安全等级保护的实施包括系统定级、安全建设整改、自查、等级测评、系统备案、监督检查6个过程。