携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第10天，点击查看活动详情

信息安全管理

信息安全主要包括信息的保密性、完整性、可用性、可控性和可审查性等要素。

信息安全的目的，主要归结为5点：

0. 进不来。使用访问控制机制，阻止非授权用户进入网络，保证网络可用性
1. 拿不走。使用授权机制，实现用户权限控制，同时结合内容审计机制，实现网络资源与信息的可控性
2. 看不懂。使用加密机制，确保信息不暴露给未授权的实体，实现信息的保密性
3. 改不了。使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，确保信息完整性
4. 走不脱。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者留有痕迹，实现信息的可审查性。

信息安全管理模式

PDCA信息安全管理模式

PDCA把相关的资源和活动抽象为过程进行管理，而不是针对单独的管理要素开发单独的管理模式，这样的循环具有广泛的通用性，因而很快从质量管理体系（Quality Management System，QMS）延伸到其他各个管理领域，包括环境管理体系（Environmental Management System，EMS）、职业健康安全管理体系（Occupational Health and Safety ManagementSystem，OHSMS）和信息安全管理体系（Information Security ManagementSystem，ISMS）。

特点：

PDCA顺序进行，依靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环，持续改进。

组织中的每个部门，甚至每个人，在履行相关职责时，都是基于PDCA这个过程的，如此一来，对管理问题的解决就成了大环套小环并层层递进的模式。

每经过一次PDCA循环，都要进行总结，巩固成绩，改进不足，同时提出新的目标，以便进入下一次更高级的循环。

构建信息安全管理体系步骤

0. 定义范围
1. 定义方针
2. 确定风险评估的方法
3. 识别风险
4. 评估风险
5. 识别并评估风险处理的措施
6. 为处理风险选择控制目标和控制措施
7. 准备适用性声明