【正文】 系統(tǒng)的生命周期，可以將信息系統(tǒng)劃分為兩個階段，即項目工程開發(fā)階段和運行維護(hù)階段。在實施中主要從兩個角度來考慮問題，即風(fēng)險管理和業(yè)務(wù)連續(xù)性管理。167。 合規(guī)性：指導(dǎo)如何檢驗信息安全管理工作的效果。 人員和組織管理：是要依據(jù)方針和策略來執(zhí)行信息安全管理工作。 方針和策略：是XXX單位整個信息安全管理工作的基礎(chǔ)和整體指導(dǎo)，對于其它所有的信息安全管理類都有指導(dǎo)和約束關(guān)系。12項信息安全管理類之間的關(guān)系，如下圖所示。167。167。167。167。167。167。167。167。 環(huán)境和設(shè)備安全管理，控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險。 人員和組織安全管理，建立組織機構(gòu)，明確人員崗位職責(zé)，提供安全教育和培訓(xùn)，對第三方人員進(jìn)行管理、協(xié)調(diào)信息安全監(jiān)管部門與行內(nèi)其它部門之間的關(guān)系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯誤產(chǎn)生的信息安全風(fēng)險。風(fēng)險管理同時也是一個動態(tài)持續(xù)的過程。沒有絕對的安全，風(fēng)險總是存在的。167。信息安全管理體系一共包括了12項管理類：167。XXX單位信息安全管理體系由若干信息安全管理類組成，每項信息安全管理類可分解為多個安全目標(biāo)和安全控制。技術(shù)和管理是相互結(jié)合的，一方面，安全防護(hù)技術(shù)措施需要安全管理措施來加強，另一方面技術(shù)也是對管理措施貫徹執(zhí)行的監(jiān)督手段。167。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與各類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實現(xiàn)無縫連接，促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化，使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡向安全的信息系統(tǒng)應(yīng)用體系。安全應(yīng)用系統(tǒng)平臺處理安全基礎(chǔ)設(shè)施與應(yīng)用信息系統(tǒng)之間的關(guān)聯(lián)和集成問題，應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù)，提升自身的安全等級，以更加安全的方式，提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)。 安全技術(shù)體系安全技術(shù)體系是整個信息安全體系框架的基礎(chǔ)，包括了安全基礎(chǔ)設(shè)施平臺、安全應(yīng)用系統(tǒng)平臺和安全綜合管理平臺這三個部分，以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺為支撐，以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺為輔助，在統(tǒng)一的綜合安全管理平臺管理下的技術(shù)保障體系框架。一方面，三大體系是在安全策略的指導(dǎo)下構(gòu)建的，主要是要將安全策略中制定的各個要素轉(zhuǎn)化成為可行的技術(shù)實現(xiàn)方法和管理、運行保障手段，全面實現(xiàn)安全策略中所制定的目標(biāo)；另一方面，安全策略本身也有包括草案設(shè)計、評審、實施、培訓(xùn)、部署、監(jiān)控、強化、重新評估、修訂等步驟在內(nèi)的生命周期，需要采用一些技術(shù)方法和管理手段進(jìn)行管理，保證安全策略的及時性和有效性。 安全策略在這個框架中，安全策略是指導(dǎo)。在此框架中，以安全策略為指導(dǎo)，融會了安全技術(shù)、安全管理和運行保障三個層次的安全體系，達(dá)到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標(biāo)。 體系框架通過對XXX單位的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風(fēng)險的分析，根據(jù)安全保障目標(biāo)模型，制定了XXX單位信息安全體系框架，制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運營。WP2DRR模型是在傳統(tǒng)的P2DR模型的基礎(chǔ)上新增加了預(yù)警Warning和恢復(fù)Recover，增強了安全保障體系的事前預(yù)防和事后恢復(fù)能力，一旦系統(tǒng)安全事故發(fā)生了，也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)，恢復(fù)系統(tǒng)的正常運行。WP2DRR安全模型的特點就是動態(tài)性和基于時間的特性。167。 Response（響應(yīng)）：響應(yīng)是對安全事件做出反應(yīng)，包括對檢測到的系統(tǒng)異?；蛘吖粜袨樽龀鲰憫?yīng)動作，以及處理突發(fā)的安全事件。 Detection（檢測）：檢測是非常重要的一個環(huán)節(jié)，檢測是動態(tài)響應(yīng)和加強防護(hù)的依據(jù)，它也是強制落實安全策略的有力工具，通過檢測和監(jiān)控網(wǎng)絡(luò)和信息系統(tǒng)，發(fā)現(xiàn)新的威脅和弱點，通過循環(huán)反饋來及時做出有效的響應(yīng)。 Protection（防護(hù)）：通過修復(fù)系統(tǒng)漏洞、正確設(shè)計開發(fā)和安裝安全系統(tǒng)來預(yù)防安全事件的發(fā)生；通過定期檢查來發(fā)現(xiàn)可能存在的系統(tǒng)弱點；通過教育等手段，使用戶和操作員正確使用系統(tǒng)，防止意外威脅；通過訪問控制、監(jiān)控等手段來防止惡意威脅。包括風(fēng)險分析、病毒預(yù)報、黑客入侵趨勢預(yù)報和情況通報、系統(tǒng)弱點報告和補丁到位。167。 Policy(安全策略)：根據(jù)風(fēng)險分析和評估產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實現(xiàn)對它們的保護(hù)等。預(yù)警、保護(hù)、檢測、響應(yīng)、恢復(fù)等環(huán)節(jié)都由技術(shù)內(nèi)容和管理內(nèi)容所構(gòu)成。2 體系框架XXX單位進(jìn)行信息安全建設(shè)的目標(biāo)是建立起一個全面、有效的信息安全體系，在這個體系中，包括了安全技術(shù)、安全管理、人員組織、教育培訓(xùn)、資金投入等關(guān)鍵因素，信息安全建設(shè)的內(nèi)容多，規(guī)模大，必須進(jìn)行全面的統(tǒng)籌規(guī)劃，明確信息安全建設(shè)的工作內(nèi)容、技術(shù)標(biāo)準(zhǔn)、組織機構(gòu)、管理規(guī)范、人員崗位配備、實施步驟、資金投入，才能夠保證信息安全建設(shè)有序可控地進(jìn)行，才能夠使得信息安全體系發(fā)揮最優(yōu)的保障效果。167。167。167。組織機構(gòu)要對自己的信息系統(tǒng)安全保護(hù)負(fù)責(zé)，政府相關(guān)部門有責(zé)任對信息系統(tǒng)的安全進(jìn)行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護(hù)能力和水平，保障國家信息安全。167。 依法管理信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。 持續(xù)改進(jìn)信息系統(tǒng)安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認(rèn)識的深化等，應(yīng)及時地將現(xiàn)有的安全策略、風(fēng)險接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級，維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性。 突出安全保障信息安全體系建設(shè)要突出安全