【正文】 系統(tǒng)的生命周期，可以將信息系統(tǒng)劃分為兩個(gè)階段，即項(xiàng)目工程開發(fā)階段和運(yùn)行維護(hù)階段。在實(shí)施中主要從兩個(gè)角度來考慮問題，即風(fēng)險(xiǎn)管理和業(yè)務(wù)連續(xù)性管理。167。 合規(guī)性：指導(dǎo)如何檢驗(yàn)信息安全管理工作的效果。 人員和組織管理：是要依據(jù)方針和策略來執(zhí)行信息安全管理工作。 方針和策略：是XXX單位整個(gè)信息安全管理工作的基礎(chǔ)和整體指導(dǎo)，對(duì)于其它所有的信息安全管理類都有指導(dǎo)和約束關(guān)系。12項(xiàng)信息安全管理類之間的關(guān)系，如下圖所示。167。167。167。167。167。167。167。167。 環(huán)境和設(shè)備安全管理，控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險(xiǎn)。 人員和組織安全管理，建立組織機(jī)構(gòu)，明確人員崗位職責(zé)，提供安全教育和培訓(xùn)，對(duì)第三方人員進(jìn)行管理、協(xié)調(diào)信息安全監(jiān)管部門與行內(nèi)其它部門之間的關(guān)系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯(cuò)誤產(chǎn)生的信息安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理同時(shí)也是一個(gè)動(dòng)態(tài)持續(xù)的過程。沒有絕對(duì)的安全，風(fēng)險(xiǎn)總是存在的。167。信息安全管理體系一共包括了12項(xiàng)管理類：167。XXX單位信息安全管理體系由若干信息安全管理類組成，每項(xiàng)信息安全管理類可分解為多個(gè)安全目標(biāo)和安全控制。技術(shù)和管理是相互結(jié)合的，一方面，安全防護(hù)技術(shù)措施需要安全管理措施來加強(qiáng)，另一方面技術(shù)也是對(duì)管理措施貫徹執(zhí)行的監(jiān)督手段。167。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與各類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實(shí)現(xiàn)無縫連接，促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化，使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡向安全的信息系統(tǒng)應(yīng)用體系。安全應(yīng)用系統(tǒng)平臺(tái)處理安全基礎(chǔ)設(shè)施與應(yīng)用信息系統(tǒng)之間的關(guān)聯(lián)和集成問題，應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺(tái)所提供的各類安全服務(wù)，提升自身的安全等級(jí)，以更加安全的方式，提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)。 安全技術(shù)體系安全技術(shù)體系是整個(gè)信息安全體系框架的基礎(chǔ)，包括了安全基礎(chǔ)設(shè)施平臺(tái)、安全應(yīng)用系統(tǒng)平臺(tái)和安全綜合管理平臺(tái)這三個(gè)部分，以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺(tái)為支撐，以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺(tái)為輔助，在統(tǒng)一的綜合安全管理平臺(tái)管理下的技術(shù)保障體系框架。一方面，三大體系是在安全策略的指導(dǎo)下構(gòu)建的，主要是要將安全策略中制定的各個(gè)要素轉(zhuǎn)化成為可行的技術(shù)實(shí)現(xiàn)方法和管理、運(yùn)行保障手段，全面實(shí)現(xiàn)安全策略中所制定的目標(biāo)；另一方面，安全策略本身也有包括草案設(shè)計(jì)、評(píng)審、實(shí)施、培訓(xùn)、部署、監(jiān)控、強(qiáng)化、重新評(píng)估、修訂等步驟在內(nèi)的生命周期，需要采用一些技術(shù)方法和管理手段進(jìn)行管理，保證安全策略的及時(shí)性和有效性。 安全策略在這個(gè)框架中，安全策略是指導(dǎo)。在此框架中，以安全策略為指導(dǎo)，融會(huì)了安全技術(shù)、安全管理和運(yùn)行保障三個(gè)層次的安全體系，達(dá)到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標(biāo)。 體系框架通過對(duì)XXX單位的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風(fēng)險(xiǎn)的分析，根據(jù)安全保障目標(biāo)模型，制定了XXX單位信息安全體系框架，制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運(yùn)營(yíng)。WP2DRR模型是在傳統(tǒng)的P2DR模型的基礎(chǔ)上新增加了預(yù)警Warning和恢復(fù)Recover，增強(qiáng)了安全保障體系的事前預(yù)防和事后恢復(fù)能力，一旦系統(tǒng)安全事故發(fā)生了，也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)，恢復(fù)系統(tǒng)的正常運(yùn)行。WP2DRR安全模型的特點(diǎn)就是動(dòng)態(tài)性和基于時(shí)間的特性。167。 Response（響應(yīng)）：響應(yīng)是對(duì)安全事件做出反應(yīng)，包括對(duì)檢測(cè)到的系統(tǒng)異?；蛘吖粜袨樽龀鲰憫?yīng)動(dòng)作，以及處理突發(fā)的安全事件。 Detection（檢測(cè)）：檢測(cè)是非常重要的一個(gè)環(huán)節(jié)，檢測(cè)是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過檢測(cè)和監(jiān)控網(wǎng)絡(luò)和信息系統(tǒng)，發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時(shí)做出有效的響應(yīng)。 Protection（防護(hù)）：通過修復(fù)系統(tǒng)漏洞、正確設(shè)計(jì)開發(fā)和安裝安全系統(tǒng)來預(yù)防安全事件的發(fā)生；通過定期檢查來發(fā)現(xiàn)可能存在的系統(tǒng)弱點(diǎn)；通過教育等手段，使用戶和操作員正確使用系統(tǒng)，防止意外威脅；通過訪問控制、監(jiān)控等手段來防止惡意威脅。包括風(fēng)險(xiǎn)分析、病毒預(yù)報(bào)、黑客入侵趨勢(shì)預(yù)報(bào)和情況通報(bào)、系統(tǒng)弱點(diǎn)報(bào)告和補(bǔ)丁到位。167。 Policy(安全策略)：根據(jù)風(fēng)險(xiǎn)分析和評(píng)估產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等。預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等環(huán)節(jié)都由技術(shù)內(nèi)容和管理內(nèi)容所構(gòu)成。2 體系框架XXX單位進(jìn)行信息安全建設(shè)的目標(biāo)是建立起一個(gè)全面、有效的信息安全體系，在這個(gè)體系中，包括了安全技術(shù)、安全管理、人員組織、教育培訓(xùn)、資金投入等關(guān)鍵因素，信息安全建設(shè)的內(nèi)容多，規(guī)模大，必須進(jìn)行全面的統(tǒng)籌規(guī)劃，明確信息安全建設(shè)的工作內(nèi)容、技術(shù)標(biāo)準(zhǔn)、組織機(jī)構(gòu)、管理規(guī)范、人員崗位配備、實(shí)施步驟、資金投入，才能夠保證信息安全建設(shè)有序可控地進(jìn)行，才能夠使得信息安全體系發(fā)揮最優(yōu)的保障效果。167。167。167。組織機(jī)構(gòu)要對(duì)自己的信息系統(tǒng)安全保護(hù)負(fù)責(zé)，政府相關(guān)部門有責(zé)任對(duì)信息系統(tǒng)的安全進(jìn)行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評(píng)和國(guó)家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護(hù)能力和水平，保障國(guó)家信息安全。167。 依法管理信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。 持續(xù)改進(jìn)信息系統(tǒng)安全管理是一種動(dòng)態(tài)反饋過程，貫穿整個(gè)安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時(shí)空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng)安全認(rèn)識(shí)的深化等，應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí)，維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性。 突出安全保障信息安全體系建設(shè)要突出安全