信息安全管理

CIA三要素是保密性（Confidentiality）,完整性（Integrity）和可用性（Availability），是系统安全设计的目标，是信息安全最为关注的三个属性，也是信息安全通常所强调的目标。

1、信息安全管理体系指对组织内部和外部信息资产进行全面有效管理体系，旨在保护信息资产机密性，完整性和可用性，防止信息泄露，破坏和滥用，确保信息资源安全运行。

管理体系概述

形成一个协调一致，全面完善的体系，确保信息安全管理有效性和持续性。

主要包括:方针与目标，组织与人员职责，资产管理，人力资源安全，物理与环境安全，通信与操作管理，访问控制，密码管理，供应商与合同管理，信息安全事件管理。

 2、安全组织体系是指为了有效保护信息资产，在其内部建立的专门管理和负责信息安全工作部门或团队。

主要目的是确保信息安全工作的专业性和高效性，从而提升组织的整体信息安全管理水平。

关注以下几方面

高层管理支持，安全管理委员会，安全管理部门，安全工作团队，安全责任人，安全培训和意识提升，安全合作与沟通，安全评估和持续改进。

 3、安全风险管理

原则与主要活动

 风险评估，是信息安全风险管理的第二步，针对确立风险管理对面所面临的风险进行识别，分析和评价。风险评估的过程包括风险评估准备，风险要素识别，风险分析和风险评价。

 风险处置，是信息安全风险管理第三步，处置方式主要包括风险规避，风险转移，风险消减，风险接受。

 批准留存是信息安全风险管理第四步

监视与评审包括对风险因素和信息安全风险管理循环的4个主体步骤（即语境建立，风险评估，风险处理和批准留存）的监视和评审。

 沟通与咨询为信息安全风险管理主循环的4个步骤（即语境建立，风险评估，风险处理和批准留存）中相关方提供沟通和咨询。

 安全策略管理

 安全策略管理模式

集中式管理，分布式管理

管理要点，安全策略统一描述技术，安全策略自动翻译，安全策略冲突检测与消解，安全策略发布与分发技术，安全策略状态监控技术。