1、管理体系的建设:信息安全管理体系R包括建立、实施、运作、监视、评审、保持和改进信息安全等一系列管理活动,它是组织结构、方针策略、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
2、风险管理:风险管理贯穿于整个信息系统生命周期,包括背景建立、风险评估°、风险处理一、批准监督、监控审查和沟通咨询6个方面的内容。其中,背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4个基本步骤,监控审查和沟通咨询则贯穿于这4个基本步骤的始终。
3、信息安全控制措施:合理的控制措施集应综合技术、管理、物理、法律、行政等各种方法,威慑安全违规人员甚至犯罪人员,预防、检测安全事件的发生,并将遭受破坏的系统恢复到正常状态。
4、设施的安全管理:设施的安全管理包括网络v全管理、保密设备的安全管理、硬件设施的安全官理、场地的安全管理等。
5、信息的安全管理:一是在网络和系统中被采集、传输、处理和存储的对象,如技术文档、存储介质、各种信息等;二是指使用的各种软件;三是安全管理手段的密钥和口令等信息。
6、应急响应和灾难恢复°:应急响应工作管理过程包括准备、检测、遏制、根除、恢复和跟踪6个阶段。信息系统灾难恢复管理过程包括灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现及灾难恢复预案制定与管理4个步骤。应急响应与灾难恢复关系到一个组织的生存与发展。