管理活动观 管理活动观认为信息安全管理即信息安全管理活动,既区别于信息安全,也区别于信息安全技术,信息安全管理与信息安全技术相辅相成,共同支撑与保证信息安全[10]
本文认为,管理活动观比较科学和合理,因此本文采用第三种观点管理活动观。我们将信息安全管理定义为组织为维护信息安全和保护信息资源而进行的一系列管理活动,其内容包括风险管理、人员管理、信息系统安全目标策略制定、信息安全监管、安全事件处理与容灾恢复等。来.自^优+尔-论,文:网www.youerw.com +QQ752018766-
2。2。4 信息安全管理有效性
信息安全管理有效性是指信息安全管理体系运行的效率,信息安全管理有效性的衡量即是信息安全管理体系运行效率的衡量。测量要素是评判信息安全管理是否有效的组成因素,所有测量要素的合力体现信息安全管理的效率,每个测量要素往往包括若干个测量指标[17]。对于不同的信息安全管理模型,其测量要素也是不同的。在经典的ISO/IEC27002标准中,信息安全管理有效性的子目标分为三类,即管理控制、运行控制、技术控制,在每个子目标中有多个测量指标。谢宗晓等将信息安全管理有效性用信息安全属性来表征,即测量信息安全的属性,由于信息安全管理有效性与信息安全管理的属性或目标具有一致性,我们也将信息安全的三个属性作为信息安全管理有效性的表征