信息安全管理体系与等级保护管理要求

(5)物理和环境安全

对组织的办公环境、设备所处环境等的安全管理。

(6)通信和操作管理

对所有涉及到通信和操作的所有内容加以控制。

(7)访问控制

对信息、信息系统、网络服务等方面的访问进行控制。

(8)信息系统获取、开发和维护

对信息系统的设计、开发、验收、维护等方面进行管理。

(9)信息安全事件管理

对信息安全事件的划分、发现、报告、处理程序进行规范。

(10)业务连续性

为防止业务中断，保护关键业务过程而进行的管理。

(11)符合性

保证符合法律、法规要求及符合组织安全策略的管理。

信息安全管理体系中针对所有管理范围都提出了管理要求。其管理体系虽然是针对“管理”建立的，但是其中亦涵盖了所有针对技术方面所应实施的内容。

1.2信息安全管理体系的特点

信息安全管理体系ISMS具有如下特点：(1)基于一个组织;(2)目标是体系化建设;(3)立足于风险管理思想;(4)贯穿了“规划-实施-检查-处置”(PDCA)持续改进的过程和活动;(5)根据组织自身的任务和应对安全风险需求来选择安全控制措施;(6)通过安全控制的测度和审核来检查信息安全技术和管理运用的合规性。