信息安全管理系统(信息安全管理系统认证)

老网管 102 阅读 0 评论 19 点赞

大家好，小文接下来为朋友分享一下信息安全管理系统和信息安全管理系统认证的内容，对此感兴趣的朋友不要走开了，我们一起来往下看。

本文目录

信息系统安全管理
信息安全管理体系
什么是信息安全管理系统

信息系统安全管理

一、内容概述

在信息化建设中进行信息系统安全管理，是一个新的课题，已经引起各国地调组织的高度重视。信息系统安全管理不单单是管理体制或技术问题，而是策略、管理和技术的有机结合。从安全管理体系的高度来全面构建和规范信息安全，将有效地保障信息系统安全。要利用网络和信息技术及时有效地为用户提供综合、客观的地质信息服务，就需要重视包括网络服务在内的自动信息系统安全管理。自动信息系统安全管理是指用来保护自动信息系统资源免于丢失、破坏或滥用所做的管理控制和保卫工作。美国地质调查局在自动信息系统安全管理方面积累了大量经验，这对我国相关部门制定有针对性的安全管理方法具有重要的借鉴和指导作用。

二、应用范围及应用实例

美国地质调查局将提供地质信息列入其战略计划或工作计划，强调要利用网络和信息技术及时有效地为用户提供综合、客观的地质信息服务，同时非常重视其包括网络服务在内的自动信息系统安全管理。自动信息系统安全管理是指用来保护自动信息系统资源免于丢失、破坏或滥用所做的管理控制和保卫工作（张翠光等，2009）。

1.美国地质调查局自动信息系统安全管理方针

保护美国地质调查局所有信息技术设施，避免被损失、破坏、偷窃和滥用；保护所有美国地质调查局自动信息系统所处理的数据，避免发生未被授权的信息被泄露、修改或破坏；自动信息系统所产生、处理、存储或传输信息受保护的等级与其敏感等级相一致；对违反联邦、部门或局关于自动信息系统安全法规者将受到相应的行政、法律制裁。

2.美国地质调查局自动信息系统敏感等级分类

敏感自动信息系统是指运行处理敏感数据的计算机应用程序的自动信息系统（设施、硬件、操作系统软件、通信系统等），其中敏感数据是指由于数据的故意或意外泄露、更改或破坏会导致损失或危害的风险及数量较大而要求保护的数据。美国地质调查局为了给每一个信息系统采取相应的保护措施，对其给定了相应的敏感等级，并要求一、二级敏感信息系统应到美国地质调查局信息系统管理中备案，而0级敏感信息系统不需备案。0级敏感信息相当于公开信息；一、二级信息系统的信息不属于美国国家规定的保密信息，是根据其工作任务、商业目的及其价值大小等而设定；三级敏感信息系统的信息才是真正的保密信息。

0级（非敏感性）自动信息系统：自动信息系统上的信息不准确、更改、泄露或不能利用对美国地质调查局的任务、功能、形象或荣誉的影响可以忽略不计。即使有影响，影响也是微不足道，或者导致仅仅很小的有形资产或资源的损失。

一级敏感自动信息系统：自动信息系统上的信息不准确、更改、泄露或不能利用对美国地质调查局的任务、功能、形象或荣誉影响较小。系统安全方面出现问题可能对有形资产或资源的损失造成潜在的不利影响。

二级敏感自动信息系统：自动信息系统上的信息不准确、更改、泄露或不能利用对美国地质调查局的任务、功能、形象或荣誉可能产生重要的不利影响。系统安全出现问题可能导致美国地质调查局不能完成其1个或多个计划任务或商业功能，或者导致重大的有形资产和资源损失。系统生命周期的开支一般超过1000万美元。

三级敏感自动信息系统：自动信息系统处理机密信息。一般由提供美国地质调查局机密信息的联邦机构制定自动信息处理要求。根据机密信息提供者建立的要求，系统的鉴定及认可应备案。根据其敏感性再分为类似于秘密、机密、绝密3个等级。

自动信息系统安全规划构成

确定潜在的威胁和薄弱点，并建立全面的安全保护制度减少威胁和薄弱点，才能使自动信息系统安全计划有效，为此美国地质调查局建立了自动信息系统安全规划。

A.安全规划

美国地质调查局认为全面的安全规划是任何一个自动信息系统安全管理的重要部分。美国地质调查局支持美国地质调查局所有自动信息系统活动，认为安全规划是安全管理实施过程不可分割的部分：①安全规划为年度预算的一部分，保证所有自动信息资源有经费支持，使自动信息系统资源得到充分的保护；②处理敏感信息的所有自动信息系统（设施和应用程序）应有正式安全规划。在新的敏感自动信息系统开发阶段必须准备初始计划和原系统升级年度计划，以反映系统安全执行情况和/或主要变化。在计划中提供的内容要反映系统的大小和复杂性，规定系统的基本内容和格式应遵守当前最流行的美国国家管理和预算局所提供的指导方针。

B.风险管理

所有拥有或管理自动信息系统的美国地质调查局机构必须执行和维护风险管理计划，以帮助相应的安全保护措施到位以保护好所有的信息资源。规定管理人员应知道他们信息资源的潜在威胁和薄弱点。一旦知道潜在威胁、薄弱点和潜在的安全保护选项，管理上就应确定各种安全保护选项的必要措施和经费/利益。风险管理一般包括风险分析、安全措施的实施和风险分析频率3个方面的内容：

一是风险分析。风险分析是设施或敏感应用程序定期检查或应急计划处理的组成部分。美国地质调查局要求在现存的计算机设施或敏感应用程序发生主要变化时或在批准敏感自动信息系统设计之前作风险分析。风险分析的范围、复杂性和频率与自动信息系统处理数据的敏感性和被保护资源的价值相称。风险分析过程步骤如下：①估计自动信息系统（硬件、软件、数据、设备、人员）资产（现存的或计划的）和系统资源相关的费用（价值），包括数据敏感性的确定；②识别和评定自动信息系统的潜在威胁，包括破坏正常操作、导致系统资产破坏或损失，或其他自然灾害或危险因素和人为因素。并根据每一个潜在威胁产生的可能性分出威胁等级；③找出脆弱点，包括确定或找出在敏感应用程序、自动信息系统或信息技术设备中可能导致安全威胁的弱点或缺点；④评估潜在损失，在确定威胁和脆弱点之后，还应将包括恢复损失和破坏数据的潜在损失定量化；⑤根据遇到的威胁和脆弱点，确定可能的安全保护措施及其相关费用。确定的安全保护费用应与未实施安全保护措施所造成的预期损失的费用相比较。如果安全保护措施花费超过了预期保护利益，那么不应采取安全保护措施。

二是安全措施的实施。在风险分析完成之后，管理部门必须决定是否执行成本核算的安全保护或接受这种风险。如果风险分析表明接受这种风险不符合联邦、部门或美国地质调查局的有关规定，那么必须采取必要的保护措施以最低限度符合这些规定：①利用风险分析结果，设备拥有者和敏感应用程序拥有者应选择具体的最大限度保护设施和数据的安全措施；②除违反法规问题外，管理部门可以选择接受与找出威胁或脆弱点相关的风险。如果这样，自动信息系统所有者必须签订一个声明，承认他们了解不执行正确的推荐行动相关的风险。

三是风险分析频率。美国地质调查局对风险分析的次数做了相应的规定：对美国地质调查局所有计算机设施至少5年1次；对敏感应用程序和敏感计算机设施至少3年1次；在敏感应用程序或任何计算机设施进行实质性改变时应进行风险分析；在计划一个新的系统或设施开发时，应进行风险分析。

C.信息资源的保护

为了使美国地质调查局信息资源从风险分析中确定的风险和脆弱点得到合理的保护，自动信息系统所有者必须采取具体的保护措施。一般考虑如下类型的安全保护措施保护信息资源：①物理安全：采取适当的操作和规程减少自动信息系统受到的诸如偷盗、意外或故意破坏、非授权或非法访问或非授权信息泄露等威胁；②技术安全：使用适当的保护措施（如：密码、个人ID识别装置、杀毒软件、访问利用控制表、用户活动监测软件、加密术或回拨调制解调器）防止非授权的访问或非法的自动信息系统软件或数据的使用；③管理安全：制定或分发详细的指导规程使所有自动信息系统得到正确的保护。

3.应急计划

为了使服务中断等故障最小，应对每个计算机设备和敏感应用程序开发一个应急计划。定期评估每一个应急计划，确定是否需要对其修改以反映系统或人员情况变化。

任何应急计划的复杂性和范围要与自动信息系统所处理数据的敏感等级相称。应急计划至少包括下列项目：①数据和软件的备份存储器和恢复规程；②与紧急事件相对应的处理规程、可选处理能力的说明，在必要情况下转移操作到另外一个可选择操作的程序等恢复操作的过程；③计算机设施应急计划与任何敏感应用程序应急计划应具一致性；④定期检查应急计划。

4.敏感应用程序安全

美国国家管理和预算局A130通告要求，负责开发和维护处理敏感数据的美国地质调查局计算机应用程序的管理者应建立管理控制方法，对所有新的应用程序和现存应用程序的重大变化应采取相应的物理、技术和管理安全保护措施。敏感应用程序管理控制至少包括：①安全技术条件：根据预先的风险分析结果，在应用程序获取或正式开发之前，应规定或批准安全要求和安全技术条件。为一个应用程序规定和批准安全规程时，应把对处理敏感应用程序的计算机设施进行的风险分析和管理控制检查的结果考虑进去；②设计审查和系统测试。在执行敏感应用程序之前应进行设计评审和系统测试，使安全保护符合批准的安全技术条件。③认证：在执行应用程序之前，新的或实质性改进的敏感应用程序的所有者或管理者应向美国地质调查局自动信息系统安全行政主管书面证明，证明其符合所有现行的自动信息系统方针、法规、标准，同时系统测试的结果证实配备的安全保护措施充分。认证过程包括对应用程序管理和安全控制的评价。④定期重新认证：所有敏感应用程序必须每3年认证1次。

5.计算机安全知识培训活动

对所有涉及在美国地质调查局之内或监督之下的每一个敏感联邦信息系统管理、使用或操作的职员，美国地质调查局为他们提供定期计算机安全知识强制性的培训和公认的计算机安全锻炼。所有使用、管理和操作敏感自动信息系统的新职员在他们上岗60天之内必须接受计算机安全知识培训。培训用来增强职员了解计算机系统的威胁和薄弱点，强调保护美国地质调查局自动信息资源和正确使用他们的资源的责任。计算机安全培训应有证明文件，并保留在每一个职工的正式个人档案中。计算机安全知识培训包括：①基本知识培训：使职工对威胁和薄弱点产生敏感性，认识保护数据、信息的必要性和处理他们的方法；②高级培训：为敏感自动信息系统所有者/管理者、管理员、信息技术人员和计算机安全管理员提供相关能力，使他们能履行风险分析、制定自动信息系统保护计划、执行安全措施或评价现存安全系统的有效性。

6.报告安全事故

对造成自动信息系统技术、数据和服务设施网的破坏，或导致敏感自动信息系统欺骗、或非授权的泄露等安全事故，所有职员和协议人员有责任向上级报告相关事故：①包括自动信息系统设备的偷窃或恶意破坏、欺骗、扰乱国家安全或其他滥用自动信息资源的事故必须立即依据所处环境和位置向美国地质调查局安全官员和/或其他地方执法人员报告；②包括试图非法访问利用任何美国地质调查局自动信息资源、恶意密码事故或敏感信息的非法泄露等事故必须立即向自动信息系统安全管理人员和向美国地质调查局自动信息系统安全行政主管官员报告。

7.人事安全

美国地质调查局规定各部门建立方针或规程，屏蔽所有参与敏感计算机系统设计、开发、操作或维护人员及可以使用敏感数据的人员。屏蔽等级根据数据敏感等级以及由个人造成的风险等级、损失或危害大小而定。所有负有管理、设计、开发、操作、维护或使用美国地质调查局任何计算机系统的任何职位的人员必须赋予与数据敏感等级、风险大小及由个人导致的损失或危害程度大小相匹配的风险责任。美国地质调查局所有计算机系统使用者必须有适当的背景调查，所要求的调查必须与所设定岗位的敏感等级相匹配。

8.年度报告制度

美国地质调查局规定了自动信息安全管理规定的年度报告制度。每一个分机构自动信息系统安全官员每年应向美国地质调查局自动信息系统安全管理行政官员报告现行设备及敏感应用程序安全职员名单。对每一个设施或敏感应用程序至少必须提供以下信息：安全职员及候选人姓名和电话号码、设施和敏感应用程序的名称及地址、每一职员所要求安全培训的水平。这些最新列表每年9月交给美国地质调查局自动信息系统安全行政管理官员。

人事人员要向美国地质调查局自动信息系统安全行政管理者提供以经济年度为基础的美国地质调查局安全知识培训情况。报告将包括如下信息：在财政年度期间，接受基本知识和/或全面计算机安全培训的职员和协议人员（非管理）的数量，在财政年度期间接收计算机安全知识培训的管理人员数量。另外，每分机构自动信息安全官员应向美国地质调查局自动信息系统安全管理者提供下一个财政年度里在上述类目中需要接受培训职员和协议人员的数量。每年九月一日将报告交到美国地质调查局自动信息系统安全行政管理部门。

敏感自动信息系统所有者有责任维护他们的敏感信息系统安全规划。敏感自动信息系统所有者每年对他们分机构自动信息系统安全管理人员的更新材料及信息系统更新情况上报美国地质调查局自动信息系统安全管理部门。更新计划应反映自动信息系统硬件、软件或功能的主要变化、安全执行情况，系统认证或重新认证计划、应急计划的检查计划。

三、资料来源

张翠光，小平等.2009.美国地质调查局自动信息系统安全管理及其对国家地质资料数据中心建设的启示.现代情报，29（3）：212～215

信息安全管理体系

7.2.1信息安全管理体系概述

我们知道保障信息安全有两大支柱：技术和管理。而我们日常提及信息安全时，多是在技术相关的领域，例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术CA认证技术等。这是因为信息安全技术和产品的采纳，能够快速见到直接效益，同时，技术和产品的发展水平也相对较高。此外，技术厂商对市场的培育，不断提升着人们对信息安全技术和产品的认知度。

伴随着威胁的发展趋势，安全技术部署的种类和数量不断增加，但并不是安全技术、安全产品种类、数量越多越好，只有技术的堆积而不讲究管理，必然会产生很多安全疏漏。虽然大家在面对信息安全事件时总是在叹息：“道高一尺、魔高一丈”，在反思自身技术的不足，实质上人们此时忽视的是另外两个层面的保障。正如沈昌祥院士所指出的：“传统的信息安全措施主要是堵漏洞、做高墙、防外攻等老三样，但最终的结果是防不胜防。”

技术要求与管理要求是确保信息系统安全不可分割的两个部分，两者之间既互相独立，又互相关联，在一些情况下，技术和管理能够发挥它们各自的作用；在另一些情况下，需要同时使用技术和管理两种手段，实现安全控制或更强的安全控制；在大多数情况下，技术和管理要求互相提供支撑以确保各自功能的正确实现。我们通常用水桶效应来描述分布式系统的安全性问题，认为整个系统的安全性取决于水桶中最薄弱的那块木条。平台就像是这个水桶的箍，有了这个箍，水桶就很难崩溃。即使出现个别的漏洞，也不至于对整个体系造成灾难性的破坏。

信息安全管理体系（InformationSecurityManagementSystems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、过程、核查表等要素的集合。体系是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、搜集和关联分析，得出全局角度的安全风险事件，并形成统一的安全决策，对安全事件进行响应和处理。

目前，各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准，这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用，但从组织信息安全的各个角度和整个生命周期来考察，现有的信息安全管理体系与标准是不够完备的，特别是忽略了组织中最活跃的因素——人的作用。考察国内外的各种信息安全事件，我们不难发现，在信息安全事件表象后面其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复杂的组织信息系统安全性的。

7.2.2信息安全管理体系结构

信息安全的建设是一个系统工程，它需求对信息系统的各个环节进行统一的综合考虑、规划和构架，并要时时兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于最长的木板，而取决于最短的那块木板。这个原理同样适用于信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标，一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看，我们认为信息安全管理体系结构可以由以下HTP模型来描述：人员与管理（HumanandManagement）、技术与产品（TechnologyandProducts）、流程与体系（ProcessandFramework）。

其中人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁，也可以是最可靠的安全防线。统计结果表明，在所有的信息安全事故中，只有20%～30%是由于黑客入侵或其他外部原因造成的，70%～80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。以往的各种安全模型，其最大的缺陷是忽略了对人的因素的考虑，在信息安全问题上，要以人为本，人的因素比信息安全技术和产品的因素更重要。与人相关的安全问题涉及面很广，从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。在信息安全的技术防范措施上，可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全，但不应把部署所有安全产品与技术和追求信息安全的零风险为目标，安全成本太高，安全也就失去其意义。组织实现信息安全应采用“适度防范”（Rightsizing）的原则，就是在风险评估的前提下，引入恰当的控制措施，使组织的风险降到可以接受的水平，保证组织业务的连续性和商业价值最大化，就达到了安全的目的。

7.2.3信息安全管理体系功能

7.2.3.1安全策略

安全策略管理可以说是整个安全管理平台的中心，它根据组织的安全目标制订和维护组织的各种安全策略以及配置信息。安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全，不但靠先进的技术，而且也得靠严格的安全管理、法律约束和安全教育。

安全策略建立在授权行为的概念上。在安全策略中，一般都包含“未经授权的实体，信息不可给予、不被访问、不允许引用、不得修改”等要求，这是按授权区分不同的策略。按授权性质可分为基于规则的安全策略和基于身份的安全策略。授权服务分为管理强加的和动态选取的两种。安全策略将确定哪些安全措施须强制执行，哪些安全措施可根据用户需要选择。大多数安全策略应该是强制执行的。

（1）基于身份的安全策略。基于身份的安全策略目的是对数据或资源的访问进行筛选。即用户可访问他们的资源的一部分（访问控制表），或由系统授予用户特权标记或权力。两种情况下，数据项的多少会有很大变化。

（2）基于规则的安全策略。基于规则的安全策略是系统给主体（用户、进程）和客体（数据）分别标注相应的安全标记，制定出访问权限，此标记作为数据项的一部分。

两种安全策略都使用了标记。标记的概念在数据通信中是重要的，身份鉴别、管理、访问控制等都需要对主体和客体做出相应的标记并以此进行控制。在通信时，数据项、通信的进程与实体、通信信道和资源都可用它们的属性做出标记。安全策略必须指明属性如何被使用，以提供必要的安全。

根据系统的实际情况和安全要求，合理地确定安全策略是复杂而重要的。因为安全是相对的，安全技术也是不断发展的，安全应有一个合理和明确的要求，这主要体现在安全策略中。网络系统的安全要求主要是完整性、可用性和机密性。其中完整性、可用性是由网络的开放和共享所决定的。按照用户的要求，提供相应的服务，是网络最基本的目的。机密性则对不同的网络有不同的要求，即网络不一定都是保密网。因此，每个内部网要根据自身的要求确定安全策略。现在的问题是硬、软件大多很先进，大而全，而在安全保密方面没有明确的安全策略，一旦投入使用，安全漏洞很多。而在总体设计时，按照安全要求制定出网络的安全策略并逐步实施，则系统的漏洞少、运行效果好。

在工程设计中，按照安全策略构造出一系列安全机制和具体措施，来确保安全第一。多重保护的目的是使各种保护措施相互补充。底层靠安全操作系统本身的安全防护功能，上层有防火墙、访问控制表等措施，防止一层措施攻破后，安全性受到威胁。最少授权原则是指采取制约措施，限制超级用户权力并全部使用一次性口令。综合防护要求从物理上、硬件和软件上、管理上采取各种措施，分层防护，确保系统安全。

7.2.3.2安全机制

信息的安全管理体系中，安全机制是保证安全策略得以实施的和实现的机制和体制，它通常实现三个方面的功能：预防、检测、恢复。典型的安全机制有以下几种：

（1）数据保密变换。数据保密变换，即密码技术，是许多安全机制和安全服务的基础。密码是实现秘密通讯的主要手段，是隐蔽语言、文字、图像的特种符号。凡是用特种符号按照通讯双方约定的方法把电文的原形隐蔽起来，不为第三者所识别的通讯方式称为密码通讯。在计算机通讯中，采用密码技术将信息隐蔽起来，再将隐蔽后的信息传输出去，使信息在传输过程中即使被窃取或截获，窃取者也不能了解信息的内容，从而保证信息传输的安全。采用密码技术，可有效地防止：信息的未授权观察和修改、抵赖、仿造、通信业务流分析等。

（2）数字签名机制。数字签名机制用于实现抗抵赖、鉴别等特殊安全服务的场合。数字签名（DigitalSignature）是公开密钥加密技术的一种应用，是指用发送方的私有密钥加密报文摘要，然后将其与原始的信息附加在一起，合称为数字签名。

（3）访问控制机制。访问控制机制实施是对资源访问加以限制的策略。即规定出不同主体对不同客体对应的操作权限，只允许被授权用户访问敏感资源，拒绝未经授权用户的访问。首先，要访问某个资源的实体应成功通过认证，然后访问控制机制对该实体的访问请求进行处理，查看该实体是否具有访问所请求资源的权限，并做出相应的处理。采用的技术有访问控制矩阵、口令、权能等级、标记等，它们可说明用户的访问权。

（4）数据完整性机制。用于保护数据免受未经授权的修改，该机制可以通过使用一种单向的不可逆函数——散列函数来计算出消息摘要（MessageDigest），并对消息摘要进行数字签名来实现。

（5）鉴别交换机制。鉴别交换机制指信息交换双方（如内部网和互联网）之间的相互鉴别。交换鉴别是以交换信息的方式来确认实体身份的机制。用于交换鉴别的技术有：口令，由发送实体提供，接收实体检测；密码技术，即将交换的数据加密，只有合法用户才能解密，得出有意义的明文；利用实体的特征或所有权，如指纹识别和身份卡等。

（6）路由选择控制机制。用来指定数据通过网络的路径。这样就可以选择一条路径，这条路径上的节点都是可信任的，确保发送的信息不会因通过不安全的节点而受到攻击。

（7）公证机制。由通讯各方都信任的第三方提供。由第三方来确保数据完整性以及数据源、时间及目的地的正确。

还有物理环境的安全机制、人员审查与控制机制等。其实防护措施均离不开人的掌握和实施，系统安全最终是由人来控制的。因此，安全离不开人员的审查、控制、培训和管理等，要通过制定、执行各项管理制度等来实现。

7.2.3.3风险与安全预警管理

风险分析是了解计算机系统安全状况和辨别系统脆弱性并提出对策的科学方法。在进行风险分析时，应首先明确分析的对象。如对象应是整个系统明确范围和安全敏感区，确定分析的内容，找出安全上的脆弱点，并确定重点分析方向。接着仔细分析重点保护目标，分析风险的原因、影响、潜在的威胁、造成的后果等，应有一定的定量评估数据。最后根据分析的结果，提出有效的安全措施和这些措施可能带来的风险，确认资金投入的合理性。

安全预警是一种有效预防措施。结合安全漏洞的跟踪和研究，及时发布有关的安全漏洞信息和解决方案，督促和指导各级安全管理部门及时做好安全防范工作，防患于未然。同时通过安全威胁管理模块所掌握的全网安全动态，有针对性地指导各级安全管理组织，做好安全防范工作，特别是针对当前发生频率较高的攻击做好预警和防范工作。

7.2.4信息安全管理体系标准和认证

信息安全管理体系标准的制定开始于1995年，经过10多年的修改与完善，形成了现在广泛应用的ISO27001:2005认证标准。英国标准协会（BSI）于1995年2月提出了BS7799，并于1995年和1999年两次修订。BS7799分为两个部分：BS7799-1，信息安全管理实施规则；BS7799-2，信息安全管理体系规范。

第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO17799标准。ISO/IEC17799:2000(BS7799-1）包含了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素，组织可以根据适用的法律法规和章程加以选择和使用，或者增加其他附加控制。BS7799-2在2002年也由BSI进行了重新的修订。2005年，ISO组织再次对ISO17799进行了修订，BS7799-2也于2005年被采用为ISO27001:2005，修订后的标准作为ISO27000标准族的第一部分——ISO/IEC27001，新标准去掉9点控制措施，新增17点控制措施，并重组部分控制措施而新增一章，重组部分控制措施，关联性逻辑性更好，更适合应用；并修改了部分控制措施措辞。

然而，由于ISO17799并非基于认证框架，它不具备关于通过认证所必需的信息安全管理体系的要求。而ISO/IEC27001则包含这些具体详尽的管理体系认证要求。从技术层面来讲，这就表明一个正在独立运用ISO17799的机构组织，完全符合实践指南的要求，但是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是，一个正在同时运用ISO27001和ISO17799标准的机构组织，可以建立一个完全符合认证具体要求的ISMS，同时这个ISMS也符合实践指南的要求，于是，这一组织就可以获得外界的认同，即获得认证。