ISMS与信息安全的三观论

      ISMS(Information Securitry Management Systems，信息安全管理体系)是基于业务风险方法来建立、实施、运行、监视、评审、保持和改进信息安全的管理体系 。组织建立与实现ISMS是一个整体考虑、充分规划、持续运作与长治久安的过程，与组织不同层面的岗位和岗位职能密不可分，可以通过微观安全、中观安全和宏观安全清晰地分析出不同层面的安全需求和安全目标，见图1。

图1 三观论在信息安全中的运用

      信息安全三观论的执行模型分为底层的实现层，体现为安全产品和规范化的安全服务等安全部件，包括策略、组织、过程与技术；中间的运营层，体现为对于安全产品的集成管理和各种安全任务的流程管理，包括预警响应、综合分析与信息采集；顶层的决策层，从全局掌控组织的安全形态，通过决策、分析咨询制定与改进安全战略。

      安管平台要实现将安全工作、安全信息能上传到决策层，以确保决策层的支持和指导，这样才能够保证组织安全战略与业务战略的执行与实现；安管平台还要能够将安全任务、安全政策下达到实现层，以确保所有问题都落实得非常具体，并且符合安全规范；另外，安管平台还需要保障运营层能协调、控制、反馈、管理实现层的安全要素，已达成决策层的安全使命和决策。

      从微观到中观是一个协调管理的过程。从中观到宏观是一个总体监控的过程。从宏观到中观是一个全局指导的过程，从中观到微观是一个控制和配置的过程。

      我国信息安全领域的认识和发展过程是一个从微观安全起步，比如加密、防病毒、防火墙等；逐步认识到宏观安全的重要，希望了解全面地安全状况而开展风险评估；进而认识到安全执行的重要性，开始考虑安全运营系统、集中式的安全监控平台，以及和其他IT系统的综合集成等问题；最终全面地认识从微观、中观到宏观三方面的重要性。