CISP認證的指定教材《注冊信息安全專業(yè)人員培訓教材》的第三章信息安全管理，即從安全的視角來重新詮釋管理。何謂管理，很多企業(yè)的高管認為，從別人身上拿結(jié)果就是管理。著名的管理學大師德魯克說：“所謂管理，就是激發(fā)員工身上善意的部分”。而安全管理就是通過設置必要的管理原則、規(guī)章制度和必要的度量辦法來從制度和流程層面來有效管理組織的信息資產(chǎn)。我們都知道人屬于企業(yè)資產(chǎn)的一部分，人也是信息安全保障的核心要素之一，我們需要規(guī)范人的日常運營和操作行為。

   那么，我們?nèi)绾谓⑿畔踩芾眢w系，并且通過體系的建立和日常的監(jiān)督管控來不斷規(guī)范企業(yè)員工的行為呢？國際標準化組織ISO給出了可以為每個企業(yè)借鑒的管控標準，即ISO 27000系列標準。比如ISO/IEC 27001的2013版提出14個控制類，113個控制點。這些控制類和控制點幾乎覆蓋了企業(yè)安全管理的方方面面。

  除了ISO體系，常見的安全風險管理框架還有企業(yè)風險治理框架（COSO）和IT治理框架（COBIT）等。CISP的信息安全管理章節(jié)重點講述的是ISO 27002，即信息安全體系控制實施的具體內(nèi)容。在CISP的書中，關于ISO 27002的具體內(nèi)容是按照層次化的文檔形式來分層展開的，我們需要對具體的體系文件分類有一定的了解。

  談到文件體系，一般一級文件涉及到方針和政策，包括宏觀信息安全管理戰(zhàn)略。這一層級的文件通常由高級管理層發(fā)布。第二級文件為制度、流程和規(guī)范，通過這些文件來約束員工的行為，做到有法可依。第三級文件為員工執(zhí)行工作所需的手冊、指南和作業(yè)指導書，也就是我們俗稱的操作手冊（SOP）的范疇。第四級文件是針對員工操作的記錄性文件，比如執(zhí)行日志和表單等。

    總之，信息安全管理是一個持續(xù)性的過程，在本章的書中還特意提到了戴明環(huán)（PDCA）的方法。安全風險管理的基本過程也體現(xiàn)了這種PDCA。比如我們需要首先確定風險管理的對象和范圍，再基于特定對象的風險評估結(jié)果來選取適度的風險處置辦法，持續(xù)監(jiān)督風險處置全過程，保證風險過程的有效性，綜合考慮企業(yè)針對安全管理的成本效益，并做必要的調(diào)整和改進提高。