信息安全风险管控内容

管理目标：客观->可控->可信

管理目标可信（具有良好的态势感知），管理内容多为长效机制：态势感知（安全态势、工具创新、风控地图）、专业领域（业务连续性、应用安全、IT治理优化）、生命周期（开发测试、投产变更）、新技术（大数据安全、云安全、互联网+）

管理目标可控（具有良好的控制体系），管理内容多为控制体系：指标化（风险目录、安全绩效、安全审计）、知识化（安全基线、安全规范、检查指引）、工具化（管理平台、工具测评、安全评估）、自动化（自动采集、预警系统）、可控支持（安全意识、人才培养）

管理目标可管（具有良好的管理体系），管理内容多为管理体系：合规（法律规范、主管部门、规定）、制度化（组织架构、省市职责、制度规范）、流程化（企业对主管部门、企业内部）、规范化（ISO 27001、ISO 22301等）

管理目标 特征

可管=ISMS初步建立阶段 明确了做什么，明确了谁来做

可控=精细化IT风险管理阶段 明确了怎么做（执行、管控），明确了标准，量化了绩效

可信=IT风险与业务融合阶段 做到态势感知，IT技术引领业务发展

组织信息安全管理

建章立制（网络安全法、等保2.0、*总行信息安全规定、ISO27001:2013、管理主体（部门），覆盖x总行全部组织架构、管理客体（对象），覆盖六类信息资产）

安全评估（风险管理框架、风险目录（关键环节风险大纲）、检测指标、风险评估活动（适用于自我评估、专项评估、审计）、风险库、评价库）

风险监测与绩效评价（KPI指标体系建立（识别关键风险、确认KPI、指标筛选、确认阈值、调整指标）、执行风险监测（确定检测方案、录入检测数据、分析统计数据、分析关键风险）、采取控制措施（采取风险控制措施、追踪风险控制措施）、风险提示与报告（关注风险变化、发布风险提示、上报监测结果、改进验证指标）