傳統的信息安全研究,關注的焦點主要停留在技術層面上。國內外不少機構和學者從技術層面對信息安全的基本概念、基本技術、體系結構以及發展戰略等方面也進行了較為深入的研究,為信息安全工作奠定了很好的基礎。但是,現實世界的任何系統都是由復雜的要素構成的,信息安全問題單純依靠技術手段是解決不了的。
信息安全建設應是一個系統工程,其主體應該是人(包括用戶、團體、社會和國家),把信息安全管理與信息安全技術手段結合起來,對系統中的各個環節進行統一的規劃和綜合考慮,並要兼顧環境和系統內部不斷發生的變化,建立系統化的管理體系。
信息安全建設不僅是一個技術問題,更是一個管理問題。據有關機構統計表明︰網絡與信息安全事件大約有70%以上的問題是由管理因素造成的,諸如政策法規的不完善、管理制度的不健全、安全意識的淡薄和操作過程的失誤等,這正應了十幾年前國家863
CIMS專家組“三分技術,七分管理”的箴言。即便有好的安全設備、系統和技術,若沒有有效地貫穿于信息流通與信息活動中的安全管理工作,也是無法真正實現信息安全的。因此,管理是貫穿信息安全整個過程的生命線。
信息安全管理不是一般性的管理問題,而是事關國家安全、經濟發展、社會穩定和軍事斗爭成敗的重大戰略課題。