管理信息论文范文

下面是小编为大家整理的《管理信息论文范文(精选3篇)》，供大家阅读，更多内容可以运用本站顶部的搜索功能。当今世界已步入信息时代，信息社会中需求量的急剧增加和信息社会功能的巨大变化，使大规模开发利用档案信息资源成为时代的必然。

第一篇：管理信息论文范文

浅谈税务信息管理系统中信息安全策略与管理

摘要：社会在快速发展，互联网技术日益普及，互联网技术逐渐应用于各个领域，尤其在国家税务系统中发挥了重要的作用，不仅大大提升了税务部门的工作效率，提升了税务计算的准备性，还在防止骗税，避免税款流失方面取得了显著的成效，可以说，将互联网技术应用于税务系统中切实可行，可以最大限度提高工作质量。但是同样，将互联网技术应用于税务系统中也是一把双刃剑，衍生了一些问题，尤其是安全性问题，不利于税务工作的开展实施，为解决此问题，需要研究税务信息管理措施，加强安全管理，为税务信息管理工作的开展打下良好的基础。

关键词：税务;信息管理系统;信息安全;管理

为达到加强税收监管的目的，深入开展了税收管理工作，为依法纳税创造了条件，可见，加强税务信息管理是降低税收成本，提高征收率的关键，是有效开展税务工作的关键。但是，互联网具有开放性特点，降低了税收信息管理与建设的安全性，极易出现税务系统网络安全问题，为工作的顺利开展造成了阻碍。在此情况下，本文展开针对性研究，从税务信息安全的重要性，存在的问题以及解决问题的安全策略着手进行详细的阐述，希望可以提出一些建设性意见与建议。

1 税务信息安全的重要性

税收是国家财政收入的主要来源，也是国家财政收入的主要途径，因此，税务系统业务以及相关工作十分重要，直接关系到国家的核心利益，因此，要求税务工作必须具有完整性，准确性与公正性。随着互联网技术的不断深入，税务信息化程度不断提高，税收工作对信息系统的依赖性也不断增强，计算机软件系统已经成为税务信息管理的必备条件，发挥了重要的作用。目前，税务信息系统已经覆盖到全国的乡镇，不仅范围广，涉及面大，还应用广泛，从侧面证明了，计算机技术在税务信息系统中发挥了重要的作用，已经成为电子税务系统的重要组成部分，成为国家的基础信息建设。税务信息安全的基本特点具有信息系统服务对象复杂，网络地域广，数据集中，种类繁多的特点，管理难度较大。再加上税务系统是一个复杂庞大的系统，从业务上分为国税与地税之分，从地域上可以分为市局，总局以及省局，种类繁多，应用系统五花八门，因此，网络机构及其系统十分复杂。

税务信息安全的重要性主要体现在以下几个方面，第一，确保税务信息的安全性，可以保障国家的核心利益，可以避免国家财政收入受到损失，以免部分不法人员从中获利，或者部分人员偷税漏税，可见，确保税务信息的安全性十分必要。第二，提高税务信息安全，可以消除内部安全隐患，可以通过不断地探索与研究，积累税务信息系统基础设施安全的方法和经验，促进税务信息安全的进一步发展，加强安全管理，提高税务安全管理质量。

2 税务信息管理系统中存在的问题

税务信息管理系统存在一定的问题，影响了管理效果，其中存在的问题主要体现在以下几个方面，第一，来自用户以及物理环境的隐患，一方面，来自合法用户的威胁，一些受到合法授权的用户，可能会由于管理错误或者疏忽，而造成系统破坏，出现操作行为抵赖，滥用授权，操作错误等问题。另一方面，来自非法用户的威胁，如非授权用户对系统造成破坏，受到越權访问，恶意攻击，恶意代码，数据窃听破坏以及物理破坏等。除此之外，物理环境也会出现安全隐患，在自然灾害，电源中断等情况下导致出现税务信息系统问题，不利于税务工作的顺利开展。第二，网络边界扩大，目前计算机技术发展迅速，网络边界被大幅度扩大，移动办公用户，远程拨号用户，无线局域网等实现了网络边界的大幅度扩展，增加了边界保护难度，缺乏防止入侵与路由安全等保护措施，降低了税务信息管理系统的安全性。第三，受到病毒，蠕虫以及特洛伊木马的威胁，在计算机网络革新过程中，计算机病毒大规模泛滥，新的蠕虫不断出现，会为用户造成较大的损失，对税务信息系统造成攻击，影响税务信息化的安全性，此外，还会造成重要数据的丢失，造成不可估量的损失。另一方面，木马病毒对税务系统的危害性也较大，一般情况下，木马系统具有较强的隐蔽性，在发生问题之前，用户不会知晓电脑中了病毒，只有在密码被盗，文件丢失之后，才会意识到中了密码病毒，已经威胁到了税务信息管理系统的安全性，不利于税务信息管理工作的顺利开展。

3 税务信息管理系统中信息安全策略与管理

3.1 建立信息安全体系

完整配套的安全体系，是有效进行税务信息管理的关键，是保证税务信息管理安全性的基本前提，因此，建立信息安全体系尤为重要，是有效开展税务信息管理系统的关键。建立税务信息系统，建立信息安全体系首先需要做好计划工作，通过合理的计划，可以确定信息安全，制定信息安全的目标与任务，同时为目标的实施而努力。在信息安全体系构建过程中，计划发挥了重要的作用，通过合理的计划，科学的计划，可以加强安全管理，可以确保工作的顺利实施，为建立信息安全体系打下良好的基础。其次，做好组织工作，在税务信息系统管理过程中，组织工作尤为重要，在了解信息安全放针的情况下，设计安全组织结构，可以实现人力资源的合理配置，将恰当的人才安排的适合的岗位上，方便管理工作的开展实施，健全安全管理体系，发挥组织作用，实现安全目标。然后，做好领导工作，发挥领导的重要作用，根据信息安全职责，进行权限分配，可以影响组织成员，加强税务信息安全管理，创造更大的价值。最后，需要加强控制，为建立信息安全体系，需要对信息安全管理效率与效果进行评审与衡量，提出恰当的改进措施。

3.2 加强安全管理

为提高税务信息系统的安全性，需要加强安全管理，通过安全管理，提出有效的安全策略，才能达到理想的管理效果，提高税务信息管理的安全性，达到理想的管理效果。在税务信息管理过程中，三分技术，七分管理，可见，管理才是信息安全的核心，加强信息安全管理是提高税务安全信息系统管理效果的关键。加强安全管理作为保障税务信息安全的重要环节，需要从五方面着手，第一，健全信息安全管理制度，落实防范责任制，将责任落实到个人，明确分工，明确责任。第二，健全安全管理组织，明确机制，加强领导，达到理想的安全管理效果。第三，开展安全检查，消除安全隐患，不断改进，不断调整，以便加强安全管理工作，提高安全管理质量。第四，需要做好宣传工作，提高相关人员的安全意识，对相关人员进行针对性培训，提高相关人员的安全防范意识与能力。第五，需要进行科学的评定，确定信息安全工作的重点内容，根据具体情况，制定短期目标，长期计划，加强安全管理，提高管理效果。

3.3 提高税务人员专业素质

为加强安全管理，需要提升税务人员专业素质，提升税务人员的专业技能与职业道德素养，从而促进税务工作的顺利开展。第一，需要组织员工进行网络知识与信息安全认知的培训，提升干部与员工的安全意识。安全意识培训，作为一项重要的内容，直接关系到安全策略的理解执行效果。加强安全意识培训，需要注意以下两方面内容，一方面，需要选择恰当的内容，需要进行税务知识，信息管理技巧讲解，需要为税务人员讲解信息系统的应用，通过讲解相关知识，强化产品与技术培训，制定周密的培训计划，推动税务信息系统的发展。另一方面，组织税务人员外出学习，学习先进的理论与技术，提升专业技能与素养，提高税务人员的专业素质。第二，提升信息安全岗位人员的整体素质，为适应岗位需求，需要开展针对性培训，进行特色化服务，通过岗前培训，在岗培训，发展培训等一系列培训提升税务人员的整体素质。

3.4 加强信息安全风险评估

加强信息安全风险评估是有效规避风险的关键，需要从以下几个方面着手。第一，需要明确了解计算机病毒，自然灾害，网络攻击等对信息资产造成的伤害，了解伤害的威胁性，有效规避风险，有效进行信息安全评估。第二，需要对重要的，敏感的税务信息与数据进行评估，确保信息的级别，注重信息资产的重要程度。第三，准确了解系统以及网络的安全状况，明确安全需求，制定合理有效的网络和系统安全策略，发挥安全风险评估的重要作用。

3.5 提高信息安全技术水平

完善安全技术手段，提升税务信息安全性，加强安全管理需要从以下几个方面着手，第一，需要做好病毒防范工作，相关部门需要建立一套全方位的，严密统一的网络病毒防范系统，做好防范工作，实现统一的维护，更新，合理利用防控网终端，防止病毒的入侵传染。第二，需要进行安全审计，为保证税务信息系统的安全性，需要对邮件，即时通信，网络网页进行全面的审计，了解访问的时间，对象，类型，并进行严密的跟踪，对发现的隐患与问题进行及时的处理。

4 总结

综上所述，了解税务系统网络安全特征，分析网络安全内涵十分必要，是提高税务信息安全的关键，是有效进行税务信息管理的关键。通过加强安全管理，提高信息安全，提高税务人员专业素质，可以达到理想的税务信息管理效果，提高税务的安全性，发挥重要的作用，创造重要的价值。

参考文献：

[1] 陈宁. 税务信息化建设及管理系统的设计与实现[D].吉林大学，2016.

[2] 徐延锋. 税务师事务所综合信息管理系统设计与实现[D].电子科技大学，2014.

[3] 陈行雄. 基于WEBGIS税务管理系统设计与实现[D].电子科技大學，2013.

[4] 王茹. 安全信息管理(SIM)风险管理的研究与实现[D].北京邮电大学，2010.

[5] 黄建群.浅谈税务信息管理系统中信息安全策略与管理[J]. 电脑知识与技术，2009，5(36)：10406-10407.

[6] 黄尉鼎. OLAP技术在税务信息管理系统中应用的研究[D].大连海事大学，2008.

作者：管佩龙

第二篇：现代信息技术在档案信息管理中的应用以及档案信息管理面临的挑战

当今世界已步入信息时代，信息社会中需求量的急剧增加和信息社会功能的巨大变化，使大规模开发利用档案信息资源成为时代的必然。

一、现代信息技术在档案信息管理中的应用

随着计算机网络技术、多媒体技术的不断发展，键盘及无键盘输入技术、语言合成技术、触摸屏输入技术、摄像输入技术、传真技术等的广泛应用，不仅使传统的文件形成方式、文件载体、传送方式等发生了根本性的变革，而且使档案信息的收集、整理，档案管理的方式、方法，特别是档案信息的开发利用等一系列问题发生了重大变革。

1.多媒体技术。

多媒体技术是一种把文字、数字、图形、静态图像、活动图像、声音等几种信息的媒体集合在一起，并由计算机综合控制的技术。其特点为操作方式简便、用途广泛、具有理想的用户界面。

2.光盘技术。

光盘是一种用激光来记录和读取信息的图形盘片，是计算机信息存储的新型载体。作为一种复合技术，光盘技术集计算机、激光和数字通讯等技术为一体。到目前为止，在大容量、高密度、低成本与快速存取方面是很有发展前途的存贮介质。

3.缩微技术。

缩微技术以胶片为信息载体，采用感光摄影原理，是目前一种比较成熟的文献资料全文真迹存贮技术，是集光学、机械、电子、化学、计算机于一体的高技术产业。它具有永久保存、节省空间等特点，并在法律上具有证据效力，已成为世界公认的很成熟的一种信息存贮介质。

二、档案信息管理面临的挑战

目前我国的档案管理状况还不令人满意。主要存在以下问题：

1.计算机检索的数据数量严重不足，质量缺乏控制。

2.缺乏正确引导，标准推行不力。

3.档案网络化管理方面，我国大多单位仍处于计算机单机运行的阶段。

4.缺乏一支既熟悉档案知识，又精通计算机业务的专业队伍。

三、未来研究和发展对策

档案信息管理工作本质上是一项经营信息的工作，它要求人们改变历来只重视知识生产和保护、忽视知识利用的传统偏见，人们只有掌握了利用知识、经营知识的能力，才能在应用知识时得心应手，挥洒自如，体现信息开发的社会作用。因此档案信息管理应走出安全保护为框架主体的狭窄的研究圈，制定面向发展、谋求发展、实现发展的政策目标。针对上述存在的种种问题，我们在档案信息开发、管理工作中应着重做到以下几点。

1.研究制定总体规划，加强宏观管理。

国家档案行政管理部门，应把运用计算机管理档案作为一个重大的系统工程来对待，要对之进行科学管理。根据档案现代化管理工作要求，尽快制定出全国档案部门运用计算机进行自动化管理的方向、战略，制定一个周密的、系统的档案自动化管理标准，明确规定运用计算机自动管理文件、自动进行档案整理编目、自动统计、自动检索、自动完成档案馆(室)的日常管理活动的目标和实施办法。

2. 明确档案信息管理政策体系模式，完善档案信息管理法律保障。

1987年9月，第六届全国人民代表大会常务委员会第22次会议通过的《档案法》，是新中国第一部关于档案工作的法律。《档案法》所规定的“档案工作人员应当忠于职守，遵守纪律，具备专业知识。”正是档案职业道德所提倡的。因此，遵守法纪，便成为档案职业道德的又一重要准则。严守法纪，就是指档案工作者要严格遵守党和国家有关的方针政策、法规、纪律，不徇私情，不怕打击报复，为维护党、国家和人民的利益，自觉地同一切违反政策法规和《档案法》的现象做坚决的斗争。档案工作者肩负着特殊的历史责任和艰苦的任务，没有严格的纪律，就不能把智慧和力量集中起来，形成强大的战斗力，也就不可能做好档案工作。

在新的社会形势下，档案信息管理原则，还应该根据新时期的特点和实际工作情况转变管理工作重心。在保持原有管理原则的基础上，拓展管理工作的其他职能，使档案信息管理工作得到全方位的革新;在指导方针的调整上，必须严格坚持邓小平同志关于“开发信息资源，服务四化建设”的指导思想，同时这也是政策目标制定时所提出的管理要求，要立足于档案信息管理活动自身水平的提高，加强与其他信息部门的联合协作，充分吸收其他信息部门和其他行业部门的管理经验，在政策上相互兼容，在实践上取长补短。

3. 建立激励机制，加强人才培养。

建立激励机制、加强人才培养应做到：要合理安排工作，用人所长，人尽其才;要加强思想和业务领导，使之乐于献身档案事业，刻苦钻研业务;建立完善的奖惩制度和激励机制。

档案部门掌握现代化技术的人才是非常珍贵的，为了稳定和提高这支队伍，充分发挥他们的作用，应当运用一定的奖惩手段。要根据《档案法》的规定，“在档案的收集、整理、保护和提供利用等方面成绩显著的单位或个人，由各级人民政府给予奖励”，树立典型榜样，开展向先进单位或个人学习的活动，使档案工作者学有目标，干有方向。按照“政治上更强，业务上更精、作风上更实、纪律上更严”的要求，从思想、组织、道德、作风等方面加强队伍建设，使档案工作队伍始终保持坚定正确的政治方向、旺盛的敬业爱业精神、无私奉献的职业情操、开拓进取的职业热情，为档案事业建功立业。只有奖惩分明，才能使档案工作的职业道德深入人心。

我国档案专业领域还有两个不容忽视的问题：第一，缺乏高层次的现代化档案管理人才;第二，我国档案学研究深度、广度不够，经验不足。这样，档案学教育便需要适应社会的变革，培养造就出一批具备信息文化及网络文化的复合型档案管理与研究人才。所以，我国档案学教育，必须对现有的教育体制专业教育与在职教育、教学内容结构、教学方式等方面做出相应的调整。教学方式上则要求理论联系实际，多引导学生参加社会实践，同时鼓励学生对即将面临的新理论的建立提出见解或引导学生从事这方面的研究。专业教育既要培养出多层次的现代档案管理人才，同时也要培训造就出一批致力于现代化档案管理理论研究的精华。在职教育则重在提高专业及文化素质，包括计算机文化和信息文化的培训等等。

总之，面对21世纪，信息管理正处于一个重要的转变时期，要抓住机遇，积极探索，勇于实践。信息管理人员只有提高自己的素质，才能迎接信息社会的挑战，才能适应时代发展的需要。

作者：李宁宁

第三篇：信息安全管理系列之三十一?信息安全等级保护与信息安全管理体系的比较

摘要：在分析信息系统安全等级保护和信息安全管理体系定义的基础上，从逻辑框 架、实施流程和控制措施理解的角度对两者进行了对比。

关键词： 信息安全 等级保护 信息安全管理体系

Comparison of CPIS and ISMS

Li Jun ( Inner Mongolia Autonomous Region Public Security )

Xie Zongxiao ( China Financial Certification Authority， CFCA )

Key words： information Security， CPIS， ISMS

1 信息安全等级保护(CPIS)

信息安全等级保护，或者信息系统安全等级保护(简称等级保护)，在公文中，一般是前者，但是在标准中，例如，最典型的 GB/T 22239—2008和GB/T 22240—2008 用 的标题是后者。单就这 2 个标准而言的话，描述的对象却是主要围绕“信息系统安全”，而不是广义的“信息安全”。当然，本质上来说，等级是针对“信息系统”划分的，而不是针 对“信息”划分的。在实践中，这两者不需要刻意区分。等级保护具体的定义如下：

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信 息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息 安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

这个定义来自《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66 号1))[2， 3]。

注意信息系统的定义：

信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理 的数字化信息。

信息系统的定义也来自《关于信息安全等级保护工作的实施意见》。更早的相关定义，应该来自 GB 17859—1999， 其中的定义 3.1，定义了计算机信息系统(computer information system)，具体为：

计算机信息系统是由计算机及其相关的和配套的设备、实施(含网络)构成的，按照一 定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

这种人机系统的定义，在实践中不容易理解，但是最接近学术中的最初理解，例如， Davis(2000)[4]认为信息系统包括信息技术设施、数据、应用系统和人员(information technology infrastructure， data， application systems， and personnel that employ IT to...)

2 信息安全管理体系(ISMS)

原则上说，信息安全管理体系(简称 ISMS)并不是一个专用术语，在较早版本的 标准中2)对其进行了定义3)，满足其中描述条件的应该都是 ISMS[5，6]。但實际情况是，由于这 个术语起源于 ISO/IEC 27002 和 ISO/IEC 27001 的早期版本，属于新生出来的一个词汇，其 他文献中，就很少见到。所以在实践中，ISMS 几乎成了一个专用术语。这如同，一提“质 量管理体系(QMS4))”，大家就认为是 ISO 9000 标准族道理是一样的。因为某种产品过于普 及，就成为某类行为的代名词，这是很常见的现象。例如，你把快递地址微信给我，或者， 回头我把文件QQ给你。 由于ISO/IEC27000标准族在全球范围内实施广泛，在实践中， 就会有此类对话，例如：我们在做 27001，意思是说，我们在部署 ISMS，或者说，我们在 根据 ISO/IEC 27001 部署信息安全。

换个说法， ISMS 是一整套的保障组织信息安全的方案(或方法)，是组织管理体系的 一部分，定义和指导ISMS的标准是ISO/IEC 27000标准族，而这其中，ISO/IEC 27002和 ISO/IEC 27001 是最重要也是出现最早的 2 个标准。由于这个原因，导致这一堆词汇在实践 中开始混用，而不必刻意地去区分。因此，在下文中，这几个词汇都认为是同义词：

· 信息安全管理体系(ISMS);

· ISO/IEC 27000标准族;

· ISO/IEC 27002或ISO/IEC27001视上下文，也可能是指代ISMS。

3 逻辑框架及实施流程的比较

等级保护是强制实施的，建立在一系列国家公文、一个强制性标准以及诸多推荐性标准的基础之上。ISMS 则是建立在国际互认基础上的推荐性的标准5)，这导致两者在框架上存在很 大的区别。两者的框架对比，如图 1 所示。

或者说，对于 ISMS 来说，“组织(或企业)自己负责正确的应用6)”，目的是保护组织(或企业)自身的利益，(如果申请第三方认证)同时向其他人证明组织有良好的信息安全 管理水准。对于等级保护而言，则是国家监管机构负责企业(或组织)正确的应用，主要目 的是为了保护国家和公众利益。

4 對“控制措施”理解的比较

等级保护的相关支持文件主要包括政府公文和国家标准，也可以称为“政策体系”和“标 准体系”[2]。以一系列的公文作为依据，是等级保护的一个特点，倒不是因为 ISMS 缺乏国 家监管，而是因为 ISMS 的监管与其他管理体系(例如，ISO 9000 和 ISO 14000 等)基本一 致，整个的架构设计倒显得没那么重要。等级保护是一个全新的设计，因此整个管理架构就显得非常重要，例如，《信息安全等级保护管理办法》(公安部〔2007〕43 号)就是一个非常重要的公文，从国家层面确立了等级划分与保护、等级保护实施与管理以及可能涉及的分级保 护管理等整个管理架构。

但是，就这两者的框架而言，还存在一个不同，即如何理解“控制措施”7)。简而言之，等级保护部署“控制措施”为中心， ISMS 部署是以“控制目标”8)为中心。

这仅仅是一个描述方式的区别，严格讲，等级保护也是以控制目标为中心，虽然没有非 常明确。因为所有的控制措施，最终还是为了实现安全目标。但这两者还是不同的，在等级 保护中，一旦信息系统的等级被确定，控制措施都是确定的，同时也要注意，等级本身已经 隐含了信息系统的控制目标。对于 ISMS 而言，由于是自愿部署，组织自己负责识别安全要 求，自己设定控制目标，之后自愿部署控制措施。

通俗地讲，等级保护中，是组织和监管机构共同确定(是组织确定，之后提交监管机构确认)信息系统等级(其中隐含着控制目标)，然后按要求部署。在 ISMS 中，是组织自己确定控制目标，然后按照要求部署，是一个自圆其说的逻辑。在下文中，我们讨论定级备案 等过程，两者的区别就很清晰了。

当然，无论是等级保护还是 ISMS，“控制”都是其核心内容之一，在等级保护中表现为 GB/T 22239—2008，在 ISMS 中表现为 ISO/IEC 27002：2013。

在 GB/T 22239—2008 中，针对不同安全保护等级应该具有的基本安全保护能力，提出基 本安全要求。标准的架构，如图 2 所示。

在基本要求的基础上，自上而下又分为：类、控制点和控制项[7]。在图 2 的 10 个大类中，每个大类下面分为一系列的关键控制点，控制点下又包括了具体的控制项。本文中不再讨论具体条款，具体可以见参考文献[8]。

在 ISO/IEC 27002：2013 中，并不区分技术要求或管理要求，或者说，不关心实现途径。 其中控制的描述结构，自上而下又分为：类、目标和控制。具体而言，就是包含了如表 1 所示，ISO/IEC 27002：2013 描述了14 个大类，这些大类又细化为35 个目标，接着由114 项 控制来实现相应的目标。

具体到每一个主要安全控制类和控制的描述结构，参考 ISO/IEC 27002：2013 中的描述， 如下所述：

每一个主要安全控制类别包括11)：

a)一个控制目标，声明要实现什么;

b)一个或多个控制，可被用于实现该控制目标。

控制的描述结构如下：

控制

为满足控制目标，给出定义特定控制的陈述。

实现指南

为支持该控制的实现并满足控制目标，提供更详细的信息。该指南可能不能完全适用或不足以在所有情况下适用，也可能不能满足组织的特定控制要求。

其他信息

提供需要考虑的进一步的信息，例如法律方面的考虑和对其他标准的参考。如无其他信 息，本项将不给出。

关于 ISO/IEC 27002：2013，可见参考文献[9]和[10]。

5 小结

本文中重点从逻辑框架、部署流程和控制措施理解的角度对等级保护与 ISMS 进行了比 较，当然，这两者还存在诸多其他区别，例如，等级保护的部署起点是“定级与备案”，ISMS 的部署起点是“风险评估”。在后续的文章中，我们会陆续介绍。

(注：本文仅做学术探讨，与作者所在单位观点无关)

参考文献

谢宗晓. 信息安全合规性的实施路线探讨[J]. 中国标准导报，2015(02)：24-26.

郭启全，等. 信息安全等级保护政策培训教程(2016版)[M]. 北京：电子工业出版社，2016.

林润辉，李大辉，谢宗晓，等. 信息安全管理理论与实践[M]. 北京：中国标准出版社，2015.

Davis G B. Information Systems Conceptual Foundations： Looking Backward and Forward [C] // Organizational and Social Perspectives on Information Technology， Boston： Springer， 2000：61-82.

ISO/IEC 27000：2016 Information technology —Security techniques—Information security management systems—Overview and vocabulary [S].

谢宗晓，王静漪. ISO/IEC 27001与ISO/IEC 27002标准的演变[J]. 中国标准导报，2015(07)：48-52.

陆宝华. 信息安全等级保护等级基本要求培训教程[M] .北京：电子工业出版社，2010.

谢宗晓. 政府部门信息安全管理基本要求理解与实施[M]. 北京：中国标准出版社，2014.

谢宗晓. 信息安全管理体系实施指南(第2版)[M]. 北京：中国标准出版社，2017.

谢宗晓. 信息安全管理体系实施案例(第2版)[M]. 北京：中国标准出版社，2017.

作者：李军?谢宗晓