Oprócz dokumentów ISO istnieje szereg zaleceń zawierających wytyczne w zakresie ochrony systemów teleinformatycznych o zasięgu raczej lokalnym, dotyczących kraju, grupy krajów lub grupy użytkowników, np. Internetu. Dokumenty tego typu, opracowane w sposób dość szczegółowy, stanowią cenne uzupełnienie norm ISO/IEC. Należy przypuszczać, że na ich podstawie niebawem powstaną normy międzynarodowe.

Ponadto istnieje wiele standardów związanych z bezpieczeństwem teleinformatycznym, które pośrednio dotykają problematyki zarządzania bezpieczeństwem informacji. Do tej grupy należy zaliczyć przede wszystkim Wspólne Kryteria do Oceny Zabezpieczeń Teleinformatyki, które uzyskały status normy ISO (ISO/IEC 15408). Na uwagę zasługują także standardy FIPS, np. do oceny modułów kryptograficznych, standardy związane z infrastrukturą klucza publicznego, podpisem elektronicznym, zabezpieczeniami kryptograficznymi, kartami elektronicznymi i jeszcze z wieloma innymi zagadnieniami szczegółowymi z obszaru bezpieczeństwa.

Podstawową normą dla zarządzania bezpieczeństwem informacji w naszym kraju jest i temu dokumentowi należy poświęcić więcej uwagi.

Atrybuty bezpieczeństwa

Określenie atrybutów bezpieczeństwa (tabela) pozwoli precyzyjnie zdefiniować inne pojęcia, w tym tak kluczowe, jak samo bezpieczeństwo, jego polityka i zarządzanie bezpieczeństwem.

Bezpieczeństwo informacji czy systemu teleinformatycznego utożsamiane jest z uwzględnieniem tych właśnie atrybutów.

Zarządzanie bezpieczeństwem gwarancją bezpieczeństwa informacji

Nie można mówić o zarządzaniu bezpieczeństwem bez próby określenia, czym jest samo pojęcie bezpieczeństwa. Bezpieczeństwo teleinformatyczne (IT security) określane jest jako wszelkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Drugie kluczowe pojęcie, które w tym miejscu należy przytoczyć, to polityka bezpieczeństwa instytucji w zakresie systemów informatycznych (IT security policy). Obejmuje ona zasady, zarządzenia i procedury, które określają, jak zasoby - włącznie z informacjami wrażliwymi - są zarządzane, chronione i dystrybuowane w instytucji i jej systemach teleinformatycznych.

Zarządzanie bezpieczeństwem informacji (systemów informatycznych) (IT security management) obejmuje zespół procesów zmierzających do osiągnięcia i utrzymywania ustalonego poziomu bezpieczeństwa, tzn. poziomu poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Jego realizacja obejmuje działania, takie jak:

- określenie celów (co należy chronić), strategii (w jaki sposób) i polityk bezpieczeństwa systemów informatycznych w instytucji (jakie konkretne przedsięwzięcia należy podjąć)

- identyfikowanie i analizowanie zagrożeń dla zasobów

- identyfikowanie i analizowanie ryzyka

- określenie adekwatnych zabezpieczeń

- monitorowanie wdrożenia, eksploatacji (skuteczności) zabezpieczeń

- opracowanie i wdrożenie programu szkoleniowo-uświadamiającego

- wykrywanie incydentów i reakcja na nie.

Zarządzanie bezpieczeństwem systemów informatycznych (zob. rys.), jak już wspomniano, obejmuje zbiór procesów zawierających inne procesy bezpośrednio lub pośrednio związane z bezpieczeństwem. Kluczowym jest tu proces zarządzania ryzykiem z podprocesem analizy ryzyka. Istotnymi z punktu widzenia bezpieczeństwa są również procesy zarządzania konfiguracją oraz zarządzania zmianami.

Zarządzanie konfiguracją jest procesem śledzenia zmian w konfiguracji systemu, aby nie obniżały one już osiągniętego poziomu bezpieczeństwa. Wiadomo, że trudno obyć się bez takich zmian, ale czyż muszą one oznaczać obniżenie bezpieczeństwa? Należy być świadomym wpływu zmian na bezpieczeństwo. Może się nawet zdarzyć, że konieczne są zmiany, które obniżą poziom bezpieczeństwa - tego typu przypadki wymagają świadomej decyzji kierownictwa popartej szczegółową analizą. Ważne jest, aby wszelkie zmiany były odzwierciedlane w różnych dokumentach związanych z bezpieczeństwem, takich jak plany awaryjne czy plany odtwarzania po katastrofach.

Zarządzanie zmianami - jest procesem wykorzystywanym do identyfikacji nowych wymagań bezpieczeństwa wówczas, gdy w systemie informatycznym występują zmiany, co jest dość częstym zjawiskiem. Nowe wyzwania dla instytucji wymuszają rozwój technologii informatycznych, a temu towarzyszy występowanie nowych typów zagrożeń i podatności. Za przykłady zmian w systemach informatycznych mogą posłużyć:

- zmiany sprzętowe

- aktualizacje oprogramowania

- nowe procedury

- nowe funkcje

- nowi użytkownicy, w tym grupy użytkowników zewnętrznych i anonimowych

- dodatkowe połączenia sieciowe i międzysieciowe.