3.2信息安全管理是信息安全技术的融合剂，是各项技术措施能够发挥作用的重要保障。安全技术是信息安全控制的重要手段，许多信息系统的安全性保障都要依靠技术手段来实现，但光有安全技术还不行，要让安全技术发挥应有的作用，必然要有适当的管理程序的支持，否则，安全技术职能趋于僵化和失败。如果说安全技术是信息安全的构筑材料，那么信息安全管理就是融合剂和催化剂，良好的管理可以变废为宝，使现有的各项技术相互配合发挥应有的作用，而糟糕的管理会使技术措施变得毫无用处。实现信息安全，技术和产品是基础，管理才是关键。在信息安全保障工作中必须管理与技术并重，进行综合防范，才能有效保障安全，这也是实现信息安全目标的必由之路

　　3.3信息安全管理是预防、阻止或减少信息安全事件发生的重要保障。早期人们对于信息安全的`认识主要侧重在技术措施的开发和利用上，这种技术主导论的思路能够解决信息安全的一部分问题，但却解决不了根本，据权威机构统计表明，信息安全问题大约70%以上是由管理方面原因造成的，大多数信息安全事件的发生，与其说是技术上的原因，不如说是管理不善造成的。因此解决信息安全问题、防止发生信息安全事件不应仅从技术方面着手，同时更应加强信息安全的管理工作。

　　信息安全涉及的范畴非常广，信息安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程。因此，要求社区卫生服务中心的相关人员正确理解信息安全、理解信息安全管理的关键作用，以更好地开展信息安全管理工作。强调信息安全管理的作用，并不是要削弱信息安全技术的作用;开展信息安全管理工作，要处理好管理和技术的关系，要坚持管理与技术并重的原则，这也是信息安全保障工作的主要原则之一。

　　4 社区卫生服务中心信息安全管理控制措施

　　在我国对于信息安全等同采用IS0 27002：20xx，命名为《信息技术安全技术信息安全管理实用规则》(GB/T 22081-20xx)。信息安全是通过实施一组合适的控制措施而达到的，包括策略、过程、规程、组织结构以及软件和硬件功能。可见对于社区卫生服务中心的信息安全来说，安全控制措施是必要且十分重要的。其中比较重要的如下：

　　4.1安全方针 社区卫生服务中心的信息安全方针控制目标，是指中心的信息安全方针能够依据业务的要求和相关法律法规提供管理指导并支持信息安全。社区卫生服务中心信息安全方针文件的内容应包含中心管理者的管理承诺、组织管理信息安全的方法、中心信息安全整体目标和范围的定义、中心管理者意图的声明、控制目标和控制措施的框架、重要安全策略、原则、标准和符合性要求说明、中心信息安全管理的一般和特定职责的定义、支持方针的文件的引用等。

　　4.2信息安全组织 信息安全组织一般分为内部组织和外部组织。社区卫生服务中心内部组织的信息安全控制目标是指在中心内管理信息安全。组织的安全建立在每一位人员不同责任分工的划分，不同的责任会有不同的工作指导原则。其中应当包括信息安全的管理承诺、信息安全协调、信息安全职责的分配、信息处理的授权、保密协议、信息安全的独立评审等。社区卫生服务中心外部组织的信息安全控制目标是保持中心被外部各方访问、处理、管理或与外部进行通信的信息和信息处理的安全。主要包括中心与系统外单位信息通信相关风险的识别、处理相关的安全问题和处理第三方协议中的安全问题等。

　　4.3人力资源安全 人员在中心的信息安全管理中是一个最重要的因素，有资料表明，70%的安全问题是来自人员管理的疏漏，为了对人员有一个有效的管理，需要从任用之前、任用中、任用的终止或变更三项控制目标进行管理。

　　4.3.1任用之前控制是指社区卫生服务中心任用人员之前为了确保人力资源的安全，需考虑到角色是否适合相应岗位，以降低设施被窃、信息泄露和误用的风险，这一目标的实现需通过角色和职责、审查、任用条款和条件三项控制措施的落实来保障。

　　4.3.2任用中社区卫生服务中心的信息安全控制目标就是确保所有的员工、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险。