2.2　安全合规管理

合规管理就是在一个相对明确的法规、制度和要求下，为达到标准而进行的一系列活动的集合。根据行业地位和企业性质，在国家相关法律法规的指导下，建立自身的合规机制，熟悉安全标准和等级保护2.0标准，协助企业规范化工作，配合公安部、工业和信息化部、互联网信息部等国家机关和其他国家单位的国家检查。

安全合规管理体系

安全合规管理体系中GRC（Governance, Risk and Compliance）理念尤为重要。GRC即公司治理、风险管理和合规审查。它以企业的各种经营活动为基础，以战略为中心，以流程为管理基础，通过绩效管理和风险内控管理措施，对各项业务管理流程进行管理和控制，确保战略与业务目标的管理方法和工具的统一。

为了有效解决当前安全合规管理面临的问题和挑战，未来的合规平台将通过系统管理、安全矩阵管理、执行管理、合规检查、合规风险评估等功能模块实施和支持安全合规、监督生命周期过程管理。

国际上广泛接受和应用的信息安全管理体系认证标准有ISO 27001、ISO 20000、CSA-STAR。这些认证标准以风险管理为核心，通过定期评估风险和相应的控制措施，有效保证了组织信息安全管理体系的持续运行。