信息系统安全管理是网络与信息安全的重要组成部分,是保障信息系统安全、组织形象和公众利益的最基础性措施,既蕴含着技术性管理,也包含着非技术性管理。然而,目前管理模式是基于机械决定论思维信念下的的科学管理。信息安全事件的频繁发生以及所造成的危害表明,这种管理模式已不能适用于动态的、非连续性的、随机的信息系统安全管理。为了实现对信息系统的动态安全管理,必须抛弃决定论的管理思维方式。信息系统安全管理的目的,其核心内容是如何制定相应的应急响应计划,以确保业务的连续运行,以及在灾难发生时,如何有效可靠地实现数据恢复。为达目的,就必须在保障系统运行的有效性基础上,确保系统安全管理的有效最小割集划分,在此基础上,从博弈的角度论证其全策略保障机制的可靠性。论文依据不同的理论知识对信息系统安全管理进行分析,从技术管理、科学管理和不确定性风险管理三个方面进行分析,三者之间既相互联系,又相互独立。通过进一步深入分析研究,将信息系统安全风险评估主观分析转换为客观评价。首先,通过对随机Petri网(stochastic Petri net,SPN)理论基础研究及实例分析,有效的说明SPN模型的安全管理评价方法的有效性和可靠性。实例一,将SPN理论应用于信息系统安全非技术性管理优化中,目的是探索一种信息系统安全非技术性管理的最优管理策略,以及管理人员的最优组合方法;实例二,对SPN理论的可靠性度量参数分析的基础上,引入随机变迁函数作为SPN可靠性度量的参数,通过计算系统的稳定概率、失效度以及平均故障时间,从而建立评价和度量软件可靠性的方法。其次,以随机博弈网(stochastic game net,SGN)理论为依据,建立SGN攻防策略模型,计算管理者与入侵者之间的纳什均衡,得到状态转移矩阵及可达标识的稳定概率,对安全性指标进行量化评价,对信息系统安全管理进行安全性评价。最后,以精炼贝叶斯均衡理论为依据,在威胁与防御的博弈的基础上,提出信息安全管理信念。通过对博弈中信念及其管理者与入侵者之间概率的理解,分析基于博弈的风险管理信念,分析管理者和入侵者的信念及其对网络安全的影响,从而度量管理者和入侵者的效用函数,用以指导信息系统安全风险管理的分析。论文从主观与客观的视角出发,探索信息安全管理信念的管理机制,并证明了该机制的有效和可靠性,通过仿真阐述并证明了安全管理信念对风险管理的重要性和必要性,为负责任的创新性安全管理提供了系统性探索途径。