当前,信息安全不再仅仅是技术,它是标准、法律法规、管理和技术的有机结合。本文主要对信息安全评估标准和管理标准及其应用进行研究和探索。本文首先介绍了信息安全标准现状及其发展,对国内外常用的信息安全标准作了简要介绍。然后,本文介绍了信息安全评估的定义、标准及其发展。TCSEC 是一个典型的信息技术安全评估标准,本文特别对TCSEC 中B2 级评估标准进行了研究,将B2 与CC 中的EAL5 进行了比较分析。CC 是目前系统安全认证方面最权威的标准,本文介绍了通用准则(CC),分析其结构特征,讨论其核心思想,分析CC 的功能要求和保证要求,讨论了CC 的主要用途,最后提出了基于CC 的信息安全综合评估方法。安全管理是信息安全的一个重要内容,信息安全管理标准也已经成为信息安全标准体系的重要组成部分。本文介绍了著名的信息安全管理标准BS7799,分析了BS7799 的结构特点,提出了基于BS7799 建立信息安全管理体系(ISMS)的模型。除了ISMS 应用外,BS7799 标准的另一个重要的应用则是业务持续性管理。采用有效的BCP,可以使组织或企业在灾难发生后业务很快得到恢复,并尽量降低灾难带来的损失。本文介绍了业务持续性计划(BCP)的内容及制定过程,对其BCP 技术策略进行了研究,将BCP 与DRP 进行了比较分析,并提出了一个先进的BCP 循环模型。信息安全很重要的一点就是对关键信息的访问进行控制,访问控制是针对越权使用资源的防御措施。我国在访问控制方面的相关标准和法律法规还很不健全,本文对存取控制系统和存取控制方法进行了研究,介绍了几个常见的访问控制策略,分析了几种常见的访问控制模型。这将对我国相关标准或法律法规的健全有一定的参考作用。最后,本文对我国和我省的信息安全标准现状和信息安全法律法规现状进行了介绍和研究分析。