随着社会信息化时代的来临,信息资源对信息化社会的重要程度越来越大。从人们的日常工作生活、企业管理到国家管理,信息资源都是必不可少的关键资源,现代社会的发展,都需要各种信息资源的支持。但是信息在信息化社会发展中的作用越来越重要的同时,随之而来的信息安全问题也变得日益严重,亟需对信息加以安全保护及安全管理。目前,许多标准化组织都提出了各自的信息安全管理的体系标准和模型,这些标准在某些行业,例如电信行业等,得到了很好的应用；并且目前,许多公司已经将信息安全管理工作纳入到了公司的日常管理中,信息安全管理得到了很多企业的高度重视。但是,如果企业仅仅按照信息安全管理标准中的规定,建设了所需的所有文档,而没有信息安全管理系统支撑信息安全管理体系,那么企业是无法有效进行信息安全管理。信息安全管理系统在信息安全管理中占有非常重要的作用,为信息安全管理提供支撑及实施的落地。本文首先调研分析国内的主要信息安全管理系统,发现这些信息安全管理系统普遍存在的问题包括以下四点：(1)资产和资产所承载的业务之间没有关联,这些信息安全管理系统都仅仅反应了单独资产的安全状况,没有反映出将资产所承载的整体业务系统的安全状况。(2)目前国内的信息安全管理系统多为被动式安全管理,当安全事件已经发生时,才能检测出来,无法做到提前预防。(3)缺乏拓扑管理。(4)缺乏对整个生命周期的资产风险的动态跟踪分析,缺乏对资产风险的增加,消减,规避的动态跟踪。然后本文设计了一种新的信息安全管理系统模型,新的模型能够解决目前主流信息安全管理系统存在的问题。根据设计的信息安全管理系统模型,本文设计实现了一个信息安全管理系统,然后验证实现的信息安全管理系统解决了目前主流信息安全管理系统中存在的问题。但是上述的信息安全管理系统的风险管理是基于传统的以评估资产脆弱性为核心的风险评估结果。将信息安全管理系统应用在大型分布式信息系统中,例如工控系统,电力系统等时,并不是十分合适。本文首先阐述了传统风险评估方式应用在工业控制系统上的问题,然后设计了一种针对工业控制系统的面向业务的风险评估方式及隐患主机识别方法,并且通过一个应用实例验证了本方法的可行性。当信息安全管理系统应用在工业控制系统下时,其风险评估方式及资产识别方法要相应变化。