信息系统安全管理主要控制措施如下：(1) 建立信息系统相关资产的管理制度，保证电子设备的安全。企业应在 健全设备管理制度的基础上，建立专门的电子设备管控制度，对于关键信息设 备（如银行的核心数据库服务器)，未经授权，不得接触。(2) 企业应成立专门的信息系统安全管理机构，由企业主要领导负总责, 对企业的信息安全作出总体规划和全方位严格管理，具体实施工作可由企业的 信息主管部门负责。
  企业应强化全体员工的安全保密意识，特别要对重要岗位  员工进行信息系统安全保密培训，并签署安全保密协议。企业应当建立信息系 统安全保密制度和泄密责任追宄制度。(3) 企业应当按照国家相关法律法规以及信息安全技术标准，制定信息系 统安全实施细则。
  根据业务性质、重要程度、涉密情况等确定信息系统的安全 等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运  行安全有序。对于信息系统的使用者和不同安全等级信息之间的授权关系，应 在系统开发建设阶段就形成方案并加以设计，在软件系统中预留这种对应关系 的设置功能，以便根据使用者岗位职务的变迁进行调整。
  (4) 企业应当有效利用IT技术手段，对硬件配置调整、软件参数修改严加  控制。例如，企业可利用操作系统、数据库系统、应用系统提供的安全机制， 设置安全参数，保证系统访问安全；对于重要的计算机设备，企业应当利用技 术手段防止员工擅自安装、卸载软件或者改变软件系统配置，并定期对上述情  况进行检查。
  (5) 企业委托专业机构进行系统运行与维护管理的，应当严格审查其资质 条件、市场声誉和信用状况等，并与其签订正式的服务合同和保密协议。(6) 企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软 件的感染和破坏。企业应当特别注重加强对服务器等关键部位的防护；对于存 在网络应用的企业，应当综合利用防火墙、路由器等网络设备，采用内容过滤、  漏洞扫描、入侵检测等软件技术加强网络安全，严密防范来自互联网的黑客攻 击和非法侵入。
  对于通过互联网传输的涉密或者关键业务数据，企业应当采取 必要的技术手段确保信息传递的保密性、准确性、完整性。(7) 企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、 责任人、存放地点、有效性检查等内容。系统首次上线运行时应当完全备份， 然后根据业务频率和数据重要性程度，定期做好增量备份。
  数据正本与备份应  分别存放于不同地点，防止因火灾、水灾、地震等事故产生不利影响。企业可综合采用磁盘、磁带、光盘等备份存储介质。(8) 企业应当建立信息系统开发、运行与维护等环节的岗位责任制度和不 相容职务分离制度，防范利用计算机舞弊和犯罪。
  一般而言，信息系统不相容 职务涉及的人员可以分为系统开发建设人员、系统管理和维护人员、系统操作  使用人员三类。开发人员在运行阶段不能操作使用信息系统，否则就可能掌握 其中的涉密数据，进行非法利用；系统管理和维护人员担任密码保管、授权、 系统变更等关键任务，如果允许其使用信息系统，就可能较为容易地篡改数据，  从而达到侵吞财产或滥用计算机信息的目的。
  此外，信息系统使用人员也需要 区分不同岗位，包括业务数据录入、数据检查、业务批准等，在他们之间也应 有必要的相互牵制。企业应建立用户管理制度，加强对重要业务系统的访问权  限管理，避免将不相容职责授予同一用户。企业应当采用密码控制等技术手段 进行用户身份识别。
  对于重要的业务系统，应当采用数字证书、生物识别等可 靠性强的技术手段识别用户身份。对于发生岗位变化或离岗的用户，用户部门  应当及时通知系统管理人员调整其在系统中的访问权限或者关闭账号。企业应 当定期对系统中的账号进行审阅，避免存在授权不当或非授权账号。
  对于超级 用户，企业应当严格规定其使用条件和操作程序，并对其在系统中的操作全程  进行监控或审计。(9) 企业应积极开展信息系统风险评估工作，定期对信息系统进行安全评 估，及时发现系统安全问题并加以整改。