信息安全管理是組織在整體或特定範圍內建立信息安全方針和目標,以及完成這些目標所用方法。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、覈查表等要素的集合。
信息安全管理是組織機構單位按照信息安全管理體系相關標準的要求,制定信息安全管理方針和策略,採用風險管理的方法進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執行的工作體系。體系一旦建立組織應按體系規定的要求進行運作,保持體系運作的有效性,信息安全管理體系應形成一定的文件,即組織應建立並保持一個文件化的信息安全管理體系,其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。
