信息安全管理是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表等要素的集合。
信息安全管理是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性,信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
