資訊保安管理是組織在整體或特定範圍內建立資訊保安方針和目標,以及完成這些目標所用方法。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表等要素的集合。
資訊保安管理是組織機構單位按照資訊保安管理體系相關標準的要求,制定資訊保安管理方針和策略,採用風險管理的方法進行資訊保安管理計劃、實施、評審檢查、改進的資訊保安管理執行的工作體系。體系一旦建立組織應按體系規定的要求進行運作,保持體系運作的有效性,資訊保安管理體系應形成一定的檔案,即組織應建立並保持一個檔案化的資訊保安管理體系,其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。
