信息安全管理是組織機構和單位根據信息安全管理體系相關標準的要求,制定信息安全管理政策和策略,采用風險管理方法對信息安全管理進行規劃、實施、審查和檢查,並改進其實施的工作制度。體系壹旦建立,組織就應按照體系的要求運行,以保持體系運行的有效性。信息安全管理體系應形成壹定的文件,即組織應建立並保持壹個文件化的信息安全管理體系,該體系應詳細說明受保護的資產、組織風險管理的方法、控制目標和控制方法以及所需的保證程度。