信息安全技術(shù)是信息安全控制的重要手段，一些安全性要 求高的信息系統(tǒng)的安全性必須借助于技術(shù)手段來實(shí)現(xiàn)，但單獨(dú)依靠技術(shù)手段實(shí)現(xiàn)安全的能力是有限的，而且安全技術(shù)應(yīng)由適當(dāng)?shù)墓芾? 和程序來支持，否則，安全技術(shù)發(fā)揮不了其應(yīng)有的安全作用，或者當(dāng)應(yīng)用環(huán)境發(fā)生變化時(shí)，不做適當(dāng)?shù)募夹g(shù)調(diào)整，其安全作用會(huì)大打 折扣，甚至喪失。信息安全來自“三分技術(shù)，七分管理”，必須注重信息安全管理，而且信息安全管理需要組織所有員工 的參與，還需要供應(yīng)商、客戶的參與，以及組織以外的專家建議。

　　信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)， 關(guān)于信息安全風(fēng)險(xiǎn)的指導(dǎo)和控制活動(dòng)通常包括制定信息安全方針、進(jìn)行風(fēng)險(xiǎn)評(píng)估、確定控制目標(biāo)、選擇控制方式、實(shí)施風(fēng)險(xiǎn)控制、獲 得安全保證等。信息安全管理實(shí)際上是風(fēng)險(xiǎn)管理的過程，管理的基礎(chǔ)是風(fēng)險(xiǎn)識(shí)別與評(píng)估。

　　系統(tǒng)的信息安全管理體現(xiàn)以 下原則：
　　 ●制定信息安全方針為信息安全管理提供導(dǎo)向和支持；
　　 ●以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式；
　　 ●考慮控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則，將風(fēng)險(xiǎn)降低到組織可接受的水平；
　　 ●預(yù)防控制為主 的思想；
　　 ●業(yè)務(wù)持續(xù)性原則，即從故障與災(zāi)難中恢復(fù)業(yè)務(wù)運(yùn)作，減少故障與災(zāi)難對(duì)關(guān) 鍵業(yè)務(wù)過程的影響；
　　 ●動(dòng)態(tài)管理原則，即對(duì)風(fēng)險(xiǎn)實(shí)施動(dòng)態(tài)管理；
　　 ●全員參與的原則；

　　遵循管理的一般循環(huán)模式 ——Plan (策劃) -Do（執(zhí)行）-Check（檢查）-Act（措施）的持續(xù)改進(jìn)模式。