信息安全技術是信息安全控制的重要手段，一些安全性要 求高的信息系統的安全性必須借助于技術手段來實現，但單獨依靠技術手段實現安全的能力是有限的，而且安全技術應由適當的管理 和程序來支持，否則，安全技術發揮不了其應有的安全作用，或者當應用環境發生變化時，不做適當的技術調整，其安全作用會大打 折扣，甚至喪失。信息安全來自“三分技術，七分管理”，必須注重信息安全管理，而且信息安全管理需要組織所有員工 的參與，還需要供應商、客戶的參與，以及組織以外的專家建議。

　　信息安全管理是指導和控制組織的關于信息安全風險的相互協調的活動， 關于信息安全風險的指導和控制活動通常包括制定信息安全方針、進行風險評估、確定控制目標、選擇控制方式、實施風險控制、獲 得安全保證等。信息安全管理實際上是風險管理的過程，管理的基礎是風險識別與評估。

　　系統的信息安全管理體現以 下原則：
　　 ●制定信息安全方針為信息安全管理提供導向和支持；
　　 ●以風險評估為基礎選擇控制目標與控制方式；
　　 ●考慮控制費用與風險平衡的原則，將風險降低到組織可接受的水平；
　　 ●預防控制為主 的思想；
　　 ●業務持續性原則，即從故障與災難中恢復業務運作，減少故障與災難對關 鍵業務過程的影響；
　　 ●動態管理原則，即對風險實施動態管理；
　　 ●全員參與的原則；

　　遵循管理的一般循環模式 ——Plan (策劃) -Do（執行）-Check（檢查）-Act（措施）的持續改進模式。