为什么要引入信息安全管理？

由于信息安全已扩展到了信息的可靠性、可用性、可控性、完整性及不可抵赖性等更新、更深层次的领域。这些领域内的相关技术和理论都是信息安全所要研究的领域。实际上，对安全技术和产品的选择运用，只是信息安全实践活动中的一部分，只是实现安全需求的手段而已。信息安全更广泛的内容，还包括制定完备的安全策略，通过风险评估来确定需求，根据需求选择安全技术和产品，并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。归根到底，信息安全并不是技术过程，而是管理过程。随着信息安全理论与技术的发展，信息保障的概念得以提出并得到一致认可，而在信息保障的三大要素（人员、技术和管理）中，管理要素的作用和地位越来越得到重视。

略