信息安全管理应当涉及信息安全的各个方面,包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。按照信息安全管理国际标准ISO/IEC17799的最新版本ISO/IEC17799:2005,一般通过在以下十一个领域内建立管理控制措施。
(1)安全方针和策略
(2)组织安全
(3)资产分类与控制
(4)人员安全
(5)物理与环境安全
(6)通信、运行与操作安全
(7)访问控制
(8)系统获取、开发与维护
(9)安全事故管理
(10)业务持续性
(11)符合性。