5.1  知識子域：信息安全管理體系

5.1.1  信息安全管理基礎

1.信息安全管理基本概念

1）管理

管理主體組織并利用其各個要素（人、財、物、信息和時空），借助管理手段，完成該組織目標的過程。其中，信息就像其他重要業務資產和管理要素一樣，也是對組織業務至關重要的一種資產，因此需要加以適當地保護。在業務環境互連日益增加的情況下這一點顯得尤為重要。這種互連性的增加導致信息暴露于日益增多的、范圍越來越廣的威脅和脆弱性當中。

信息可以以多種形式存在。它可以打印或寫在紙上、以電子方式存儲、用郵寄或電子手段傳送、呈現在膠片上或用語言表達。無論信息以什么形式存在，用哪種方法存儲或共享，都宜對它進行適當地保護。信息安全是保護信息免受各種威脅的損害，以確保業務連續性，業務風險最小化，投資回報和商業機遇最大化。

2)信息安全管理

管理者為實現信息安全目標（信息資產的CIA等特性，以及組織目標運作的持續）而進行的計劃、組織、指揮、協調和控制的一系列活動。通過實施一組合適的控制措施而達到的組織的目標，其中包括制定策略、審定過程、編制規程、設計組織結構以及開發必要的軟件和硬件安全功能。在必要時需建立、實施、監視、評審和改進包含這些控制措施的信息安全管理過程，以確保滿足該組織的特定安全和業務目標。這個過程宜與其他業務管理過程聯合進行。