信息安全管理是指导和控制企业或机构的关于信息安全风险的相互协调的活动，信息安全管理实际上是风险管理的过程，管理的基础是风险的识别与评估。系统的信息安全管理主要体现以下原则：

★采用目前国际管理界公认的过程方法来建立并实施体系，将活动和相关的资源作为过程进行管理，并系统地识别和管理组织所用的过程，特别是过程之间的相互作用，以改善组织总体的效率和有效性。

★按照美国著名质量管理专家戴明的PDCA持续改进模式来对信息安全管理体系的诸过程及其相互作用进行管理。

★将国际信息安全界公认的信息安全最佳惯例有序地形成标准，供各类组织在风险识别、风险评价的基础上进行选择实施，将风险降至企业或机构可以接受的水平。

★同时关注组织信息的实物/物理安全与信息系统的安全。

★预防控制为主的思想原则。

★业务持续性原则，即从故障中恢复业务运作，减少故障对关键业务过程的影响。

★动态管理原则，即对风险实施动态管理。