信息安全管理主要是体系建设、安全策略、制度流程建设、 风险评估管理、 系统安全性、 业务运行连续性计划、 业务运行应急演练计划、风险预警体系、其他重要安全环节和机制的管理。信息安全管理体系的落实就是ISO27000标准族了。相信安全从业人员都会或多或少听说过ISO27000。但是在业内，有些人会把ISO27000、ISO27001和ISO27002混淆。小编在这里想强调一下：

　　1、ISO27000是一个标准族，里面包括认证、指导实施指南、度量、风险评估、通过认证机构的标准等等。

　　2、ISO27001具体提出了对组织的信息安全管理能力进行评估，以确定其是否满足组织自身的信息安全需求。可以说，ISO27001是一种认证标准。

　　3、ISO27002是指导实施指南。我们一般说，一家企业按照ISO27002进行了相应的建设。

　　ISO27000标准族作为一个成熟的信息安全管理体系标准，也具有向其他标准借鉴，与其他标准融合的特点。比如，ITIL中也提到了信息安全，其中指出：信息安全管理可以参考ISO27001。再比如，ISO27001中也提到了COBIT中的业务连续性，可以参考ISO22301进行实施。