参考答案：

信息安全管理应当涉及信息安全的各个方面，包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。按照信息安全管理国际标准ISO/IEC17799的最新版本ISO/IEC17799：2005，一般通过在以下十一个领域内建立管理控制措施。

（1）安全方针和策略

（2）组织安全

（3）资产分类与控制

（4）人员安全

（5）物理与环境安全

（6）通信、运行与操作安全

（7）访问控制

（8）系统获取、开发与维护

（9）安全事故管理

（10）业务持续性

（11）符合性。