一个管理框架应该是为初始化并控制实现组织内部的信息安全而建立的。合适的系统的管理应支持信息安全政策,指定安全系统中的各类角色,并协调组织内各项因素,以实现信息安全。必要时,在系统内应具备一些专用的信息安全知识,供组织内部使用。同时,完备的信息安全系统应时时与组织外部的安全专家联络,跟踪最新动向,监测标准和评估方法,并在处理安全事件时,提供适当的解决办法。在信息安全系统中应鼓励采用多重接入的方法,例如,在涉及经理、用户、管理者、应用设计者、审计人员和安全职员之间的协作关系时,应根据不同的需求来不同对待,或者在保险及风险管理等领域,需要更专门的技术来实现。