情報セキュリティ管理は情報やサービスが安全に利用できることを 確実にするプロセスです。情報やサービスが安心して利用できる レベルは事業やサービスの内容によって変わります。 サービス・プロバイダには、事業側が望むサービスのセキュリティ・ レベルで情報やサービスを維持・運営しなければなりませんが、その説明責任を果たすのがこの情報セキュリティ管理です。 情報セキュリティ対策は、情報資産の機密性，完全性，可用性を保つために重要です。これに関しては JIS Q 20000 Ｉの他の分野でも言及していますが、それらを統合的に管理するために「情報セキュリティ管理」を設けています。しかし、情報セキュリティのマネジメントシステムは JIS Q 27000シリーズ（ISMS）がありますので、ここでは、サービス供給者が行う事項の概要を示すだけになっています。

【 情報セキュリティ方針 】
経営者が承認した情報セキュリティ方針への順守の重要性，ＩＴＳＭＳおよびサービスへの適用可能性を，関係する要員に伝達すること。

【 情報セキュリティ管理策 】
情報セキュリティ方針に基づく情報セキュリティ管理策を決定し，実施し，運用し、評価すること。

【 情報セキュリティインシデント 】
情報セキュリティに関するインシデント情報をサービスデスクが受けてから解決するまでの手順や記録に関する事項ですが、後述の「サービス要求から解決までのプロセス」の項目を掲げただけになっています。