信息安全管理体系(ISMS)是组织整体管理体系的一个部分,是基于风险评估而建立、实施、运行、监视、评审、保持和改进信息安全以提升信息安全管理水平的系列活动。采用ISMS应当是一个组织的一项战略决策。
信息安全管理体系的审核是管理体系家族比较有特色的组成部分。一个组织按照ISMS来管理其信息安全,通过申请独立的认证机构的审核服务,可以使组织借助外部专家的力量来改进组织的信息安全管理水平,也能在一定程度上提高组织的公信力。本章的介绍主要依据GB/T 19011-2003/IS() 19011:2002,章节安排则以外部审核活动的节点来划分,组织实施内部审核活动照此步骤进行裁剪即可。