信息安全管理體系(ISMS)是組織整體管理體系的一個部分，是基于風(fēng)險評估而建立、實施、運行、監(jiān)視、評審、保持和改進信息安全以提升信息安全管理水平的系列活動。采用ISMS應(yīng)當(dāng)是一個組織的一項戰(zhàn)略決策。

信息安全管理體系的審核是管理體系家族比較有特色的組成部分。一個組織按照ISMS來管理其信息安全，通過申請獨立的認證機構(gòu)的審核服務(wù)，可以使組織借助外部專家的力量來改進組織的信息安全管理水平，也能在一定程度上提高組織的公信力。本章的介紹主要依據(jù)GB/T 19011-2003/IS() 19011：2002，章節(jié)安排則以外部審核活動的節(jié)點來劃分，組織實施內(nèi)部審核活動照此步驟進行裁剪即可。