信息安全管理體系(ISMS)是組織整體管理體系的一個(gè)部分，是基于風(fēng)險(xiǎn)評(píng)估而建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全以提升信息安全管理水平的系列活動(dòng)。采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略決策。

信息安全管理體系的審核是管理體系家族比較有特色的組成部分。一個(gè)組織按照ISMS來(lái)管理其信息安全，通過(guò)申請(qǐng)獨(dú)立的認(rèn)證機(jī)構(gòu)的審核服務(wù)，可以使組織借助外部專家的力量來(lái)改進(jìn)組織的信息安全管理水平，也能在一定程度上提高組織的公信力。本章的介紹主要依據(jù)GB/T 19011-2003/IS() 19011：2002，章節(jié)安排則以外部審核活動(dòng)的節(jié)點(diǎn)來(lái)劃分，組織實(shí)施內(nèi)部審核活動(dòng)照此步驟進(jìn)行裁剪即可。