信息安全管理系統(tǒng)(ISMS)是一系列基于風險評估、建立、實施、運行、監(jiān)控、評估、維護和改進信息安全的管理活動。獲得認證可以保護公司和相關方的信息系統(tǒng)安全、知識產(chǎn)權和商業(yè)秘密，也有助于維護企業(yè)的聲譽、品牌和客戶信任，保持業(yè)務可持續(xù)發(fā)展和競爭優(yōu)勢，實現(xiàn)風險管理。

系統(tǒng)的信息安全管理體現(xiàn)了以下原則：

1.制定信息安全政策，為信息安全管理提供指導和支持；

2.根據(jù)風險評估選擇控制目標和控制方法；

3.考慮控制成本和風險平衡的原則，將風險降低到組織可接受的水平；

4.以預防控制為主的思想；

5.業(yè)務可持續(xù)性原則是從故障和災難中恢復業(yè)務運作，減少故障和災難對關鍵業(yè)務流程的影響；

6.動態(tài)管理原則，即動態(tài)管理風險；

7.全員參與的原則。