信息安全管理系統(ISMS)是一系列基于風險評估、建立、實施、運行、監控、評估、維護和改進信息安全的管理活動。獲得認證可以保護公司和相關方的信息系統安全、知識產權和商業秘密，也有助于維護企業的聲譽、品牌和客戶信任，保持業務可持續發展和競爭優勢，實現風險管理。

系統的信息安全管理體現了以下原則：

1.制定信息安全政策，為信息安全管理提供指導和支持；

2.根據風險評估選擇控制目標和控制方法；

3.考慮控制成本和風險平衡的原則，將風險降低到組織可接受的水平；

4.以預防控制為主的思想；

5.業務可持續性原則是從故障和災難中恢復業務運作，減少故障和災難對關鍵業務流程的影響；

6.動態管理原則，即動態管理風險；

7.全員參與的原則。