信息安全管理系統(ISMS)是一系列基于風(fēng)險評估、建立、實(shí)施、運行、監控、評估、維護和改進(jìn)信息安全的管理活動(dòng)。獲得認證可以保護公司和相關(guān)方的信息系統安全、知識產(chǎn)權和商業(yè)秘密，也有助于維護企業(yè)的聲譽(yù)、品牌和客戶(hù)信任，保持業(yè)務(wù)可持續發(fā)展和競爭優(yōu)勢，實(shí)現風(fēng)險管理。

系統的信息安全管理體現了以下原則：

1.制定信息安全政策，為信息安全管理提供指導和支持；

2.根據風(fēng)險評估選擇控制目標和控制方法；

3.考慮控制成本和風(fēng)險平衡的原則，將風(fēng)險降低到組織可接受的水平；

4.以預防控制為主的思想；

5.業(yè)務(wù)可持續性原則是從故障和災難中恢復業(yè)務(wù)運作，減少故障和災難對關(guān)鍵業(yè)務(wù)流程的影響；

6.動(dòng)態(tài)管理原則，即動(dòng)態(tài)管理風(fēng)險；

7.全員參與的原則。