信息安全管理体系是组织整体管理体系的一个部分， 是组织在整体或特定范围内建立信息安全方针和目标， 以及完成这些目标所用方法的体系。建立和维护信息安全管理体系的标准， 是国际最具权威的适用于各类组织的信息安全整体解决方案， 它要求通过PDCA 过程来建立ISMS框架: 确定体系范围， 制定信息安全策略, 明确管理职责, 通过风险评估确定控制目标和控制方式。