信息安全管理體系（Information Security Management Systems，簡稱：ISMS）是組織整體管理體系的一個部分，是基于風險評估建立、實施、運行、監視、評審、保持和持續改進信息安全等一系列的管理活動，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用的方法的體系。

一、適用范圍

信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看，較多的是涉及電信、保險、銀行、數據處理中心、IC制造和軟件外包等行業。

二、必備基本條件

1、中國企業持有工商行政管理部門頒發的《企業法人營業執照》、《生產許可證》等有效文件，境外企業需持有有關機構的登記注冊證明。

2、申請單位的信息安全管理體系已按照ISO/IEC27001:2013標準的要求建立，并實施運行3個月以上；

3、至少完成一次內部審核，并進行了管理評審；

4、ISO28000信息安全管理體系運行期間及建立體系前的一年內未收到主管部門行政處罰。

三、認證周期

通常辦理周期為2-3個月。

注：

1.ISO/IEC27001證書最長三年有效，每年需要進行年審，三年換證，根據監督審核結果，確定認證證書的保持/暫停/撤銷的注冊。

2.認證時間主要取決于認定現場審核及組織前期準備時間的確定，上述辦理周期供參考。

四、認證好處

1.預防信息安全事故：

預防信息安全事故，保證組織業務的連續性，使組織的重要信息資產受到與其價值相符的保護，包括防范重要的商業秘密信息的泄漏、丟失、篡改和不可用。

2.降低風險，增強信任：

降低法律風險，建立客戶、合作伙伴間的信任橋梁和紐帶，提高公眾形象和聲譽，增加投資回報和商業機會。

3.降低企業運營成本：

運用好ISMS不僅可以通過避免安全事故，還能使組織節省運營費用，幫助組織合理籌劃信息安全費用支出，例如：依據信息資產的風險級別，安排安全控制措施的投資優先級；對于可接受的信息資產的風險，控制對其投資。

4.增強員工的意識、責任感和相關技能

證書的獲得，可以強化員工的信息安全意識，規范組織信息安全行為，減少人為原因造成的不必要的損失。