信息安全管理體系(ISMS)是組織整體管理體系的一個部分，是基于風險評估而建立、實施、運行、監視、評審、保持和改進信息安全以提升信息安全管理水平的系列活動。采用ISMS應當是一個組織的一項戰略決策。

信息安全管理體系的審核是管理體系家族比較有特色的組成部分。一個組織按照ISMS來管理其信息安全，通過申請獨立的認證機構的審核服務，可以使組織借助外部專家的力量來改進組織的信息安全管理水平，也能在一定程度上提高組織的公信力。本章的介紹主要依據GB/T 19011-2003/IS() 19011：2002，章節安排則以外部審核活動的節點來劃分，組織實施內部審核活動照此步驟進行裁剪即可。