信息安全管理體系遵循的流程是:經過計劃、實施、檢查、改進4個步驟。
信息安全管理體系是組織在整體或特定範圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表等要素的集合。
信息安全管理體系是組織機構單位按照信息安全管理體系相關標準的要求,制定信息安全管理方針和策略,采用風險管理的方法進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執行的工作體系。
信息安全管理體系ISMS是建立和維持信息安全管理體系的標準,標準要求組織通過確定信息安全管理體系範圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系;體系壹旦建立組織應按體系規定的要求進行運作。
保持體系運作的有效性;信息安全管理體系應形成壹定的文件,即組織應建立並保持壹個文件化的信息安全管理體系,其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。