信息安全管理体系（Information Security Management Systems,以下简称ISMS）是组织整体管理体系的一个部分，是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用的方法的体系。
ISO27001是建立和维护信息安全管理体系的标准，它要求组织通过一系列的过程，如确定信息安全管理体系范围，制定信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，是组织达到动态的、系统的、全员参与的、制度化的，以预防为主的信息安全管理方式。
组织ISMS的设计和实施受组织需求、目标、安全需求、应用的过程以及组织规模和结构的影响。 
        ISMS利用风险分析管理工具，结合企业资产列表和威胁来源的调查分析及系统安全弱点评估等结果，并综合评估影响企业整体的因素，来制定适当的信息安全政策与信息安全作业准则，从而降低潜在的风险危机。
        ISMS适用于所有类型的组织（例如：商业企业、政府机构、非盈利组织），包括但不限于
        ——银行、证券、保险等金融机构；
        ——交通、能源等大型国有企业；
        ——互联网数据中心(IDC)服务提供商；
        ——软件和信息技术服务企业；
        ——公共管理、社会保障和社会组织等。
        企业建立信息安全管理体系和获取认证的意义：
         通过制定和实施企业ISMS能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系协同工作的高效、有序和经济性。
         ISMS不仅可以在信息安全事故发生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重要的是ISO27001信息安全管理体系能够预防和避免大多数的信息安全事件的发生。
         ISMS就是对信息安全风险进行识别、分析、采取措施，将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由于新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的就是不断改进自身的信息安全状态，将信息安全风险控制在可接受的范围之内，获得企业现有条件下和资源能力范围内最大程度的安全。
         组织可以参照信息安全管理模型，按照先进的信息安全管理标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，使信息风险的发生概率和结果降低到可接受水平，并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会：
        * 强化员工的信息安全意识，规范组织信息安全行为；
        * 对组织的关键信息资产进行全面系统的保护，维持竞争优势；
        * 在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；
        * 使组织的生意伙伴和客户对组织充满信心。