信息安全管理體系是組織機(jī)構(gòu)單位按照信息安全管理體系相關(guān)標(biāo)準(zhǔn)的要求，制定信息安全管理方針和策略，采用風(fēng)險(xiǎn)管理的方法進(jìn)行信息安全管理計(jì)劃、實(shí)施、評(píng)審檢查、改進(jìn)的信息安全管理執(zhí)行的工作體系。 信息安全管理體系是按照ISO/IEC 27001標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》的要求進(jìn)行建立的，ISO/IEC 27001標(biāo)準(zhǔn)是由BS7799-2標(biāo)準(zhǔn)發(fā)展而來(lái)。

ISO20000的原理和方法如下：集成的過(guò)程方法，過(guò)程：將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的一組活動(dòng)。集成的過(guò)程是系統(tǒng)的識(shí)別、定義和管理組織內(nèi)所使用的各個(gè)過(guò)程，特別是過(guò)程間的接口和交互作用，形成可協(xié)調(diào)運(yùn)行的過(guò)程集合。舉例：一個(gè)服務(wù)事件會(huì)觸發(fā)事件管理過(guò)程，從而可能進(jìn)一步引發(fā)問(wèn)題管理過(guò)程、變更管理過(guò)程等。質(zhì)量管理的PDCA方法。

ISO/IEC 20000-2推薦服務(wù)管理者采用一致的術(shù)語(yǔ)和統(tǒng)一的方法進(jìn)行服務(wù)管理，這可以為改進(jìn)服務(wù)交付基礎(chǔ)，并有助于服務(wù)提供者建立一個(gè)服務(wù)管理框架。ISO/IEC 20000-2為審核人員提供指南，并可為組織規(guī)劃服務(wù)的改進(jìn)提供幫助，以便組織通過(guò)ISO/IEC 20000-1認(rèn)證。