5.3 審核“4信息安全管理體系”

信息安全管理體系(ISMS)是過程、程序、控制措施、文件、資源和監管機構的集合。

ISO/IEC 27001: 2005標準中“4信息安全管理體系”有3節，而每一節又有若干條款，如下。

4.1信息安全管理體系(Information security management system) 4.1 總要求(General requirements)

4.2 建立和管理ISMS(Establishing and managing the ISMS) 4.2.1 建立ISMS(Establish the ISMS)

4.2.2 實施和運行ISMS (Implement and operate the ISMS) 4.2.3 監視和評審ISMS (Monitor and review the ISMS)

4.2.4 保持和改進ISMS( Maintain and improve the ISMS) 4.3 文件要求( Documentation requirements)

4.3.1 總則( General)

4.3.2 文件控制( Control of documents) 4.3.3 記錄控制( Control of records)