信息安全管理系统是在整体建立信息安全目标，完成这些目标所用的体系，信息安全管理系统可以直接管理活动的结果，表示成要素集合。信息安全管理系统遵循原则与注意事项如下：

    程序文件一般不与纯技术性的细节有关，细节一般在工作指令或作业指导书中规定； 程序文件是针对影响信息安全的各项活动的目标和执行做出的规定，它应该说明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系，说明实施各种不同活动的方式、将采用的文件及将采用的控制方式； 程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及活动涉及人员所需的技能、素质和培训程度； 程序文件应简练、明确和易懂，使其具有可操作性和可检查性； 程序文件应保持统一的结构与编排格式，便于文件的理解与使用。

    可检查性。实施信息安全管理系统的一个重要标志就是有效性的验证。程序文件主要体现可检查性，必要时附相应的控制标准； 在正式编写程序文件之前，组织应根据标准的要求、风险评估的结果和组织的实际对程序文件的数量及其控制要点进行策划，确定每个程序之间要有必要的衔接，避免发生相同的内容在不同的程序之间有较大的重复；另外，在能够实现安全控制的前提下，程序文件数量和每个程序的长度越少越好； 程序文件应得到本活动相关部门负责人同意和接受，必须经过审批，注明修订情况和有效期。