通過對信息安全服務分類分級的資質認證，可以對信息安全服務提供商的基本資格、管理能力、技術能力和服務過程能力等方面進行、客觀、公正的評價，證明其服務能力，滿足社會對服務的選擇需求。同時，認證過程也將有效促進服務提供方完善自身管理體系，提高服務質量和水平，引導行業健康規范發展。

安全集成服務資質簡介。信息系統安全集成服務是指從事計算機應用系統工程和網絡系統工程的安全需求界定、安全設計、建設實施、安全的活動。

安全運維服務資質簡介。通過技術設施安全評估，技術設施安全加固，安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢，協助組織的信息系統管理人員進行信息系統的安全運維工作，以發現并修復信息系統中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時加以響應。安全運維資質認證是對安全運維服務方的基本資格、管理能力、技術能力和安全運維過程能力等方面進行評價。安全運維服務資質級別是衡量服務提供方的安全運維服務資格和能力的尺度。

風險評估服務資質簡介。信息安全風險評估是信息安全保障的基礎性工作和重要環節，貫穿于網絡和信息系統建設運行的全過程。服務提供者通過對信息系統提供風險評估服務，系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和安全整改措施，防范和消除信息安全風險，或將風險控制在可接受的水平，為網絡和信息安全保障提供科學依據。信息安全風險評估服務資質級別是衡量服務提供者服務能力的尺度。風險評估服務提供方的服務能力主要從以下四個方面體現：基本資格、服務管理能力、服務技術能力和服務過程能力;服務人員的能力主要從掌握的知識、風險評估服務的經驗等綜合評定。對服務提供方的背景審查主要指客戶投訴、違法違紀行為等;服務人員的背景審查主要指行業主管部門或使用單位對從事風險評估服務的人員進行必要的審查。

工業控制系統安全服務資質認證是對工業控制系統安全服務方的基本資格、管理能力、技術能力和工業控制系統安全服務過程能力等方面進行評價。

俗話說“三分技術七分管理”。組織普遍采用現代通信、計算機、網絡技術來構建組織的信息系統。但大多數組織的高管理層對信息資產所面臨的威脅的嚴重性認識不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應的管理措施不到位，如系統的運行、維護、開發等崗位不清，職責不分，存在一人身兼數職的現象。這些都是造成信息安全事件的重要原因。缺乏系統的管理思想也是一個重要的問題。所以，我們需要一個系統的、整體規劃的信息安全管理體系，從預防控制的角度出發，保障組織的信息系統與業務之安全與正常運作。

在信息安全管理體系方面，英國標準BS7799已經成為世界上應用廣泛與典型的信息安全管理標準。BS7799標準于1993年由英國貿易工業部立項，于1995年英國出版BS 7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全佳慣例組成的實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的參考基準，并且適用于各種組織。1998年英國公布標準的第二部分BS 7799-2《信息安全管理體系規范》，它規定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的根據。BS7799-1與BS7799-2經過修訂于 1999年重新予以發布，1999版考慮了信息處理技術，尤其是在網絡和通信領域應用的發展，同時還非常強調了商務涉及的信息安全及信息安全的責任。 2000年12月，BS7799-1：1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準----- ISO/IEC17799-1：2000《信息技術-信息安全管理實施細則》。2002年9月5日，BS7799-2:2002草案經過廣泛的討論之后， 終于發布成為正式標準，同時BS7799-2:1999被廢止。BS7799標準得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標準。2005年11月,ISO27001:2005出版，取代了之前的BS 7799-2:2002，今后，7799系列標準的編號將會發生一定的改變，更改為ISO27001系列。在某些行業如IC和軟件外包，信息安全管理體系認證已成為一些客戶的要求條件之一。
BS7799-2 從1998年頒布后，在全世界范圍內得到廣泛的認可。已有40多個國家和地區開展信息安全管理體系的認證。根據ISO/IEC 17799（BS 7799）國際使用者協會的新統計，到2005年4月，全球通過信息安全管理體系BS 7799-2認證的組織已經超過1200家。
信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。從獲得認證的企業情況看，較多的是涉及電信、保險、銀行、數據處理中心、IC制造和軟件外包等行業。
ISMS的目標是透過系統的安全風險評估確定安全需求，并對實施控制措施的支出與安全事故可能造成的商業損失進行權衡考慮；透過風險評估可以了解風險的權重和等級，以供建立安全控制機制的參考。風險評估的過程包括：
*資產清查、分類與評價
*威脅與脆弱性分析
*對業務需求、法規需求的評估
*評估風險等級
*評估可接受之風險等級
*建議安全控制措施
風險評估的總結報告應該呈現給「信息安全」來評估處理風險的策略(移轉、避免、降低或接受)，以及決定開始用的工具和辦法。