信息系統安全集成包括：(1)在新建信息系統的結構化設計中考慮信息安全因素，從而使建設完成后的信息系統滿足建設方或使用方的安全需求而開展的活動。(2)在已有信息系統的基礎上額外增加信息安全子系統或信息安全設備等，通常被稱為安全優化或安全加固。信息系統安全集成服務資質級別是衡量服務提供者服務能力的尺度。

信息系統災難備份與恢復服務資質簡介。信息系統災難備份與恢復服務是將信息系統的數據、數據處理系統、網絡系統、基礎設施、技術支持能力和運行管理能力進行備份，并在災難發生時，將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行狀態，將其支持的業務功能從災難造成的不正常狀態恢復到可接受狀態，而設計和提供的活動。信息系統災難備份與恢復服務資質級別是衡量服務提供者服務能力的尺度。

工業控制系統安全服務資質級別是衡量服務提供方的工業控制系統安全服務資格和能力的尺度。
網絡安全審計服務資質認證。網絡安全審計是指網絡安全審計機構對被審計方所屬的計算機信息系統的安全性、可靠性和經濟性進行檢查、監督，通過獲取審計證據并對其進行客觀評價所開展的系統的、立的、形成文件的活動。

俗話說“三分技術七分管理”。組織普遍采用現代通信、計算機、網絡技術來構建組織的信息系統。但大多數組織的高管理層對信息資產所面臨的威脅的嚴重性認識不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應的管理措施不到位，如系統的運行、維護、開發等崗位不清，職責不分，存在一人身兼數職的現象。這些都是造成信息安全事件的重要原因。缺乏系統的管理思想也是一個重要的問題。所以，我們需要一個系統的、整體規劃的信息安全管理體系，從預防控制的角度出發，保障組織的信息系統與業務之安全與正常運作。

系統規劃主要是明確信息安全管理的目標、范圍和政策，并收集和公司信息安全相關的數據、文件。系統規劃階段應該由一個跨部門的「信息安全」來負責，并且擁有高管理的支持。

ISMS的目標是透過系統的安全風險評估確定安全需求，并對實施控制措施的支出與安全事故可能造成的商業損失進行權衡考慮；透過風險評估可以了解風險的權重和等級，以供建立安全控制機制的參考。風險評估的過程包括：
*資產清查、分類與評價
*威脅與脆弱性分析
*對業務需求、法規需求的評估
*評估風險等級
*評估可接受之風險等級
*建議安全控制措施
風險評估的總結報告應該呈現給「信息安全」來評估處理風險的策略(移轉、避免、降低或接受)，以及決定開始用的工具和辦法。