信息安全管理体系（ISMS）包含风险评估和风险管理，这是识别、评估、控制信息安全风险的重要组成部分，是构建信息安全体系的核心。