1概述
ISO/IEC27001信息安全管理系統(tǒng)由引言、正文和附錄三部分組成。
ISO/IEC27001信息安全管理系統(tǒng)的引言部分包括0.1總則、0.2過(guò)程方法、0.3與其他管理系統(tǒng)的兼容性三個(gè)部分。
0.1總則描述了ISO/IEC27001信息安全管理系統(tǒng)的用途和應(yīng)用對(duì)象。為信息安全管理體系的建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)估、維護(hù)和完善提供了模型。

這個(gè)模型是高度概括的，不面對(duì)具體的行業(yè)。因此，標(biāo)準(zhǔn)指出，根據(jù)組織的需要實(shí)施ISMS是本標(biāo)準(zhǔn)所期望的。簡(jiǎn)單的情況下可以使用簡(jiǎn)單的ISMS，這意味著應(yīng)用組織可以減少使用。第四章至第八章的內(nèi)容基本上可以認(rèn)為是建立PDCA模型的過(guò)程。

0.2過(guò)程方法描述了過(guò)程、過(guò)程方法和標(biāo)準(zhǔn)中使用的PDCA模型。
標(biāo)準(zhǔn)指出:本標(biāo)準(zhǔn)采用一種過(guò)程方法建立、實(shí)施、運(yùn)行、監(jiān)督、評(píng)估、維護(hù)和改進(jìn)一個(gè)組織的ISMS。這句話(huà)說(shuō)明了本標(biāo)準(zhǔn)采用的過(guò)程方法。

在當(dāng)前流行的標(biāo)準(zhǔn)中，ISO/IEC27001信息安全管理系統(tǒng)中應(yīng)用的過(guò)程方法有其特點(diǎn)：
(1)了解組織的信息安全要求和建立信息安全方針和目標(biāo)的需要。
②從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，實(shí)施和運(yùn)行控制措施，管理組織的信息安全風(fēng)險(xiǎn)。
③對(duì)ISMS的SMS的實(shí)施和有效性。
④基于客觀測(cè)量的持續(xù)改進(jìn)，有許多現(xiàn)行模型能夠滿(mǎn)足工程過(guò)程方法的要求，而本標(biāo)準(zhǔn)首先要滿(mǎn)足以上四點(diǎn)。

理解這四點(diǎn)時(shí)，要注意:
(1)從整個(gè)組織出發(fā)，不能為了安全而安全?；诖?，組織對(duì)安全的需求不同，絕對(duì)安全或過(guò)度安全是不必要的，甚至是浪費(fèi)。
②信息安全風(fēng)險(xiǎn)的管理必須考慮整體業(yè)務(wù)風(fēng)險(xiǎn)，因?yàn)樾畔⑾到y(tǒng)不是組織的全部。如果不考慮整體業(yè)務(wù)風(fēng)險(xiǎn)，就不會(huì)從組織的角度去理解信息安全，脫離整體業(yè)務(wù)考慮的控制，也不可能真正解決組織信息安全的問(wèn)題。
③注重監(jiān)視與評(píng)審、監(jiān)視與評(píng)審持續(xù)改進(jìn)的基礎(chǔ)。如果缺乏有效的實(shí)施測(cè)量，改進(jìn)將成為無(wú)針對(duì)性的。