1概述
ISO/IEC27001信息安全管理系統(tǒng)由引言、正文和附錄三部分組成。
ISO/IEC27001信息安全管理系統(tǒng)的引言部分包括0.1總則、0.2過程方法、0.3與其他管理系統(tǒng)的兼容性三個(gè)部分。
0.1總則描述了ISO/IEC27001信息安全管理系統(tǒng)的用途和應(yīng)用對象。為信息安全管理體系的建立、實(shí)施、運(yùn)行、監(jiān)控、評估、維護(hù)和完善提供了模型。

這個(gè)模型是高度概括的，不面對具體的行業(yè)。因此，標(biāo)準(zhǔn)指出，根據(jù)組織的需要實(shí)施ISMS是本標(biāo)準(zhǔn)所期望的。簡單的情況下可以使用簡單的ISMS，這意味著應(yīng)用組織可以減少使用。第四章至第八章的內(nèi)容基本上可以認(rèn)為是建立PDCA模型的過程。

0.2過程方法描述了過程、過程方法和標(biāo)準(zhǔn)中使用的PDCA模型。
標(biāo)準(zhǔn)指出:本標(biāo)準(zhǔn)采用一種過程方法建立、實(shí)施、運(yùn)行、監(jiān)督、評估、維護(hù)和改進(jìn)一個(gè)組織的ISMS。這句話說明了本標(biāo)準(zhǔn)采用的過程方法。

在當(dāng)前流行的標(biāo)準(zhǔn)中，ISO/IEC27001信息安全管理系統(tǒng)中應(yīng)用的過程方法有其特點(diǎn)：
(1)了解組織的信息安全要求和建立信息安全方針和目標(biāo)的需要。
②從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，實(shí)施和運(yùn)行控制措施，管理組織的信息安全風(fēng)險(xiǎn)。
③對ISMS的SMS的實(shí)施和有效性。
④基于客觀測量的持續(xù)改進(jìn)，有許多現(xiàn)行模型能夠滿足工程過程方法的要求，而本標(biāo)準(zhǔn)首先要滿足以上四點(diǎn)。

理解這四點(diǎn)時(shí)，要注意:
(1)從整個(gè)組織出發(fā)，不能為了安全而安全。基于此，組織對安全的需求不同，絕對安全或過度安全是不必要的，甚至是浪費(fèi)。
②信息安全風(fēng)險(xiǎn)的管理必須考慮整體業(yè)務(wù)風(fēng)險(xiǎn)，因?yàn)樾畔⑾到y(tǒng)不是組織的全部。如果不考慮整體業(yè)務(wù)風(fēng)險(xiǎn)，就不會(huì)從組織的角度去理解信息安全，脫離整體業(yè)務(wù)考慮的控制，也不可能真正解決組織信息安全的問題。
③注重監(jiān)視與評審、監(jiān)視與評審持續(xù)改進(jìn)的基礎(chǔ)。如果缺乏有效的實(shí)施測量，改進(jìn)將成為無針對性的。