1概述
ISO/IEC27001信息安全管理系統(tǒng)由引言、正文和附錄三部分組成。
ISO/IEC27001信息安全管理系統(tǒng)的引言部分包括0.1總則、0.2過程方法、0.3與其他管理系統(tǒng)的兼容性三個部分。
0.1總則描述了ISO/IEC27001信息安全管理系統(tǒng)的用途和應(yīng)用對象。為信息安全管理體系的建立、實施、運行、監(jiān)控、評估、維護和完善提供了模型。

這個模型是高度概括的，不面對具體的行業(yè)。因此，標(biāo)準(zhǔn)指出，根據(jù)組織的需要實施ISMS是本標(biāo)準(zhǔn)所期望的。簡單的情況下可以使用簡單的ISMS，這意味著應(yīng)用組織可以減少使用。第四章至第八章的內(nèi)容基本上可以認(rèn)為是建立PDCA模型的過程。

0.2過程方法描述了過程、過程方法和標(biāo)準(zhǔn)中使用的PDCA模型。
標(biāo)準(zhǔn)指出:本標(biāo)準(zhǔn)采用一種過程方法建立、實施、運行、監(jiān)督、評估、維護和改進一個組織的ISMS。這句話說明了本標(biāo)準(zhǔn)采用的過程方法。

在當(dāng)前流行的標(biāo)準(zhǔn)中，ISO/IEC27001信息安全管理系統(tǒng)中應(yīng)用的過程方法有其特點：
(1)了解組織的信息安全要求和建立信息安全方針和目標(biāo)的需要。
②從組織整體業(yè)務(wù)風(fēng)險的角度，實施和運行控制措施，管理組織的信息安全風(fēng)險。
③對ISMS的SMS的實施和有效性。
④基于客觀測量的持續(xù)改進，有許多現(xiàn)行模型能夠滿足工程過程方法的要求，而本標(biāo)準(zhǔn)首先要滿足以上四點。

理解這四點時，要注意:
(1)從整個組織出發(fā)，不能為了安全而安全?；诖?，組織對安全的需求不同，絕對安全或過度安全是不必要的，甚至是浪費。
②信息安全風(fēng)險的管理必須考慮整體業(yè)務(wù)風(fēng)險，因為信息系統(tǒng)不是組織的全部。如果不考慮整體業(yè)務(wù)風(fēng)險，就不會從組織的角度去理解信息安全，脫離整體業(yè)務(wù)考慮的控制，也不可能真正解決組織信息安全的問題。
③注重監(jiān)視與評審、監(jiān)視與評審持續(xù)改進的基礎(chǔ)。如果缺乏有效的實施測量，改進將成為無針對性的。