ISO27001就是建立和维护信息安全管理体系的标准,是国际最具权威的适用于各类组织的信息安全整体解决方案,它要求通过PDCA过程来建立ISMS 框架:确定体系范围,制定信息安全策略,明确管理职责,通过风险评估确定控制目标和控制方式。
体系一旦建立,组织应该实施、维护和持续改进ISMS,保持体系运作的有效性。同时,ISO27001也非常强调信息安全管理过程中文件化的工作,ISMS 的文件体系应该包括安全策略、适用性声明(选择与未选择的控制目标和控制措施)、实施安全控制所需的程序文件、ISMS 控制和操作程序,以及组织围绕ISMS 开展的所有活动的证明材料。
除此之外,它还提供了国际上知名企业在信息安全方面的133个良好实践惯例,通过对组织中涉及信息安全的11大领域实施这133个控制措施来达到涵盖整个组织信息安全的39个控制目标,从而实现整个组织的业务持续发展战略。