ISO27001信息安全管理系统为构建全面

安全与预防
ISO27001信息安全管理系统为构建全面ISMS、仅基于风险评估实施对组织有意义的安全控制提供了路线图。路线图包括确定可能影响安全的内外问题（包括考虑第三方利益），以确定范围和上下文，然后创建匹配的策略和过程。

具体而言，ISO27001信息安全管理系统第四条要求您记录影响ISMS的内外因素，以及任何与ISMS相关的相关方的需求和期望（包括要求），并考虑这些因素确定ISMS的范围（即边界和适用性）。最后，第四章要求正式记录ISMS并不断改进。
ISO27001信息安全管理体系第五条涉及领导和责任——确保组织范围内的信息安全承诺，在整个组织中传达文件信息安全政策，在信息安全中发挥明确作用和责任。

ISO27001信息安全管理系统条款6是关于计划的，包括创建用于识别、评估和处理信息安全风险和改进机会的文档程序，识别信息安全目标并制定实现这些目标的详细计划。风险处理计划和ISMS目标应为SMART——具体、可衡量、可实现、相关和时间限制。