ISO/IEC27001信息安全管理系统

1概述
ISO/IEC27001信息安全管理系统由引言、正文和附录三部分组成。
ISO/IEC27001信息安全管理系统的引言部分包括0.1总则、0.2过程方法、0.3与其他管理系统的兼容性三个部分。
0.1总则描述了ISO/IEC27001信息安全管理系统的用途和应用对象。为信息安全管理体系的建立、实施、运行、监控、评估、维护和完善提供了模型。

这个模型是高度概括的，不面对具体的行业。因此，标准指出，根据组织的需要实施ISMS是本标准所期望的。简单的情况下可以使用简单的ISMS，这意味着应用组织可以减少使用。第四章至第八章的内容基本上可以认为是建立PDCA模型的过程。

0.2过程方法描述了过程、过程方法和标准中使用的PDCA模型。
标准指出:本标准采用一种过程方法建立、实施、运行、监督、评估、维护和改进一个组织的ISMS。这句话说明了本标准采用的过程方法。

在当前流行的标准中，ISO/IEC27001信息安全管理系统中应用的过程方法有其特点：
(1)了解组织的信息安全要求和建立信息安全方针和目标的需要。
②从组织整体业务风险的角度，实施和运行控制措施，管理组织的信息安全风险。
③对ISMS的SMS的实施和有效性。
④基于客观测量的持续改进，有许多现行模型能够满足工程过程方法的要求，而本标准首先要满足以上四点。

理解这四点时，要注意:
(1)从整个组织出发，不能为了安全而安全。基于此，组织对安全的需求不同，绝对安全或过度安全是不必要的，甚至是浪费。
②信息安全风险的管理必须考虑整体业务风险，因为信息系统不是组织的全部。如果不考虑整体业务风险，就不会从组织的角度去理解信息安全，脱离整体业务考虑的控制，也不可能真正解决组织信息安全的问题。
③注重监视与评审、监视与评审持续改进的基础。如果缺乏有效的实施测量，改进将成为无针对性的。