ISO/IEC 27001: 2005是信息安全管理體系標準，其提供了企業(yè)建立信息安全管理體系的框架、方法和基本要求。ISO/IEC 27001: 2005明確提出了采用過程方法來建立、實施、運行、監(jiān)視、評審、保持和改進組織的信息安全管理體系，并采用“規(guī)劃一實施一檢查一處置”( PDCA)模型，把相關方的信息安全要求和期望作為輸入，通過必要的行動和過程，產(chǎn)生滿足這些要求和期望的信息安全結(jié)果，如圖8 -1所示。依據(jù)ISO/IEC27001標準進行信息安全管理體系建設，是推動企業(yè)信息安全保護方面最普遍的思路和決策。

ISO/IEC 27002是信息安全管理體系實用規(guī)則，是對ISO/IEC 27001標準的細化和補充，其中對信息安全的定義、意義、信息安全管理方法等進行了闡述，并明確了信息安全管理的11個控制域管理目標、控制措施、實施指南等信息。11個控制域是安全方針、信息安全組織、資產(chǎn)管理、人員安全、物理和環(huán)境安全、通信和運維管理、訪問控制、信息系統(tǒng)信息獲取和開發(fā)以及維護、信息安全事故管理、業(yè)務持續(xù)性管理、符合性等。

企業(yè)可以根據(jù)實際情況對1 1個控制域中1 13個控制點加以選擇和使用，并通過相關措施的建立、健全和有效實施，保證信息安全管理目標的實現(xiàn)。11個控制域?qū)目刂泣c見表8 -1。