ISO/IEC 27001: 2005是信息安全管理體系標(biāo)準(zhǔn)，其提供了企業(yè)建立信息安全管理體系的框架、方法和基本要求。ISO/IEC 27001: 2005明確提出了采用過(guò)程方法來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)組織的信息安全管理體系，并采用“規(guī)劃一實(shí)施一檢查一處置”( PDCA)模型，把相關(guān)方的信息安全要求和期望作為輸入，通過(guò)必要的行動(dòng)和過(guò)程，產(chǎn)生滿足這些要求和期望的信息安全結(jié)果，如圖8 -1所示。依據(jù)ISO/IEC27001標(biāo)準(zhǔn)進(jìn)行信息安全管理體系建設(shè)，是推動(dòng)企業(yè)信息安全保護(hù)方面最普遍的思路和決策。

ISO/IEC 27002是信息安全管理體系實(shí)用規(guī)則，是對(duì)ISO/IEC 27001標(biāo)準(zhǔn)的細(xì)化和補(bǔ)充，其中對(duì)信息安全的定義、意義、信息安全管理方法等進(jìn)行了闡述，并明確了信息安全管理的11個(gè)控制域管理目標(biāo)、控制措施、實(shí)施指南等信息。11個(gè)控制域是安全方針、信息安全組織、資產(chǎn)管理、人員安全、物理和環(huán)境安全、通信和運(yùn)維管理、訪問(wèn)控制、信息系統(tǒng)信息獲取和開(kāi)發(fā)以及維護(hù)、信息安全事故管理、業(yè)務(wù)持續(xù)性管理、符合性等。

企業(yè)可以根據(jù)實(shí)際情況對(duì)1 1個(gè)控制域中1 13個(gè)控制點(diǎn)加以選擇和使用，并通過(guò)相關(guān)措施的建立、健全和有效實(shí)施，保證信息安全管理目標(biāo)的實(shí)現(xiàn)。11個(gè)控制域?qū)?yīng)的控制點(diǎn)見(jiàn)表8 -1。