標準ISO27001的主要內容：

ISO/IEC1799-2000(BS779-1)為負責啟動其組織、實施或維護安全的人員提供信息安全管理建議。該標準為開發(fā)組織的安全標準和有效的安全管理實踐提供了公共基礎，并為組織之間的溝通提供了信任。 作者：烏拉拉拉拉嗚 https://www.bilibili.com/read/cv23845129/ 出處：bilibili

該標準指出，與其他重要的商業(yè)資產一樣，信息也是一種資產。它對一個組織很有價值，所以它需要得到適當的保護。信息安全可以防止各種威脅，以確保業(yè)務的連續(xù)性，減少業(yè)務損害的風險，并增加投資回報和業(yè)務機會。

通過實現一組適當的控制來獲得信息安全。控制可以是一種策略。慣例。程序。組織結構和軟件功能。為了確保組織的特定安全目標，需要建立這些控制。

信息安全管理是指導和控制企業(yè)或機構的關于信息安全風險的相互協(xié)調的活動，信息安全管理實際上是風險管理的過程，管理的基礎是風險的識別與評估。系統(tǒng)的信息安全管理主要體現以下原則：

■采用目前國際管理界公認的過程方法來建立并實施體系，將活動和相關的資源作為過程進行管理，并系統(tǒng)地識別和管理組織所用的過程，特別是過程之間的相互作用，以改善組織總體的效率和有效性。

■按照美國**質量管理專家戴明的PDCA持續(xù)改進模式來對信息安全管理體系的諸過程及其相互作用進行管理。

■將國際信息安全界公認的信息安全最佳慣例有序地形成標準，供各類組織在風險識別、風險評價的基礎上進行選擇實施，將風險降至企業(yè)或機構可以接受的水平。

■同時關注組織信息的實物/物理安全與信息系統(tǒng)的安全。

■預防控制為主的思想原則。

■業(yè)務持續(xù)性原則，即從故障中恢復業(yè)務運作，減少故障對關鍵業(yè)務過程的影響。

■動態(tài)管理原則，即對風險實施動態(tài)管理。

要設計一套簡單實用的企業(yè)信息安全風險評估體系，則需要在風險評估體系設計過程中，特別注重以下原則：

1、做到將企業(yè)動態(tài)風險同靜態(tài)風險相結合以及企業(yè)不同層次的綜合風險與業(yè)務操作風險評估相結合，此外還要注重企業(yè)信息安全風險評估工作的全面性和效益性。

2、企業(yè)面臨的ISO27001信息安全風險結構十分復雜，因此盡量保證風險類型全面且風險標志具備代表性，要盡量把企業(yè)會面臨到的所有重要風險因素都加入到風險評估模型當中。

3、企業(yè)中肯定會存在大量的難以量化的風險因素，因此在信息安全風險評估模型的設計中，要盡量對所有風險因素都進行量化，以確保評估結果的準確性。