標準ISO27001的主要內容：

ISO/IEC1799-2000(BS779-1)為負責啟動其組織、實施或維護安全的人員提供信息安全管理建議。該標準為開發組織的安全標準和有效的安全管理實踐提供了公共基礎，并為組織之間的溝通提供了信任。 作者：烏拉拉拉拉嗚 https://www.bilibili.com/read/cv23845129/ 出處：bilibili

該標準指出，與其他重要的商業資產一樣，信息也是一種資產。它對一個組織很有價值，所以它需要得到適當的保護。信息安全可以防止各種威脅，以確保業務的連續性，減少業務損害的風險，并增加投資回報和業務機會。

通過實現一組適當的控制來獲得信息安全。控制可以是一種策略。慣例。程序。組織結構和軟件功能。為了確保組織的特定安全目標，需要建立這些控制。

信息安全管理是指導和控制企業或機構的關于信息安全風險的相互協調的活動，信息安全管理實際上是風險管理的過程，管理的基礎是風險的識別與評估。系統的信息安全管理主要體現以下原則：

■采用目前國際管理界公認的過程方法來建立并實施體系，將活動和相關的資源作為過程進行管理，并系統地識別和管理組織所用的過程，特別是過程之間的相互作用，以改善組織總體的效率和有效性。

■按照美國**質量管理專家戴明的PDCA持續改進模式來對信息安全管理體系的諸過程及其相互作用進行管理。

■將國際信息安全界公認的信息安全最佳慣例有序地形成標準，供各類組織在風險識別、風險評價的基礎上進行選擇實施，將風險降至企業或機構可以接受的水平。

■同時關注組織信息的實物/物理安全與信息系統的安全。

■預防控制為主的思想原則。

■業務持續性原則，即從故障中恢復業務運作，減少故障對關鍵業務過程的影響。

■動態管理原則，即對風險實施動態管理。

要設計一套簡單實用的企業信息安全風險評估體系，則需要在風險評估體系設計過程中，特別注重以下原則：

1、做到將企業動態風險同靜態風險相結合以及企業不同層次的綜合風險與業務操作風險評估相結合，此外還要注重企業信息安全風險評估工作的全面性和效益性。

2、企業面臨的ISO27001信息安全風險結構十分復雜，因此盡量保證風險類型全面且風險標志具備代表性，要盡量把企業會面臨到的所有重要風險因素都加入到風險評估模型當中。

3、企業中肯定會存在大量的難以量化的風險因素，因此在信息安全風險評估模型的設計中，要盡量對所有風險因素都進行量化，以確保評估結果的準確性。