ISO/IEC 27001:2005根植于PDCA管理體系改善模式，指導(dǎo)組織系統(tǒng)地從11個(gè)領(lǐng)域（見下圖）133項(xiàng)信息安全控制措施中選擇適合組織自身信息安全要求的控制措施，以幫助組織解決信息安全問題，實(shí)現(xiàn)信息安全目標(biāo)。

為了保障組織信息安全，在計(jì)劃(Plan)階段，組織需要進(jìn)行風(fēng)險(xiǎn)評(píng)估以了解組織的信息安全需求，并根據(jù)需求設(shè)計(jì)解決方案；在實(shí)施(Do)階段，組織將解決方案付諸實(shí)現(xiàn)；在檢查(Check)階段，需要持續(xù)監(jiān)視和審查解決方案的有效性；在措施(Act)階段，對所發(fā)現(xiàn)的問題并結(jié)合組織內(nèi)、外部環(huán)境的變化予以解決，以持續(xù)提升組織的信息安全。

通過螺旋式的提升過程，組織就能將不斷變化的的信息安全需求和期望轉(zhuǎn)化為可管理的信息安全實(shí)現(xiàn)。

信息安全管理體系PDCA循環(huán)

11個(gè)信息安全領(lǐng)域

針對貴公司此次推行ISO27001管理體系，本公司在協(xié)助建立管理體系時(shí)，將根據(jù)信息安全管理的原則結(jié)合貴公司的實(shí)際情況，在符合標(biāo)準(zhǔn)和認(rèn)證機(jī)構(gòu)風(fēng)格的前提下，建立一套行之有效的信息安全管理體系。