通過ISO 27001標準可以幫助您的組織建立一套“量體裁衣”的信息安全管理控制措施和保護信息資產的制度框架；可以幫助您的組織將IT策略和組織發展方向統一起來，確保與IT相關的風險受到適當的控制；可以幫助您的組織降低信息安全對持續發展造成的風險，利用信息技術創造新的戰略競爭機遇。

新要求：ISO 27001:2005原本有11個領域（domain）、133項控制措施，新版DIS目前調整為14個領域（A.5-A.18）、113個控制措施（未來仍可能有改動）。新增的領域是將原分散在各領域中的部分控制目標級別提升，組成新領域，如加密與供應鏈管理因其重要性而被立出來成為新領域；或是將原有領域分拆，如將通訊與作業管理分開成兩個立的領域，以反映目前信息安全的發展趨勢。而控制措施的減少則是通過合并重復的項目來進行，像變更管理在不同的領域中有重復就予以合并。也有新增的控制項目比如對智能型裝置的管理、強化ICT供應鏈的委外管理、以及系統開發項目管理的信息安全要求等。

信息安全管理體系ISMS是建立和維持信息安全管理體系的標準，標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系；體系一旦建立組織應按體系規定的要求進行運作，保持體系運作的有效性；信息安全管理體系應形成一定的文件，即組織應建立并保持一個文件化的信息安全管理體系，其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的程度。

PDCA過程模式
策劃：
依照組織整個方針和目標，建立與控制風險、提高信息安全有關的安全方針、目標、指標、過程和程序。
實施：實施和運作方針（過程和程序）。
檢查：依據方針、目標和實際經驗測量，評估過程業績，并向決策者報告結果。
措施：采取糾正和預防措施進一步提高過程業績。
四個步驟成為一個閉環，通過這個環的不斷運轉，使信息安全管理體系得到持續改進，使信息安全績效(performance)螺旋上升。

PDCA的應用
P—建立信息安全管理體系環境&風險評估
要啟動PDCA 循環，有“啟動器”：提供的資源、選擇風險管理方法、確定評審方法、文件化實踐。設計策劃階段就是為了確保正確建立信息安全管理體系的范圍和詳略程度，識別并評估所有的信息安全風險，為這些風險制定適當的處理計劃。策劃階段的所有重要活動都要被文件化，以備將來追溯和控制更改情況。

深圳市力嘉企業咨詢管理有限公司為全國各地的企業申報：ISO27001信息安全管理體系、ISO20000信息技術服務管理體系