ISMS項(xiàng)目很復(fù)雜，可能持續(xù)若干個(gè)月甚至若干年，涉及整個(gè)機(jī)構(gòu)組織以及從管理層到收發(fā)部門(mén)的每個(gè)成員。ISO27001認(rèn)證誕生時(shí)間短，成功的案例比較少。從務(wù)實(shí)的角度考慮，這表明在項(xiàng)目計(jì)劃過(guò)程中，盡早對(duì)這些僅有的指導(dǎo)性的書(shū)籍和案例進(jìn)行分析和研究。

ISO27001標(biāo)準(zhǔn)指導(dǎo)一個(gè)企業(yè)如何著手開(kāi)展ISMS項(xiàng)目，并且關(guān)注整個(gè)項(xiàng)目進(jìn)程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程，即計(jì)劃（Plan）－執(zhí)行（Do）－檢查（Check）－提升（Act）過(guò)程，意在說(shuō)明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進(jìn)的，該方法使得職能部門(mén)經(jīng)理可以識(shí)別出那些需要修正的環(huán)節(jié)并進(jìn)行修正。這個(gè)流程以及流程的改進(jìn)，都遵循這樣一個(gè)過(guò)程：先計(jì)劃，再執(zhí)行，而后對(duì)其運(yùn)行結(jié)果進(jìn)行評(píng)估，緊接著按照計(jì)劃的具體要求對(duì)該評(píng)估進(jìn)行復(fù)查，而后尋找到任何與計(jì)劃不符的結(jié)果偏差（即潛在改進(jìn)的可能性），后向管理層提出如何運(yùn)行的終報(bào)告。

安言咨詢技術(shù)總監(jiān)張威表示，此次改版與舊版相比主要有三大差異：
一、管理體系更容易整合；
二、融入企業(yè)面臨的新挑戰(zhàn)；
三、更多指引延伸參考。

更多參考：此次ISO也新增許多指引供企業(yè)參考，組織可以通過(guò)不同的面以及風(fēng)險(xiǎn)進(jìn)行深度的強(qiáng)化，通過(guò)ISO 27001驗(yàn)證只是基本要求。目前ISO 27000系列指引編號(hào)已超過(guò)44號(hào)（001-044），例如金融服務(wù)、數(shù)字鑒識(shí)、供應(yīng)鏈管理（4本）、軟件開(kāi)發(fā)測(cè)試等，主管機(jī)關(guān)可參考這些指引做升級(jí)的要求。

認(rèn)證，認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評(píng)定活動(dòng)。認(rèn)證機(jī)構(gòu)，是經(jīng)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理(CNCA)批準(zhǔn)可以在中國(guó)境內(nèi)合法開(kāi)展管理體系認(rèn)證和產(chǎn)品認(rèn)證的機(jī)構(gòu)。就是說(shuō)取得此項(xiàng)認(rèn)證資質(zhì)的企業(yè)或單位才可以進(jìn)行審核活動(dòng)。比如BSI，DNV，北京新世紀(jì)認(rèn)證有限公司，華夏認(rèn)證中心有限公司等等，他們屬于認(rèn)證機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)是經(jīng)CNCA授權(quán)的，認(rèn)可機(jī)構(gòu)管理認(rèn)證機(jī)構(gòu)。

認(rèn)可，是正式表明合格評(píng)定機(jī)構(gòu)具備實(shí)施特定合格評(píng)定工作能力的第三方證明。通俗地講，認(rèn)可是指認(rèn)可機(jī)構(gòu)按照相關(guān)國(guó)際標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)，對(duì)從事認(rèn)證、檢測(cè)和檢查等活動(dòng)的合格評(píng)定機(jī)構(gòu)實(shí)施評(píng)審，證實(shí)其滿足相關(guān)標(biāo)準(zhǔn)要求，進(jìn)一步證明其具有從事認(rèn)證、檢測(cè)和檢查等活動(dòng)的技術(shù)能力和管理能力，并頒發(fā)認(rèn)可證書(shū)。中國(guó)的認(rèn)可機(jī)構(gòu)是CNAS，英國(guó)的認(rèn)可機(jī)構(gòu)是UKAS，美國(guó)的認(rèn)可機(jī)構(gòu)是ANAB。