ISO/IEC 27001: 2005是信息安全管理體系標準，其提供了企業建立信息安全管理體系的框架、方法和基本要求。ISO/IEC 27001: 2005明確提出了采用過程方法來建立、實施、運行、監視、評審、保持和改進組織的信息安全管理體系，并采用“規劃一實施一檢查一處置”( PDCA)模型，把相關方的信息安全要求和期望作為輸入，通過必要的行動和過程，產生滿足這些要求和期望的信息安全結果，如圖8 -1所示。依據ISO/IEC27001標準進行信息安全管理體系建設，是推動企業信息安全保護方面最普遍的思路和決策。

ISO/IEC 27002是信息安全管理體系實用規則，是對ISO/IEC 27001標準的細化和補充，其中對信息安全的定義、意義、信息安全管理方法等進行了闡述，并明確了信息安全管理的11個控制域管理目標、控制措施、實施指南等信息。11個控制域是安全方針、信息安全組織、資產管理、人員安全、物理和環境安全、通信和運維管理、訪問控制、信息系統信息獲取和開發以及維護、信息安全事故管理、業務持續性管理、符合性等。

企業可以根據實際情況對1 1個控制域中1 13個控制點加以選擇和使用，并通過相關措施的建立、健全和有效實施，保證信息安全管理目標的實現。11個控制域對應的控制點見表8 -1。