标准ISO27001的主要内容：

ISO/IEC1799-2000(BS779-1)为负责启动其组织、实施或维护安全的人员提供信息安全管理建议。该标准为开发组织的安全标准和有效的安全管理实践提供了公共基础，并为组织之间的沟通提供了信任。 作者：乌拉拉拉拉呜 https://www.bilibili.com/read/cv23845129/ 出处：bilibili

该标准指出，与其他重要的商业资产一样，信息也是一种资产。它对一个组织很有价值，所以它需要得到适当的保护。信息安全可以防止各种威胁，以确保业务的连续性，减少业务损害的风险，并增加投资回报和业务机会。

通过实现一组适当的控制来获得信息安全。控制可以是一种策略。惯例。程序。组织结构和软件功能。为了确保组织的特定安全目标，需要建立这些控制。

信息安全管理是指导和控制企业或机构的关于信息安全风险的相互协调的活动，信息安全管理实际上是风险管理的过程，管理的基础是风险的识别与评估。系统的信息安全管理主要体现以下原则：

■采用目前国际管理界公认的过程方法来建立并实施体系，将活动和相关的资源作为过程进行管理，并系统地识别和管理组织所用的过程，特别是过程之间的相互作用，以改善组织总体的效率和有效性。

■按照美国**质量管理专家戴明的PDCA持续改进模式来对信息安全管理体系的诸过程及其相互作用进行管理。

■将国际信息安全界公认的信息安全最佳惯例有序地形成标准，供各类组织在风险识别、风险评价的基础上进行选择实施，将风险降至企业或机构可以接受的水平。

■同时关注组织信息的实物/物理安全与信息系统的安全。

■预防控制为主的思想原则。

■业务持续性原则，即从故障中恢复业务运作，减少故障对关键业务过程的影响。

■动态管理原则，即对风险实施动态管理。

要设计一套简单实用的企业信息安全风险评估体系，则需要在风险评估体系设计过程中，特别注重以下原则：

1、做到将企业动态风险同静态风险相结合以及企业不同层次的综合风险与业务操作风险评估相结合，此外还要注重企业信息安全风险评估工作的全面性和效益性。

2、企业面临的ISO27001信息安全风险结构十分复杂，因此尽量保证风险类型全面且风险标志具备代表性，要尽量把企业会面临到的所有重要风险因素都加入到风险评估模型当中。

3、企业中肯定会存在大量的难以量化的风险因素，因此在信息安全风险评估模型的设计中，要尽量对所有风险因素都进行量化，以确保评估结果的准确性。