在日趋网络化的世界里，「信息」对建（jiàn）立竞争优势起着举（jǔ）足轻重的作用。但它同时也是柄双（shuāng）刃剑，当信（xìn）息（xī）被意外或（huò）刻意（yì）的传（chuán）给恶意的接收者（zhě）时，同样（yàng）的信息也可能导（dǎo）致一所（suǒ）机构倒（dǎo）闭（bì）。在当今的信息时代，科技（jì）无疑为（wéi）我们（men）解决了不少问题（tí）。 

国（guó）际标准组织(ISO)应此类需（xū）求，制（zhì）定了ISO27001:2005标准，为如（rú）何建立、推行、维持及改（gǎi）善信息（xī）安（ān）全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用（yòng）以（yǐ）监（jiān）察及（jí）控制信息安全、减（jiǎn）少商（shāng）业风险（xiǎn）和确保保安（ān）系（xì）统持续符合（hé）企业（yè）、客户及法律要求的一个（gè）体系（xì）。ISO/IEC 27001:2005 能协助机（jī）构保（bǎo）护zhuanli信息（xī），同时（shí）也为（wéi）制定统一（yī）的机构（gòu）保安（ān）标（biāo）准（zhǔn）搭建了一个平台，更有助于提升（shēng）安全管理的实（shí）务表（biǎo）现和增强机构间商（shāng）业往来的信心与信任。

什么（me）机构可（kě）采用 ISO/IEC 27001:2005 标准？
任何使用内（nèi）部或（huò）外部（bù）电（diàn）脑系（xì）统、拥有（yǒu）机密资料及/或依靠（kào）信息（xī）系统进行商业活动地机构，均可采用 ISO/IEC 27001:2005标（biāo）准。简（jiǎn）单（dān）的说（shuō），也就是那些需要处理信息、并认识到信息保护重要性的机构。

 ISO/IEC 27001 的（de）控（kòng）制目标及措施（shī）
ISO/IEC 27001制定的宗旨是（shì）确保（bǎo）机构信息的机密性、完整性及可用性，为达成上述（shù）宗旨（zhǐ），该标准共提出了39个控制目（mù）标及134项（xiàng）控制措（cuò）施，推行ISO/IEC 27001标准的机构可（kě）在其中选择适用（yòng）于其业（yè）务的控制措施，同时也（yě）可（kě）增加其他的控制措施。而（ér）与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息（xī）安（ān）全管理（lǐ）的实务（wù）守（shǒu）则，为如何推行控制措施提供（gòng）指（zhǐ）引。

 ISO/ IEC 27001:2005 的（de）架构
ISO/ IEC 27001:2005 标准在 2005 年（nián） 10 月公布，同时取缔了多国采（cǎi）纳的英国标准BS 7799-2:2002 ，但新旧标（biāo）准的（de）要求并无太大分别（bié）。ISO / IEC 27001:2005 标准以 Edward Deming 博（bó）士提（tí）出的“计（jì）划-实施-核查-采取（qǔ）行动”循环周期作为（wéi）制定蓝图，以实现（xiàn）持（chí）续改善的目标（biāo）。

I. 计（jì）划 
      计划较（jiào）重（chóng）要的部分（fèn）是设定（dìng）涵（hán）盖的范畴及区域，它可以是：
      覆盖整个组织并涉（shè）及多（duō）个（gè）地（dì）点的办事处及（jí）/或厂（chǎng）房 
      只（zhī）涉及一个办（bàn）事（shì）处或厂房 
      只涉及一个多（duō）元化服务（wù）供应商的（de）其中一个业务
      计（jì）划的主要工作（zuò）包括信息安全（quán）管理（lǐ）系统（tǒng）、风（fēng）险评（píng）估、风险管理（lǐ）、风险处理措施和适用性报告。