在日趋（qū）网络化的世界里，「信息」对建立竞争优势起着举足轻（qīng）重（chóng）的作（zuò）用。但它同（tóng）时也是柄双（shuāng）刃剑，当（dāng）信息（xī）被（bèi）意外或（huò）刻意的传给（gěi）恶意（yì）的接收（shōu）者时，同样的信息也可能（néng）导致（zhì）一所机构（gòu）倒（dǎo）闭。在当今的（de）信（xìn）息时代（dài），科技无疑为我（wǒ）们解决了不少问题。 

国际标准组织(ISO)应此类（lèi）需求，制定了ISO27001:2005标准，为（wéi）如何（hé）建立、推行、维持及改善信息安全管理系统提供帮（bāng）助。信息安全管理系统(ISMS)是高层管理人（rén）员（yuán）用以监察（chá）及控制信息安全、减（jiǎn）少商业风（fēng）险和确保（bǎo）保安（ān）系统持（chí）续（xù）符合企业、客户及（jí）法律要求的（de）一个（gè）体系。ISO/IEC 27001:2005 能协助机构保（bǎo）护zhuanli信息，同时也为制（zhì）定统一的机构保安（ān）标准搭建了一个平台，更有助于提升安全管理的实务（wù）表现和增强机构间商业往来的信心与信任。

什么（me）机（jī）构可采用 ISO/IEC 27001:2005 标准？
任何使（shǐ）用内部或外部电（diàn）脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构，均可采（cǎi）用（yòng） ISO/IEC 27001:2005标准。简单的说，也就是那些（xiē）需要处理信息、并认识到信息保护重（chóng）要（yào）性的机（jī）构。

 ISO/IEC 27001 的控制目（mù）标及措施
ISO/IEC 27001制（zhì）定的宗旨是确保机构（gòu）信息的机（jī）密（mì）性（xìng）、完整性及（jí）可用性，为达成上（shàng）述宗旨（zhǐ），该标准共提出（chū）了39个控制（zhì）目标及134项（xiàng）控（kòng）制措施（shī），推行（háng）ISO/IEC 27001标准的机构可（kě）在其中选择适用（yòng）于（yú）其业务的控（kòng）制措施（shī），同时也可增加其他的控制措施。而与（yǔ）ISO/IEC 27001相辅的（de） ISO 17799:2005 标准（zhǔn）是（shì）信息安全管理的（de）实务守则，为（wéi）如何推（tuī）行控制措（cuò）施提供指引。

 ISO/ IEC 27001:2005 的架（jià）构
ISO/ IEC 27001:2005 标准在 2005 年 10 月公布，同时取缔了多（duō）国采纳的英国标准（zhǔn）BS 7799-2:2002 ，但新旧标准的要求并无（wú）太（tài）大分（fèn）别。ISO / IEC 27001:2005 标（biāo）准以 Edward Deming 博士提出的“计划-实施-核查-采（cǎi）取行动”循环周（zhōu）期（qī）作为（wéi）制定蓝（lán）图，以实（shí）现持续（xù）改善的目标。

I. 计划（huá） 
      计划（huá）较（jiào）重要的部分是设定涵盖的范畴及（jí）区域（yù），它可以（yǐ）是：
      覆盖整个组织（zhī）并（bìng）涉及多（duō）个地点的办（bàn）事处及/或（huò）厂房 
      只（zhī）涉（shè）及一个办事（shì）处或厂房 
      只涉及一个多元（yuán）化服务供应商的（de）其中（zhōng）一（yī）个（gè）业务
      计划的主要工（gōng）作包括信息安全管理系（xì）统、风险评（píng）估、风险（xiǎn）管（guǎn）理、风险（xiǎn）处理措（cuò）施和适用（yòng）性报告。