在（zài）日趋网络化的世界里，「信（xìn）息」对（duì）建立竞争优势起着举足轻重的作（zuò）用。但它同时也是柄（bǐng）双刃剑（jiàn），当信息被意外或刻意的传给恶意的接收者时，同样的信息（xī）也可能导致一（yī）所机构倒闭。在当今的信息（xī）时代（dài），科技无（wú）疑（yí）为我（wǒ）们解决了（le）不少问题。 

国际标准组织(ISO)应此（cǐ）类需（xū）求，制定了ISO27001:2005标准，为如何建立、推行、维持及（jí）改善信息安全管理系统提供帮助。信息安全管理系（xì）统(ISMS)是高层管理人员用以监察及控制信息安全、减少商（shāng）业风险和确保保安系（xì）统（tǒng）持续符（fú）合企业、客户（hù）及（jí）法律要（yào）求的一个体系（xì）。ISO/IEC 27001:2005 能（néng）协（xié）助机构保护zhuanli信息，同时也为制定统一的（de）机构保（bǎo）安标准（zhǔn）搭建（jiàn）了一个平台，更有（yǒu）助于（yú）提升（shēng）安全管理的实务表现和增强机构间商业往来（lái）的信心与信任。

什么机（jī）构可采用 ISO/IEC 27001:2005 标准？
任何（hé）使用内部（bù）或（huò）外部（bù）电（diàn）脑（nǎo）系统、拥有（yǒu）机密资料（liào）及/或依靠信息系统进行商业活动地机构（gòu），均可采（cǎi）用（yòng） ISO/IEC 27001:2005标准。简单的说，也就（jiù）是那些需要处（chù）理信息、并（bìng）认识到信息保护重要（yào）性的机构。

 ISO/IEC 27001 的控制目标（biāo）及（jí）措施（shī）
ISO/IEC 27001制（zhì）定的（de）宗旨是确保机构信息（xī）的（de）机密性、完整性及（jí）可用（yòng）性，为（wéi）达成上述宗旨，该标准共（gòng）提（tí）出了（le）39个控制目标及134项（xiàng）控（kòng）制措施，推行ISO/IEC 27001标准（zhǔn）的机构可（kě）在其（qí）中选择适用于其业（yè）务（wù）的（de）控制（zhì）措施，同时也可增加其他的控（kòng）制措施（shī）。而（ér）与ISO/IEC 27001相（xiàng）辅的 ISO 17799:2005 标准是信息安全管理的实务守则，为如何推行（háng）控（kòng）制（zhì）措施提供指（zhǐ）引。

 ISO/ IEC 27001:2005 的（de）架构
ISO/ IEC 27001:2005 标准在 2005 年 10 月公布，同时（shí）取缔（dì）了多国（guó）采纳的（de）英国标（biāo）准BS 7799-2:2002 ，但新（xīn）旧标准的要求并无太大分别（bié）。ISO / IEC 27001:2005 标准（zhǔn）以 Edward Deming 博士提出的“计划-实施（shī）-核查-采（cǎi）取行动”循环周期作（zuò）为制定蓝（lán）图，以（yǐ）实现持续（xù）改善的目标（biāo）。

I. 计（jì）划 
      计划较（jiào）重（chóng）要的部分是设（shè）定（dìng）涵盖的（de）范畴及区域（yù），它可以是：
      覆盖整个组织（zhī）并涉及多（duō）个（gè）地点的办事处及/或厂房 
      只涉及一个办事（shì）处或厂房（fáng） 
      只涉及一个多元化服务供（gòng）应商的其中一个（gè）业务
      计划的主（zhǔ）要工作包括信息安全管理系统、风险评估、风险（xiǎn）管理、风险处理措施和适用（yòng）性报告。