信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能，需要建立这些控制，以确保满足该组织的特定安全目标。企业需要一个系统的信息安全管理体系，从预防控制的角度出发，保障企业的信息系统与业务之安全正常运作。ISO27001标准能帮助众多企业构建信息安全体系，实现信息安全的防护。

     建立信息安全管理体系首先要建立一个合理的信息安全管理框架，要从整体和全局的视角，从信息安全管理的所有层面进行整体服务建设，并从信息系统本身出发，通过识别控制过程、建立资产清单，进行风险分析、需求分析和选择安全控制等步骤，建立安全和技术服务体系并提出解决方案。

      信息安全管理框架的搭建须按适当的程序进行。组织首先应根据自身的业务性质、组织特征、资产状况和技术条件定义ISMS的总体方针和范围，然后在服务过程识别的基础上制定和实施过程控制计划，确定信息安全管理制度，在风险分析的基础上进行安全评估，同时确定信息安全风险管理制度，选择控制目标，准备适用性声明，达成控制目标。

ISO/IEC27001信息安全管理体系认证的好处：

• 识别风险并采取适当的措施以管理或减少它们；
• 灵活适应对所有或特定领域的业务控制；
• 使利益相关者和客户相信他们的数据是被保护的；
• 证明合规性并成为首选供应商。

誉杰咨询可提供的服务

• ISO20000内审核员培训
• ISO27001内审核员培训
• 业务连续性管理(ISO 22301)内审核员培训
• 基于ISO 22301的BCM建立与实施
• 理解业务连续性管理(BCM)的原理与良好实践(BCI)
• 信息及通信技术服务业务连续性管理(ISO 27031)标准实践