在日趋网络化的里，「信息」对建立竞争优起着举足轻重的作用。但它同时也是柄双刃剑，当信息被意外或刻意的传给恶意的接收者时，同样的信息也可能导致一所倒闭。在当今的信息时代，科技无疑为我们解决了不少问题。
标准组织(ISO)应此类需求，制定了ISO27001:2005标准，为如何建立、推行、维持及改信息管理系统提供帮助。信息管理系统(ISMS)是高层管理人员用以监察及控制信息、减商业风险和保安系统持续符合企业、客户及法律要求的一个体系。ISO/IEC 27001:2005 能协助保护信息，同时也为制定统一的保安标准搭建了一个平台，助于提管理的实务表现和增间商业往来的信心与信。
什么可采用 ISO/IEC 27001:2005 标准？
使用或外部电脑系统、有资料依靠信息系统进行商业活动地，均可采用 ISO/IEC 27001:2005标准。简单的说，也就是那些需要处理信息、并认识到信息保护重要性的。
ISO/IEC 27001 的控制目标及措施
ISO/IEC 27001制定的宗旨是信息完整性及可用性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施，推行ISO/IEC 27001标准的可在其中选择适用于其业务的控制措施，同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息管理的实务守则，为如何推行控制措施提供指引。
ISO/ IEC 27001:2005 的架构
ISO/ IEC 27001:2005 标准在 2005 年 10 月公布，同时取缔了多国采纳的英国标准BS 7799-2:2002 ，但新旧标准的要求并无太大分别。ISO / IEC 27001:2005 标准以 Edward Deming 博士提出的“计划-实施-核查-采取行动”周期作为制定蓝图，以实现持续改的目标。
I. 计划
计划重要的部分是设定涵盖的范畴及区域，它可以是：
覆盖整个组织并涉及多个地点的办事处厂房
只涉及一个办事处或厂房
只涉及一个多元化服务供应商的其中一个业务
计划的主要工作包括信息管理系统、风险评估、风险管理、风险处理措施和适用性报告。
信息管理系统是运营风险整体管理系统的其中一部分，目的是建立、实施、推行、检讨、维持及改信息。
在信息的完整性和可用性三方面的目标各是什么呢？什么程度的风险是可接受的？是否存在限制，如法律、法规或程序？信息政策应该是一份由行政总监签署的文件。控制措施应采取由上至下的推行方式。
风险评估 根据需要保护的信息和可接受的风险程度来识别的风险，并就这些风险出现的可能性与其影响的严重性作出评估，从而辨别出需要管理的风险，即下图红色部分内的风险。
风险管理 / 风险处理
完成风险评估后，便要决定如何处理这些风险。
适用性报告 (Statement of Applicability)
识别出所有的保安措施，指出哪些对而言是适用或不适用的，并说明原因。必须针对风险评估的结果来选择控制措施。
II. 实施
选定了控制措施后，便需落实推行，同时也需制定程序以能够察觉到事故的发生并作出回应，并员工都了解信息的重要性，且其接受了适当的培训，及有能力执行他们负责的保安任务。此外，还要妥善管理所需的资源。
III. 核查
核查的目的是控制措施都已推行，并能达到既定的目标。尽管有多种可行的核查方法，但有审核与管理检讨是强制性的要求。
IV. 采取行动
便需对核查结果采取适当的行动，相关的行动可以是：
修正
改
总结
ISO/IEC 27001:2005 标准为行业的都提供了一套业务工具，协助其避信息保安的失误，从而降相应的风险。正式推行ISO/IEC 27001:2005 并取得有关认 证的将受益匪浅，以下列举其中数项：
由于按照标准实施适当的控制措施，便能自行将信息保安的失误率降至
以系统化的方法处理符合法律的问题，从而减所需承担的法律责任风险
以系统化的方法计划及管理运营的持续性
增加客户、合作伙伴和相关人士对的信心
提营运收入，并为带来多商机