ISO/IEC 27001:2005根植于PDCA管理体系改善模式，指导组织系统地从11个领域（见下图）133项信息安全控制措施中选择适合组织自身信息安全要求的控制措施，以帮助组织解决信息安全问题，实现信息安全目标。

为了保障组织信息安全，在计划(Plan)阶段，组织需要进行风险评估以了解组织的信息安全需求，并根据需求设计解决方案；在实施(Do)阶段，组织将解决方案付诸实现；在检查(Check)阶段，需要持续监视和审查解决方案的有效性；在措施(Act)阶段，对所发现的问题并结合组织内、外部环境的变化予以解决，以持续提升组织的信息安全。

通过螺旋式的提升过程，组织就能将不断变化的的信息安全需求和期望转化为可管理的信息安全实现。

信息安全管理体系PDCA循环

11个信息安全领域

针对贵公司此次推行ISO27001管理体系，本公司在协助建立管理体系时，将根据信息安全管理的原则结合贵公司的实际情况，在符合标准和认证机构风格的前提下，建立一套行之有效的信息安全管理体系。