信息安全（quán）管理系统是（shì）运营风险（xiǎn）整体（tǐ）管理系（xì）统的其中一部分，目（mù）的是建（jiàn）立、实施、推行、检讨、维（wéi）持及改善（shàn）信息安全。

机构（gòu）在信（xìn）息（xī）的机密性、完整（zhěng）性和可用（yòng）性三方面的目标各是什么呢？什（shí）么程度的风险（xiǎn）是可接受（shòu）的（de）？是否（fǒu）存在任（rèn）何（hé）限制，如法律、法规或机构内部程序？信息安（ān）全政策应该是一份（fèn）由行政总监签署（shǔ）认（rèn）可（kě）的文件。控制措施（shī）应采取由上至下（xià）的推行方式。

 风（fēng）险评估 根（gēn）据需要（yào）保护的（de）信（xìn）息（xī）和可接（jiē）受的风（fēng）险程度（dù）来识别真正的风险，并就这些风险出现的可能性与其（qí）影响（xiǎng）的严重性（xìng）作（zuò）出（chū）评估，从而辨（biàn）别出机构需要管理的风（fēng）险，即下图红色部分内的风险（xiǎn）。

 风（fēng）险管理 / 风险处理 
完成（chéng）风险（xiǎn）评估后，便要决定如何处理这些风险。

适用性报（bào）告（gào） (Statement of Applicability) 
识别出所有的保（bǎo）安（ān）措施，指出哪些对机构而言是适用或不（bú）适（shì）用（yòng）的（de），并说明原因。须针对（duì）风险评估的结果（guǒ）来（lái）选择控制措施。

II. 实施
选（xuǎn）定了控制措施后，便需落实推行（háng），同时（shí）也需制定程序以（yǐ）确保能（néng）够迅（xùn）速（sù）察觉到（dào）事故的发生并（bìng）作出回应（yīng），并确保所有员工都了解信息安全的重要性，且确保其接（jiē）受了适（shì）当的培训，及有（yǒu）能力执行他们负（fù）责的保安任务。此（cǐ）外（wài），还要妥善管（guǎn）理所需（xū）的资源。

III. 核（hé）查
核查（chá）的（de）目的（de）是确保控制（zhì）措施都已推行（háng），并能达到既定的目标。尽管（guǎn）有多种可行的核查方法，但只（zhī）有内部审（shěn）核与管理（lǐ）检（jiǎn）讨是强制性（xìng）的（de）要求。

IV. 采取行（háng）动
      之后便需对核查（chá）结（jié）果采取适当的行（háng）动，相关（guān）的（de）行动（dòng）可以是：
      修正 
      预防 
      改善

总结
ISO/IEC 27001:2005 标准（zhǔn）为所（suǒ）有行业的机构都提供了一（yī）套业务工具，协助其避免信息保安（ān）的失（shī）误，从（cóng）而降低了相应的风险。正式推行ISO/IEC 27001:2005 并取得有（yǒu）关认证的机构将（jiāng）受益匪浅，以下列举其中数项：
由于按照国际（jì）标准实施适（shì）当的控制措施，机构（gòu）便能自行将信息（xī）保安的失误率降至较低 
以系统（tǒng）化（huà）的（de）方法处理符合（hé）法律的问题，从而减低所（suǒ）需（xū）承担的法律责任风险（xiǎn） 
以系统化的（de）方（fāng）法计划及管理运营的持续性 

增加客户、合（hé）作伙伴和（hé）相关人士对机构的信心 
提（tí）升营运收入，并为（wéi）机构（gòu）带来更多商机