ISO27001標準要求組織建立和維護一個(gè)文件化的信息安全管理系統，其中應闡述需要保護的資產(chǎn)、組織風(fēng)險管理的渠道、控制目標和方法以及所需的保證程度。
在建立和完善信息安全管理體系時(shí)，不同的組織可以根據自己的特點(diǎn)和具體情況采取不同的步驟和方法。但一般來(lái)說(shuō)，建立信息安全管理體系一般要經(jīng)過(guò)以下四個(gè)基本步驟:信息安全管理體系的規劃和準備；信息安全管理體系文件的編制；信息安全管理體系的運行；信息安全管理體系的審查和評估。

認證過(guò)程的詳細步驟如下:
1現場(chǎng)診斷；
二是確定信息安全管理體系的方針、目標；
3明確信息安全管理體系的范圍，根據組織特點(diǎn)、地理位置、資產(chǎn)和技術(shù)確定界限；
四是對管理層進(jìn)行信息安全管理系統基礎知識培訓；
五是信息安全系統內部審核員培訓；
六是建立信息安全管理機構；
實(shí)施信息資產(chǎn)評估和分類(lèi)，識別資產(chǎn)的威脅、薄弱環(huán)節和對組織的影響，確定風(fēng)險程度；
8根據組織的信息安全政策和所需的保障程度，通過(guò)風(fēng)險評估確定應實(shí)施管理的風(fēng)險，確定風(fēng)險控制手段；
9制定信息安全管理手冊和各種必要的控制程序；

制定適用性聲明；
11制定商業(yè)可持續發(fā)展計劃；
12審核文件，發(fā)布實(shí)施；
13.系統運行，有效實(shí)施所選控制目標和控制方法；
14內部審核；
15外部第一階段認證審核；
16外部第二階段認證審核；
17頒發(fā)證書(shū)；
系統持續運行/年度監督審核；
19復審(證書(shū)三年有效)。

對于應該采用哪些控制方法，需要精心規劃，注意控制細節。信息安全管理需要組織中所有員工的參與。例如，為了防止組織外的第三方人員非法進(jìn)入組織的辦公區域，獲得組織的技術(shù)秘密，除了物理控制外，還需要組織所有員工參與，加強控制。此外，還需要供應商、客戶(hù)或股東的參與，以及組織以外的專(zhuān)家建議。信息系統和信息網(wǎng)絡(luò )是信息、信息處理過(guò)程和產(chǎn)。信息的保密性、完整性和可用性對保持競爭優(yōu)勢、資金流動(dòng)、效益、法律符合性和商業(yè)形象至關(guān)重要。

目前，越來(lái)越多的組織及其信息系統和網(wǎng)絡(luò )面臨著(zhù)計算機欺詐、間諜、故意破壞、火災、洪水等廣泛的安全威脅，如計算機病毒、計算機入侵、DoS攻擊等。組織對信息系統和信息服務(wù)的依賴(lài)意味著(zhù)更容易受到安全威脅的破壞。公共和私人網(wǎng)絡(luò )的互聯(lián)和信息資源的共享增加了訪(fǎng)問(wèn)控制的難度。

很多信息系統本身并不是按照安全系統的要求來(lái)設計的，所以?xún)H僅依靠技術(shù)手段來(lái)實(shí)現信息安全有其局限性，因此信息安全的實(shí)現必須得到管理和程序控制的適當支持。確定應該采取哪些控制方法需要精心規劃和注意細節。信息安全管理至少需要組織中所有員工的參與，還需要供應商、客戶(hù)或股東的參與以及信息安全專(zhuān)家的建議。