ISO27001信息安全管理體系框架的搭建必須按照適當?shù)某绦騺磉M行(如下圖所示)。首先，各個組織應(yīng)該根據(jù)自身的狀況來搭建適合自身業(yè)務(wù)發(fā)展和信息安全需求的ISO27001信息安全管理體系框架，并在正常的業(yè)務(wù)開展過程中具體實施構(gòu)架的ISO27001信息安全管理體系。同時在信息安全管理體系的基礎(chǔ)上，建立各種與信息安全管理框架相一致的相關(guān)文檔、文件，并 對其進行嚴格的管理。對在具體實施ISO28001信息安全管理體系過程中出現(xiàn)的各種信息安全事件和安全狀況進行嚴格的記錄，并建立嚴格的反饋流程和制度。

　　(1)信息安全策略

　　組 織應(yīng)制定信息安全策略(Information Security Policy)以對組織的信息安全提供管理方向與支持。組織不僅要有一個總體的安全策略，而且，在總體策略的框架內(nèi)，根據(jù)風險評估的結(jié)果，制定更加具體的 安全方針，明確規(guī)定具體的控制規(guī)則，如“清理桌面和清楚屏幕策略”、“訪問控制策略”等。

　　(2)范圍

　　組織要根據(jù)組織的特性、地理位置、資產(chǎn)和技術(shù)對信息安全管理體系范圍(scope)進行界定。組織信息安全管理體系范圍包括以下項目：

　　需保護的信息系統(tǒng)、資產(chǎn)、技術(shù)。

　　實物場所(地理位置、部門)。

　　(3)風險評估

　　組 織需要選擇一個適合其安全要求的風險評估和管理方案，然后進行合乎規(guī)范的評估，識別目前面臨的風險及風險等級;風險評估的對象是組織的信息資產(chǎn)，評估考慮 的因素包括資產(chǎn)所受的威脅、薄弱點及威脅發(fā)生后對組織的影響。無論采用何種風險評估工具方法，其最終評估結(jié)果應(yīng)是一致的。

　　(4)風險管理

　　組織應(yīng)根據(jù)信息安全策略和所要求的安全程度，識別所要管理的風險內(nèi)容。控制風險包括識別所需的安全措施，通過降低、避免、轉(zhuǎn)移將風險降至可接受的水平。風險隨著過程的更改、組織的變化、技術(shù)的發(fā)展及新出現(xiàn)的潛在威脅而變化。

　　(5)控制目標與控制方式的選擇

　　風險評估之后，組織應(yīng)從已有信息安全技術(shù)中選擇適當?shù)目刂品椒ǎ~外的控制(組織新增加的和法律法規(guī)所要求的)，降低已識別的風險。

　　(6)適用性聲明

　　信息安全適用性聲明記錄了組織內(nèi)相關(guān)的風險管制目標和針對每種風險所采取的控制措施。它的準備，一方面是為了向組織內(nèi)的員工聲明對信息安全面對風險的態(tài)度;另一方面也是為了向外界表明組織的態(tài)度和作為。