人力資源安全――明確工作人員在招聘、雇傭、解聘過程中所涉及的信息保密等安全問題，加強(qiáng)對工作人員信息安全培訓(xùn)與教育，提高工作人員安全防范意識，減少人為錯誤、偷竊、欺詐或?yàn)E用信息及處理設(shè)施的風(fēng)險(xiǎn)。

通信與操作管理――覆蓋應(yīng)用系統(tǒng)日常運(yùn)營和維護(hù)程序、服務(wù)水平管理、網(wǎng)絡(luò)管理、存儲介質(zhì)管理、防惡意軟件攻擊保護(hù)、系統(tǒng)和數(shù)據(jù)備份與恢復(fù)管理、信息交換管理等，確保信息處理設(shè)施正確和安全運(yùn)行。

訪問控制――定義用戶存取控制策略，管理用戶存取過程，包括對網(wǎng)絡(luò)存取控制、操作系統(tǒng)、應(yīng)用系統(tǒng)及移動設(shè)備和遠(yuǎn)程工作設(shè)備進(jìn)行存取控制。信息安全事件管理――確保安全事件發(fā)生后有正確的處理流程和報(bào)告方式。

符合性――識別現(xiàn)有適用的法律法規(guī)，保護(hù)個人信息的隱私;使用合法的、正版的系統(tǒng)軟件與應(yīng)用軟件;加強(qiáng)計(jì)算機(jī)安全審計(jì)，保障技術(shù)和安全策略的合規(guī)性的合規(guī)性。避免違反任何刑法和民法、法律法規(guī)或合同義務(wù)以及任何安全要求。

ISO27001信息安全管理體系對企業(yè)的重要性：增加信任度、提高競爭力。通過業(yè)界普遍認(rèn)同的國際標(biāo)準(zhǔn)認(rèn)證；達(dá)到相關(guān)利益方均滿意的IT服務(wù)管理目標(biāo)；提高IT服務(wù)的可用性、可靠性和安全性，為業(yè)務(wù)用戶提供的服務(wù)；持續(xù)優(yōu)化服務(wù)流程，提升服務(wù)水平，提高業(yè)務(wù)滿意度；提高項(xiàng)目的可提供性并確保如期交付。從總體上提高組織/企業(yè)IT投資的報(bào)酬率，提升組織/企業(yè)的綜合競爭力。

ISO27001信息安全管理體系對企業(yè)的重要性：促進(jìn)公司IT業(yè)務(wù)健康發(fā)展。從 1995年開始，到迄今為止，此標(biāo)準(zhǔn)在全球IT類型企業(yè)中被廣泛推廣接受，涵蓋幾乎所有全球信息化領(lǐng)域的大中型企業(yè)，從根本上提高組織/企業(yè)的綜合競爭力。