標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對(duì)一個(gè)***具有價(jià)值，因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至***小，使***回報(bào)和業(yè)務(wù)機(jī)會(huì)***大。

　　信息安全是通過(guò)實(shí)現(xiàn)一組合適控制獲得的。控制可以是策略、慣例、規(guī)程、***結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該***的特定安全目標(biāo)。

　　ISO/IEC17799-2000包含了127個(gè)安全控制措施來(lái)幫助***識(shí)別在運(yùn)做過(guò)程中對(duì)信息安全有影響的元素，***可以根據(jù)適用的******和章程加以選擇和使用，或者增加其他附加控制。國(guó)際標(biāo)準(zhǔn)化***（ISO）在2005年對(duì)ISO 17799進(jìn)行了修訂，修訂后的標(biāo)準(zhǔn)作為ISO 27000標(biāo)準(zhǔn)族的***部分——ISO/IEC 27001，新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施，新增17點(diǎn)控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關(guān)聯(lián)性邏輯性更好，更適合應(yīng)用；并修改了部分控制措施措辭。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié)：

　　1）安全策略

　　2）信息安全的***

　　3）***

　　4）人力資源安全

　　5）物理和環(huán)境安全

　　6）通信和操作管理

　　7）訪問(wèn)控制

　　8）系統(tǒng)系統(tǒng)采集、開(kāi)發(fā)和維護(hù)

　　9）信息安全事故管理

　　10）業(yè)務(wù)連續(xù)性管理

　　11）符合性

　　1、通過(guò)定義、評(píng)估和控制風(fēng)險(xiǎn)，確保經(jīng)營(yíng)的持續(xù)性和能力

　　2、減少由于合同違規(guī)行為以及直接觸犯******要求所造成的責(zé)任

　　3、通過(guò)遵守國(guó)際標(biāo)準(zhǔn)提高企業(yè)競(jìng)爭(zhēng)能力，提升企業(yè)形象

　　4、明確定義所有***的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失

　　5、建立安全工具使用方針

　　6、謹(jǐn)防技術(shù)訣竅的丟失

　　7、在***內(nèi)部增強(qiáng)安全意識(shí)

　　8、可作為公共會(huì)計(jì)審計(jì)的證據(jù)