山东信息技术服务质量管理体系咨询单位

任何一个ISMS体系的建立和开发都应当满足组织特的需求。每个组织不仅都有自己特的业务模式、运营目标、形象特点和内部文化，他们对待风险的态度倾向也大相径庭。换句话说，同一个东西，一个机构组织认为是提防的威胁，在另一个组织看来可能是一个抓住的机遇。同样地，各个机构组织对于既有风险防护的投入也参差不齐。基于以上或者其他原因，每个运行ISMS的组织，其内部成员对风险评估有一个共识，这个风险评估的方法论、结果发现和推荐解决方式都得到董事会的。

ISO27001标准指导一个企业如何着手开展ISMS项目，并且关注整个项目进程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程，即计划（Plan）－执行（Do）－检查（Check）－提升（Act）过程，意在说明业务流程应当是不断改进的，该方法使得职能部门经理可以识别出那些需要修正的环节并进行修正。这个流程以及流程的改进，都遵循这样一个过程：先计划，再执行，而后对其运行结果进行评估，紧接着按照计划的具体要求对该评估进行复查，而后寻找到任何与计划不符的结果偏差（即潜在改进的可能性），后向管理层提出如何运行的终报告。

然而过去的几年中，IT领域和通信行业发生了非常大的变革，出现了全面的业务和技术的融合。移动互联网蓬勃兴起、智能手机的广泛采用、云计算技术的风起云涌，带来了全新的网络威胁、数据泄漏和欺诈的风险。面对这样的变化和趋势，使得信息安全管理体系标准的更新也变得日益重要。