安全與預防
ISO27001信息安全管理系統為構建全面ISMS、僅基于風險評估實施對組織有意義的安全控制提供了路線圖。路線圖包括確定可能影響安全的內外問題（包括考慮第三方利益），以確定范圍和上下文，然后創建匹配的策略和過程。

具體而言，ISO27001信息安全管理系統第四條要求您記錄影響ISMS的內外因素，以及任何與ISMS相關的相關方的需求和期望（包括要求），并考慮這些因素確定ISMS的范圍（即邊界和適用性）。最后，第四章要求正式記錄ISMS并不斷改進。
ISO27001信息安全管理體系第五條涉及領導和責任——確保組織范圍內的信息安全承諾，在整個組織中傳達文件信息安全政策，在信息安全中發揮明確作用和責任。

ISO27001信息安全管理系統條款6是關于計劃的，包括創建用于識別、評估和處理信息安全風險和改進機會的文檔程序，識別信息安全目標并制定實現這些目標的詳細計劃。風險處理計劃和ISMS目標應為SMART——具體、可衡量、可實現、相關和時間限制。