1概述
ISO/IEC27001信息安全管理系統由引言、正文和附錄三部分組成。
ISO/IEC27001信息安全管理系統的引言部分包括0.1總則、0.2過程方法、0.3與其他管理系統的兼容性三個部分。
0.1總則描述了ISO/IEC27001信息安全管理系統的用途和應用對象。為信息安全管理體系的建立、實施、運行、監控、評估、維護和完善提供了模型。

這個模型是高度概括的，不面對具體的行業。因此，標準指出，根據組織的需要實施ISMS是本標準所期望的。簡單的情況下可以使用簡單的ISMS，這意味著應用組織可以減少使用。第四章至第八章的內容基本上可以認為是建立PDCA模型的過程。

0.2過程方法描述了過程、過程方法和標準中使用的PDCA模型。
標準指出:本標準采用一種過程方法建立、實施、運行、監督、評估、維護和改進一個組織的ISMS。這句話說明了本標準采用的過程方法。

在當前流行的標準中，ISO/IEC27001信息安全管理系統中應用的過程方法有其特點：
(1)了解組織的信息安全要求和建立信息安全方針和目標的需要。
②從組織整體業務風險的角度，實施和運行控制措施，管理組織的信息安全風險。
③對ISMS的SMS的實施和有效性。
④基于客觀測量的持續改進，有許多現行模型能夠滿足工程過程方法的要求，而本標準首先要滿足以上四點。

理解這四點時，要注意:
(1)從整個組織出發，不能為了安全而安全?；诖?，組織對安全的需求不同，絕對安全或過度安全是不必要的，甚至是浪費。
②信息安全風險的管理必須考慮整體業務風險，因為信息系統不是組織的全部。如果不考慮整體業務風險，就不會從組織的角度去理解信息安全，脫離整體業務考慮的控制，也不可能真正解決組織信息安全的問題。
③注重監視與評審、監視與評審持續改進的基礎。如果缺乏有效的實施測量，改進將成為無針對性的。