ISO27001信息安全管理本質(zhì)就是人與事的關(guān)系，是人根據(jù)制度和流程，采用適宜的方法、工具和手段去降低風(fēng)險。風(fēng)險是安全管理的對象，人員、流程、手段是安全管理基本要素，其中人員是根本，流程是核心，手段是支撐。

　　培養(yǎng)和建立一支高效干練的人員隊伍參與ISO27001信息安全管理的人員應(yīng)組成一個強有力的管理組織，分工明確、溝通順暢、協(xié)調(diào)有力，運作高效。通常安全管理組織應(yīng)是扁平化的，以便發(fā)現(xiàn)問題，及時響應(yīng)，能夠根據(jù)外部威脅的形勢，快速進行適應(yīng)性變化。參與安全管理的人員的知識、技能應(yīng)適用其崗位要求，并不斷的學(xué)習(xí)成長，適用信息安全快速變化的時代要求。

　　建立科學(xué)、合理、易于落地的管理體系ISO27001信息安全管理體系構(gòu)建應(yīng)采用科學(xué)的方法，即按照ISO27001的要求，采用過程方法，通過過程的控制來為結(jié)果提供一種可持續(xù)的保證。信息安全管理體系建設(shè)不是編制幾個制度，它的目的是推動公司行動起來，發(fā)生變化，不斷提升其安全管控能力。要使安全管理體系有效發(fā)揮作用、起到實效，還必須：

　　全面化：要針對評估中發(fā)現(xiàn)的問題，與最佳實踐相比較所存在的差距，應(yīng)覆蓋人員和組織、制度和流程、技術(shù)手段等所有要素，覆蓋信息系統(tǒng)的整個生命周期，覆蓋管理的整個過程。

　　系統(tǒng)化：管理體系應(yīng)符合PDCA(規(guī)劃、實施、檢查、改進)思想，必須要有測量、反饋機制，能夠進行內(nèi)部監(jiān)督、審計，形成正向的內(nèi)部激勵機制，不斷進行改進和完善。

　　流程化：制度是有益的、必須的，但還必須貫穿部門間藩籬的、目標可控、易于落地的流程。流程使人員不需要關(guān)注過多的制度，只需按照流程工作即可，減輕了人員負擔。

　　規(guī)范化：對于具體工作，必須給出明確的工作指導(dǎo)和表單，規(guī)范人員的操作行為。

　　融合化：安全管理不是一個獨立的體系，應(yīng)與現(xiàn)運維管理、內(nèi)部控制等現(xiàn)有制度和流程相融合，借鑒Cobit、ITIL、CMMI、PMP/PRINCE2、隱私數(shù)據(jù)保護等管理思想或方法的長處。

　　當然，每個公司都具有一定的個體特性，如文化、人員、組織和信息系統(tǒng)環(huán)境等等。在構(gòu)建時，應(yīng)采用中醫(yī)的方法，嚴格診斷，對癥下藥，建立起符合自己特點管理體系。

　　有效利用各種技術(shù)手段這主要體現(xiàn)在兩個方面，一是采用技術(shù)手段，推動安全管理的電子化、自動化，提升管理效率;二是采用技術(shù)手段，保障管理流程、管理目標的有效強制落實和實現(xiàn)。