信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。根據國際標準化組織的定義，信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何國家、政府、部門、行業都必須十分重視的問題，是一個不容忽視的國家安全戰略

一：項目前期準備階段
目的：充分體現領導作用和全員參與的原則，確保各個層面意識到信息安全管理體系的必要性和管理層的決心。
內容：啟動該項目所必需的組織準備包括：① 理解管理層意圖，滲透管理思路；② 將實施ISO27001項目的決定、目的、意義、要求在組織內傳達，這也是體現內部溝通，提高全體員工意識的必要手段；③ 組織建設，包括任命管理者代表、成立貫標組織機構、各級信息安全管理人員，明確其職責。
二：現場調研診斷
目的：了解組織的現狀，尋找與ISO27001標準的差距
內容：實施調研診斷包括：① 根據貴公司的主要業務流程所產生的信息流及其所依賴的計算環境（包括硬件、軟件、數據、人力、服務等）進行安全要求的確定；② 對企業現行業務流程進行全面的了解，按照標準評估企業的信息安全管理體系；③ 識別各業務流程所采取的管理流程和管理職責；④ 對照標準要求，尋找改進的機會；⑤ 根據ISO27001標準的風險評估方法論，國家標準，制定科學、有效、適用的風險評估方法。

三：人員培訓
目的：提升各級領導和全員的信息安全意識，使內審員具備相應能力。
內容：動員會、ISO27001標準培訓、信息安全管理體系文件編寫培訓、培訓是落實要求的重要手段包括：動員會：提高全員信息安全意識，包括：什么是信息安全？什么是ISO27001信息安全管理體系？為什么要實施ISO27001？ISO27001信息安全管理體系對企業有什么意義？整個工作流程、進度是怎么安排的？都需要哪些人員培訓此項工作？ISO27001標準培訓：主要講解ISO27001信息安全管理體系標準的條款理解及運用。管理層培訓擴大到中層領導，最后與高層領導在一起培訓，高層領導的參與就是一種榜樣的力量，有助于全體員工信息安全意識的提高；
四：整合體系文件架設計
目的：策劃覆蓋各個業務流程的系統的文件化程序。
內容：根據現場診斷的結果，梳理所有管理活動流程，根據ISO27001標準要求形成信息安全管理體系文件清單包括：① 根據所識別的業務流程，形成管理活動流程圖；優化或再造業務流程，保證管理活動的系統和順暢；② 根據流程圖及流程的復雜程度，策劃符合標準要求和實際業務要求的信息安全管理體系文件清單；