根據ISO/IEC 27001:2005信息安全體(tǐ)系基本要(yào)求，結合組織現(xiàn)有(yǒu)的♣(de)安全體(tǐ)系管理(lǐ)框架，我們對(duì)組織采用(yòng)以過程為(wèi)基礎的(de)信息安全管≤理(lǐ)體(tǐ)系模式，從(cóng)以下(xià)方面維護體(tǐ)系的(de)正常運行(xíng)：

1）明(míng)确客戶單位的(de)信息安全需求、理(lǐ)解建立信息安全方針和(hé)目标的(de)需求；

2）在管理(lǐ)組織的(de)整體(tǐ)業(yè)務風(fēng)險中實施并運作(zuò)控制(zhì)；

3）監控并評審信息安全管理(lǐ)的(de)績效及有(yǒu)效性；

4）在客觀測量基礎上(shàng)持續改進。

信息安全管理(lǐ)體(tǐ)系模型如(rú)下(xià)圖：

ISO27004 ISMM體(tǐ)系建設。安全是(shì)一(yī)個(gè)持續的(de) 過程，因此我們應該對(duì)它進行(xíng)管理(lǐ)。對(duì)于任何組織來(lái)說(shuō)，采用(yòng)信息安​全管理(lǐ)系統（ISMS）保證信息的(de)安全應當是(shì)組織的(de)一(yī)個(gè)重要‍(yào)決策。ISMM的(de)目的(de)則是(shì)通(tōng)過一(yī)種方法，來(lái)定義ISMS的(de>)執行(xíng)目标、有(yǒu)效性和(hé)效果标準，以促進對(duì)信息安全管理(lǐ)系統的(de)管理(lǐ)，并追蹤和(hé)測量随時(shí)間(jiān)變化(huà)的(₽de)系統進展情況，同時(shí)提供一(yī)種定義工(gōng)具，用(yòng)來(lái)定義與其他(tā)公司、同一₩(yī)組織的(de)其他(tā)部門(mén)或同一(yī)工(gōng)業(yè)标準和(hé)信息技(jì)術(shù¶)安全的(de)最佳實例之間(jiān)相(xiàng)互比較的(de)基準。