任何一個(gè)ISMS體系的建立和開發(fā)都應(yīng)當(dāng)滿足組織特的需求。每個(gè)組織不僅都有自己特的業(yè)務(wù)模式、運(yùn)營目標(biāo)、形象特點(diǎn)和內(nèi)部文化，他們對待風(fēng)險(xiǎn)的態(tài)度傾向也大相徑庭。換句話說，同一個(gè)東西，一個(gè)機(jī)構(gòu)組織認(rèn)為是提防的威脅，在另一個(gè)組織看來可能是一個(gè)抓住的機(jī)遇。同樣地，各個(gè)機(jī)構(gòu)組織對于既有風(fēng)險(xiǎn)防護(hù)的投入也參差不齊?；谝陨匣蛘咂渌?，每個(gè)運(yùn)行ISMS的組織，其內(nèi)部成員對風(fēng)險(xiǎn)評估有一個(gè)共識，這個(gè)風(fēng)險(xiǎn)評估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都得到董事會(huì)的。

ISMS項(xiàng)目很復(fù)雜，可能持續(xù)若干個(gè)月甚至若干年，涉及整個(gè)機(jī)構(gòu)組織以及從管理層到收發(fā)部門的每個(gè)成員。ISO27001認(rèn)證誕生時(shí)間短，成功的案例比較少。從務(wù)實(shí)的角度考慮，這表明在項(xiàng)目計(jì)劃過程中，盡早對這些僅有的指導(dǎo)性的書籍和案例進(jìn)行分析和研究。

ISO27001標(biāo)準(zhǔn)指導(dǎo)一個(gè)企業(yè)如何著手開展ISMS項(xiàng)目，并且關(guān)注整個(gè)項(xiàng)目進(jìn)程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程，即計(jì)劃（Plan）－執(zhí)行（Do）－檢查（Check）－提升（Act）過程，意在說明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進(jìn)的，該方法使得職能部門經(jīng)理可以識別出那些需要修正的環(huán)節(jié)并進(jìn)行修正。這個(gè)流程以及流程的改進(jìn)，都遵循這樣一個(gè)過程：先計(jì)劃，再執(zhí)行，而后對其運(yùn)行結(jié)果進(jìn)行評估，緊接著按照計(jì)劃的具體要求對該評估進(jìn)行復(fù)查，而后尋找到任何與計(jì)劃不符的結(jié)果偏差（即潛在改進(jìn)的可能性），后向管理層提出如何運(yùn)行的終報(bào)告。

安言咨詢技術(shù)總監(jiān)張威表示，此次改版與舊版相比主要有三大差異：
一、管理體系更容易整合；
二、融入企業(yè)面臨的新挑戰(zhàn)；
三、更多指引延伸參考。

自2005年國際標(biāo)準(zhǔn)化組織(簡稱:ISO)將BS7799轉(zhuǎn)化為ISO27001：2005發(fā)布以來，此標(biāo)準(zhǔn)在國際上獲得了的認(rèn)可，相當(dāng)數(shù)量的組織采納并進(jìn)行了信息安全管理體系的認(rèn)證,至2011年底，國際上頒發(fā)的ISO27001認(rèn)證證書總數(shù)約為15625張（其中，BSI的市場占有率達(dá)約為45.65%）。在我國，自從2008年將ISO27001:2005轉(zhuǎn)化為國家標(biāo)準(zhǔn)GB/T22080:2008以來，信息安全管理體系認(rèn)證在國內(nèi)進(jìn)一步獲得了全面推廣，至2011年底，國內(nèi)頒發(fā)認(rèn)證證書數(shù)量是1107張。越來越多的行業(yè)和組織認(rèn)識到信息安全的重要性，并把它作為基礎(chǔ)管理工作之一開展起來。

信息安全風(fēng)險(xiǎn)評估：組織應(yīng)確定如何確定其信息安全風(fēng)險(xiǎn)評估和處置過程的可靠性。信息安全風(fēng)險(xiǎn)處理：適用時(shí)，組織應(yīng)調(diào)整信息安全風(fēng)險(xiǎn)評估和處置過程，以及采用的方法，以改善過程的可靠性。保留附錄A控制措施與控制目標(biāo)新版ISO27001依然會(huì)保留SOA和附錄A控制目標(biāo)、控制措施的架構(gòu)；因此，毫無疑問，ISO27001的新版修訂一定會(huì)與ISO27002的修訂同步進(jìn)行。