象其他重要业务资产一样，信息也是一种资产。随着IT系统应用的深入,它对一个组织具有越来越大的价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到相关损害的风险减至最小，从而帮助企业达到回报和业务机会最大化。
    信息安全即组织通过建立一系列控制手段,从而达到该组织的特定安全目标。控制可分为策略、规程、组织, 软件应用。

ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施. 

以PDCA为模式, 应用以上各项目标及措施, 理论上可以建立起一个较完整的ISMS, 但是,是否就一定有效呢? 会不会全面但流于表面呢? 现实的问题是这种百科全书式的标准还需要结合具体组织的实际情况, 有针对性地执行创建. 如果缺乏对组织生存哲学的了解,没有IT整体战略的规划, 仅仅依靠标准去闭门造车, 难免最终成为标准无用的案例. 有佛无书不可成经,但有经未必一定成佛.