ISO/IEC27001:2005标準包括11大(dà)控制領域、39個控制目标和(hé)133項控制措施，爲企業提供全方位的信息安全保障。

1、信息安全方針--管理(lǐ)層應對(duì)信息安全提出明(míng)确目标，并制定出可操作(zuò)的安全管理(lǐ)策略，爲信息安全提供管理(lǐ)指導和(hé)支持。

2、信息安全組織--在組織内建立信息安全組織、管理(lǐ)與第三方有關、及外(wài)包管理(lǐ)安全問題。

3、資産管理(lǐ)--對(duì)與信息技術有關的資産進行分類，加強與信息技術有關的資産分類管理(lǐ)，并對(duì)這(zhè)些(xiē)資産就價值和(hé)重要性進行分類标識，實施不同安全措施對(duì)這(zhè)些(xiē)資産進行保護。

4、人力資源安全--―明(míng)确工(gōng)作(zuò)人員在招聘、雇傭、解聘過程中所涉及的信息保密等安全問題，加強對(duì)工(gōng)作(zuò)人員信息安全培訓與教育，提高(gāo)工(gōng)作(zuò)人員安全防範意識，減少人爲錯誤、偷竊、欺詐或濫用(yòng)信息及處理(lǐ)設施的風(fēng)險。

5、物理(lǐ)和(hé)環境安全--分析安全威脅來(lái)源，劃分物理(lǐ)安全區(qū)域，加強對(duì)後台計(jì)算(suàn)機服務器與用(yòng)戶桌面計(jì)算(suàn)機的保護，防止因水(shuǐ)、火、盜竊、雷電、電力供應、化學腐蝕等因素帶來(lái)的安全威脅，并制定計(jì)算(suàn)機設備引進、日常運行、銷毀處理(lǐ)程序和(hé)辦法。

6、通信與操作(zuò)管理(lǐ)--覆蓋應用(yòng)系統日常運營和(hé)維護程序、服務水(shuǐ)平管理(lǐ)、網絡管理(lǐ)、存儲介質管理(lǐ)、防惡意軟件攻擊保護、系統和(hé)數據備份與恢複管理(lǐ)、信息交換管理(lǐ)等，确保信息處理(lǐ)設施正确和(hé)安全運行。

7、訪問控制--定義用(yòng)戶存取控制策略，管理(lǐ)用(yòng)戶存取過程，包括對(duì)網絡存取控制、操作(zuò)系統、應用(yòng)系統及移動設備和(hé)遠程工(gōng)作(zuò)設備進行存取控制。

8、系統的獲取、開(kāi)發和(hé)維護--明(míng)确應用(yòng)系統安全需求，包括輸入數據校驗、輸出數據校驗、業務處理(lǐ)過程校驗、傳輸數據認證等;确定加密控制辦法，包括加密、數字簽名、不可否認服務、密鑰管理(lǐ)等管控辦法;确定系統文(wén)件的安全保護辦法，以及開(kāi)發和(hé)支持過程的安全管理(lǐ)辦法。确保将安全納入信息系統的整個生命周期。

9、信息安全事(shì)件管理(lǐ)--确保安全事(shì)件發生後有正确的處理(lǐ)流程和(hé)報(bào)告方式。

10、業務持續性管理(lǐ)--定義業務持續性管理(lǐ)過程，業務持續性和(hé)影響過程分析，制定和(hé)執行切實可行的業務持續性計(jì)劃，定期測試、維護、演練、重新評估業務持續性計(jì)劃。防止業務活動的中斷，并保護關鍵的業務過程免受重大(dà)故障或災難的影響。

11、符合性--識别現(xiàn)有适用(yòng)的法律法規，保護個人信息的隐私;使用(yòng)合法的、正版的系統軟件與應用(yòng)軟件;加強計(jì)算(suàn)機安全審計(jì)，保障技術和(hé)安全策略的合規性。避免違反任何刑法和(hé)民法、法律法規或合同義務以及任何安全要求。