该标准为按照ISO/IEC 27001建立信息安全管理体系（ISMS）实施计划提供应用指南。通常将ISMS作为一个项目实施。

标准目录：

1. 范围

2. 引用标准

3. 术语和定义

4. 本标准的结构

 4.1 各条款的总体结构

 4.2 每一条款的结构

 4.3 图示

5. 获得管理者批准，启动ISMS项目

 5.1 管理者批准启动ISMS项目概述

 5.2 澄清组织建立ISMS的优先事项

 5.3 初步规定ISMS范围

 5.4 建立业务规划和项目计划交管理者批准

6 规定ISMS范围、边界和ISMS方针

 6.1 规定ISMS范围、边界和ISMS方针概述

 6.2 规定组织的范围和边界

 6.3 规定信息通信技术（ICT）的范围和边界

 6.4 规定物理范围和边界

 6.5 整合各个范围和边界，形成ISMS范围和边界

 6.6 建立ISMS方针，获得管理者批准

7 进行信息安全需求分析

 7.1 进行信息安全需求分析概述

 7.2 为ISMS过程规定信息安全需求

 7.3 在ISMS范围内识别资产

 7.4 进行信息安全评估

8 进行风险评估，策划风险处置

 8.1 进行风险评估，策划风险处置概述

 8.2 进行风险评估

 8.3 选择控制目标和控制措施

 8.4 为实施和运行ISMS获得管理者授权

9 设计ISMS

 9.1 设计ISMS概述

 9.2 设计组织的信息安全

 9.3 设计ICT和物理信息安全

 9.4 设计ISMS特定的信息安全

 9.5 生成最终的ISMS项目计划

附录A ISMS实施核查表

附录B 信息安全的职能和职责

附录C 内部审核的信息

附录D 信息安全方针的机构

附录E 监控和测量ISMS

参考书目