核心框架：PDCA 循環(huán)與 14 個(gè)控制域
ISO27001 標(biāo)準(zhǔn)以 “計(jì)劃（Plan）- 執(zhí)行（Do）- 檢查（Check）- 改進(jìn)（Act）” 的 PDCA 循環(huán)為基礎(chǔ)，構(gòu)建了一套動(dòng)態(tài)、持續(xù)改進(jìn)的信息安全管理體系。其核心內(nèi)容包括 “組織環(huán)境、領(lǐng)導(dǎo)力、策劃、支持、運(yùn)行、績效評價(jià)、改進(jìn)”7 大模塊，涵蓋了從頂層設(shè)計(jì)到具體執(zhí)行的全流程管理要求。
其中，14 個(gè)控制域是標(biāo)準(zhǔn)的核心技術(shù)要求，共包含 114 項(xiàng)控制措施，覆蓋了信息安全管理的關(guān)鍵領(lǐng)域：
信息安全方針（如制定符合組織目標(biāo)的安全方針）；
組織架構(gòu)（如明確信息安全職責(zé)與匯報(bào)機(jī)制）；
人力資源安全（如員工入職背景審查、離職信息清理）；
資產(chǎn)管理（如信息資產(chǎn)分類與權(quán)屬劃分）；
訪問控制（如用戶權(quán)限管理、密碼策略）；
加密技術(shù)（如傳輸與存儲(chǔ)加密）；
物理與環(huán)境安全（如機(jī)房門禁、設(shè)備防盜竊）；
操作安全（如系統(tǒng)維護(hù)流程、日志管理）；
通信安全（如網(wǎng)絡(luò)邊界防護(hù)、傳輸加密）；
系統(tǒng)獲取、開發(fā)與維護(hù)（如軟件開發(fā)安全測試）；
供應(yīng)商關(guān)系（如第三方服務(wù)商安全管控）；
信息安全事件管理（如應(yīng)急響應(yīng)流程）；
業(yè)務(wù)連續(xù)性管理（如災(zāi)難恢復(fù)計(jì)劃）；
合規(guī)性（如符合保護(hù)法規(guī)、行業(yè)規(guī)范）。
這些控制措施并非強(qiáng)制要求全部采用，而是需要組織根據(jù)自身業(yè)務(wù)特點(diǎn)、風(fēng)險(xiǎn)評估結(jié)果 “量身定制”，體現(xiàn)了標(biāo)準(zhǔn)的靈活性和實(shí)用性。

以下是“ISO27001核心框架”信息發(fā)布人聯(lián)系方式：