ISO27001信息安全管理本質就是人與事的關系，是人根據制度和流程，采用適宜的方法、工具和手段去降低風險。風險是安全管理的對象，人員、流程、手段是安全管理基本要素，其中人員是根本，流程是核心，手段是支撐。

　　培養和建立一支高效干練的人員隊伍參與ISO27001信息安全管理的人員應組成一個強有力的管理組織，分工明確、溝通順暢、協調有力，運作高效。通常安全管理組織應是扁平化的，以便發現問題，及時響應，能夠根據外部威脅的形勢，快速進行適應性變化。參與安全管理的人員的知識、技能應適用其崗位要求，并不斷的學習成長，適用信息安全快速變化的時代要求。

　　建立科學、合理、易于落地的管理體系ISO27001信息安全管理體系構建應采用科學的方法，即按照ISO27001的要求，采用過程方法，通過過程的控制來為結果提供一種可持續的保證。信息安全管理體系建設不是編制幾個制度，它的目的是推動公司行動起來，發生變化，不斷提升其安全管控能力。要使安全管理體系有效發揮作用、起到實效，還必須：

　　全面化：要針對評估中發現的問題，與最佳實踐相比較所存在的差距，應覆蓋人員和組織、制度和流程、技術手段等所有要素，覆蓋信息系統的整個生命周期，覆蓋管理的整個過程。

　　系統化：管理體系應符合PDCA(規劃、實施、檢查、改進)思想，必須要有測量、反饋機制，能夠進行內部監督、審計，形成正向的內部激勵機制，不斷進行改進和完善。

　　流程化：制度是有益的、必須的，但還必須貫穿部門間藩籬的、目標可控、易于落地的流程。流程使人員不需要關注過多的制度，只需按照流程工作即可，減輕了人員負擔。

　　規范化：對于具體工作，必須給出明確的工作指導和表單，規范人員的操作行為。

　　融合化：安全管理不是一個獨立的體系，應與現運維管理、內部控制等現有制度和流程相融合，借鑒Cobit、ITIL、CMMI、PMP/PRINCE2、隱私數據保護等管理思想或方法的長處。

　　當然，每個公司都具有一定的個體特性，如文化、人員、組織和信息系統環境等等。在構建時，應采用中醫的方法，嚴格診斷，對癥下藥，建立起符合自己特點管理體系。

　　有效利用各種技術手段這主要體現在兩個方面，一是采用技術手段，推動安全管理的電子化、自動化，提升管理效率;二是采用技術手段，保障管理流程、管理目標的有效強制落實和實現。