ISO/IEC 27001:2013标准引言
0.1 总则
本标准用于为建立、实施、保持和持续改进信息安全管理体系提供要求1。采用信息安全管理体系是组织的一项战略性决策2。一个组织信息安全管理体系的建立和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响3。所有这些影响因素会不断发生变化4。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，以充分管理风险并给予相关方信心5。

信息安全管理体系是组织过程和整体管理结构的一部分并与其整合在一起是非常重要的6。信息安全在设计过程、信息系统、控制措施时就要考虑信息安全7。按照组织的需要实施信息安全管理体系，是本标准所期望的8。

本标准可被内部和外部相关方使用，评估组织的能力是否满足组织自身信息安全要求。

本标准中要求的顺序并不能反映他们的重要性或意味着他们的实施顺序。列举的条目仅用于参考目的。

ISO/IEC27000 描述了信息安全管理体系的概述和词汇，参考了信息安全管理体系标准族（包括ISO/IEC 27003、ISO/IEC 27004 和ISO/IEC 27005）以及相关的术语和定义。