根據ISO/IEC 27001:2005信息安全體系基本要求，結合組織現有的安全體系管理框架，我們對組織采用以過程爲基礎的信息安全管理體系模式，從以下方面維護體系的正常運行：

1）明确客戶單位的信息安全需求、理解建立信息安全方針和目标的需求；

2）在管理組織的整體業務風險中實施并運作控制；

3）監控并評審信息安全管理的績效及有效性；

4）在客觀測量基礎上持續改進。

信息安全管理體系模型如下圖：

ISO27004 ISMM體系建設。安全是一個持續的過程，因此我們應該對它進行管理。對于任何組織來說，采用信息安全管理系統（ISMS）保證信息的安全應當是組織的一個重要決策。ISMM的目的則是通過一種方法，來定義ISMS的執行目标、有效性和效果标準，以促進對信息安全管理系統的管理，并追蹤和測量随時間變化的系統進展情況，同時提供一種定義工具，用來定義與其他公司、同一組織的其他部門或同一工業标準和信息技術安全的最佳實例之間相互比較的基準。