序文~3 マネジメントシステム概要 

マネジメントシステムの基本となるのはPDCAサイクルですが、PDCAサイクルはこちらの形で定義されています。

ISO27001のマネジメントサイクル

基本的には、このPDCAサイクルを
Plan で、品質を維持向上するために、取り組むべきことを定義し
Do  で、Planで定義した内容を実施し
Checkで、Doの結果がうまく動き、成果が出たかを判定し、
Act  で、問題があったものは改善し、むしろ成果が出たものについては、さらに良くするために行うべきことを導入する。
といった形で運営できるように、社内にこのような管理体制を導入することを求めているのがISO27001です。

また、ISO27001は、
・ 業種、業態を問わず、どのような事業者でも実現できる
・ 顧客満足の向上や、自社の品質が適切であることを外部に説明するために使用できる
・ 取り組みは、全社で行わなければならないわけではなく、情報セキュリティを保つべき製品(サービス)を中心として、関連する部署、担当者、組織、施設といった単位で範囲を特定することが出来る

という特徴を持っています。

特にISO27001は、固有の要求事項というものを持っておらず、たとえば情報セキュリティに対する活動として~をすること、等といった要求事項は明確化されていません。

どちらかといえば、大きなポイントとなるのは、
・ リスクが自社のサービスや情報資産に与える影響を評価する
・ その影響を軽減するため、もしくは情報セキュリティ基本方針実現のために必要な対策を検討する
・ それらの対策について、計画を立案し実施する。
といった活動により情報セキュリティ活動を実施することです。