มี 4 องค์ประกอบใหญ่ๆ นั่นก็คือ

1. จัดทำระบบ(Establish)การจัดการความมั่นคงปลอดภัยของสารสนเทศ(Information Security Management System -ISMS) คือ การเตรียมการ วางแผนเพื่อปกป้องสารสนเทศ

2. นำไปปฏิบัติ(Implement) คือ นำแผนจากขั้นตอนการจัดทำระบบ(Establish)ไปปฏิบัติจริงหน้างาน ทำตามเอกสารคู่มือและลงบันทึกในแบบฟอร์ม

3. รักษาไว้(Maintain) คือปฏิบัติควบคู่ไปกับการทำงานปกติ (ไม่ใช่ทำเฉพาะก่อนจะโดนตรวจAudit นะจ้ะ)

4. ปรับปรุงอย่างต่อเนื่อง(Continual Improvement) คือ ทบทวนผลการทำระบบและมีการปรับปรุงอย่างต่อเนื่อง ไม่ใช่ทำครั้งเดียวจบ

การทำระบบ ISO:27001 ให้มีประสิทธิภาพนั้น ต้องทำตาม 4 ข้อนี้ให้ครบถ้วนขาดอันไหนไปไม่ได้เลย และต้องมีหลักฐานรับรอง(ทั้งเอกสารและผลการปฏิบัติ)

ที่เชื่อถือได้ สะท้อนความเป็นจริงและตรวจสอบย้อนหลังได้ด้วยนะ