ISO27001是以资产安全为核心，以风险管理为主线的体系，以下是具体分析：

       1、以资产安全为核心

       资产是组织价值的核心，安全作为业务发展的保障，将始终围绕资产安全开展。ISO27001中，清晰的资产是开展风险评估、访问控制策略设计等的前提，如何确保资产安全，是ISO27001各控制域需要回答的核心问题。

       资产的属性决定安全保护措施，资产呈现为不同的属性，包括有形资产、无形资产；软件资产、硬件资产；核心数据资产，需要采取加密手段，保障其存储、传输过程的安全：多种资产属性的组合／集合需要采取多种保护措施，甚至额外保护措施，承载核心数据的服务器需要存放在安全的空间中，其上核心数据应加密存储，并采取备份措施。

       2、以风险管理为主线

       如果说资产是ISO 27001实践的核心，那么风险管理则是其主线。一切活动的开展都是风险管理的延伸。

       安全策略制定，安全控制措施选用，均是在明确的风险偏好下，参照风险评估结果，进行的预防、监控或处置。