ISO27001信息安全管理可操作的一般过程和相应的活动包括哪些

1.确定组织的信息安全目标和战略
2.开发信息安全策略
3.进行风险评估（Risk Assessment），明确组织的信息安全需求，具体活动包括：
1)制定风险评估计划（明确范围和责任，采集相关信息，描述目标系统）；
2)识别并评价信息资产，理解资产的价值和敏感性；
3)识别并评估威胁，理解威胁发生的可能性；
4)识别并评价弱点，理解弱点被利用的容易程度；
5)评估风险，确定风险等级；
6)评估并比较现有的安全措施（控制），找出目标与现状之间的差距；
7)根据已经明确的需求来推荐安全措施。
4.进行风险消减（Risk Mitigation），具体活动包括：
1)确定风险消减策略，以便减少、规避、转嫁或接受风险；
2)选择安全措施（控制）；
3)制定安全计划，明确安全措施的构建和实施方案；
4)实施安全计划和策略；
5)对安全计划和策略的实施结果进行测试和检查。
5.进行风险控制（Risk Control），具体包括：
1)信息系统的维护与操作；
2)安全意识、培训与教育；
3)对信息系统的运行和安全措施的效力进行监视；
4)事件响应；
5)再评估与认证。
6.配置管理（Configuration Management），确保系统发生的变化不会降低安全措施的效力和组织的整体安全。
7.变更管理（Change Management），当信息系统发生变化时，识别新的安全需求。
8.应急计划（Contingency Planning），包括业务连续性计划、灾难恢复计划等。