公司名称：通标标准技术服务有限公司东莞分公司

按照ISO/IEC 27001:2005“4.2.1建立ISMS”条款的要求，采用PDCA的过程方法，建立ISMS的主要步骤和内容如下：
1. 确定ISMS的范围和边界并文件化；
2. 确定ISMS方针并文件化，包括建立信息安全目标框架，建立信息安全活动的总方向和总原则；建立风险评价的准则和定义风险评估的结构
3. 确定组织的风险评估方法，包括建立风险接受的准则；
4. 识别要保护的信息资产的风险，包括识别：
i. 资产及其责任人；
ii. 资产所面临的威胁；
iii. 组织的脆弱性；
iv. 资产保密性、完整性和可用性的丧失造成的影响。
5. 分析和评价安全风险，形成风险评估报告，包括要保护的重要信息资产清单；
6. 识别和评价风险处理的可选措施，形成风险处理计划；
7. 根据风险处理计划，选择风险处理控制目标和控制措施；
8. 管理者正式批准所有残余风险；
9. 管理者授权ISMS的实施和运行；
10. 准备适用性声明。
完成上述步骤和内容后，表明符合ISO/IEC 27001:2005标准要求的信息安全管理体系（ISMS）已经基本建立起来。