ISO27001標準的范圍包含1.1總則、1.2應用兩部分。
1.1 總則
【內容解析】
GB/T22080-2008標準規定了信息安全管理體系要求,任何類型的組織,無論是商業企業、政府機構以及非贏利組織,為了確保其核心業務活動的持續運營, 客觀上都需要對相關信息資產的安全實行系統性的管理,因此,任何組織都可以采用本標準提供的模型建立、實施、運行、監視、評審、保持和改進其信息安全管理 體系。
ISO27001標準規定了建立、實施、保持和改進信息安全管理體系的要求,同時規定了采用控制措施實現組織的信息安全目標的要求,但如何實現這些要求,ISO27001標準并未提出具體的途徑和方法。而具體的實現途徑和方法,需要組織考慮其自身業務運 營的內部和外部環境,依據相應的法律法規、顧客以及相關方的要求,予以適當的設計,從而達到充分保護組織的信息資產的目的,并就組織保護其信息資產的能 力,給予相關方信心。
因考慮使用ISO27001標準的組織的類型不同,對于“業務”一詞,不應狹義地從商業經營的立場上理解,而應理解為關系到組織的存在和發展的核心活動。
為組織設計信息安全管理體系的具體控制措施時,可參考GB/T22081-2008給出的具體方法指南。
1.2 應用
【內容解析】
ISO27001標準規定的要求是通用的,可以適用于各種類型、不同規模、不同業務性質的組織。但因各類組織的業務性質和過程特點、復雜程度不同,也就是說,組織信息安全管理體系的設計和實施除了滿足ISO27001標準的要求外,還應符合組織的實際情況。
ISO27001標準的要求可以用作第一方審核和第二方審核的依據。當標準用作第一、二方審核的依據時,可以根據組織最高管理者和顧客的需要,刪減由于組織及其業務性質特點而不適用的ISO27001標準的任何要求。但是,當刪減的內容超出了原則的前提下,不能聲稱符合標準。當ISO27001標準用作第三方審核的依據時,組織的信息安全管理體系應該滿足ISO27001標準要求,因此,刪減也應該滿足原則的前提,并且在適用性聲明文件中要明確刪減的范圍。
刪減的原則的前提指:
1)對于第4章、第5章、第6章、第7章和第8章的要求不能刪減;
2)為了滿足風險接受準則必要的進行的任何控制措施的刪減,必須證明是合理的,且需要提供證據證明相關風險已被負責人員接受;
3)刪減不影響組織滿足由風險評估和適用法律法規要求所確定的安全要求的能力和/或責任。
共有條評論 網友評論