对于ISO27001认证标准的定义
引言 -该标准描述了系统管理信息风险的过程。
1范围 -它指定适用于任何类型,规模或性质的组织的通用ISMS要求。
2规范性引用文件 -仅 ISO / IEC 27000被视为对'27001'的用户绝对必要:其余的ISO27k标准是可选的。
3术语和定义 -参见 ISO / IEC 27000。
4组织的上下文-了解组织的上下文,“利益相关方”的需求和期望并定义ISMS的范围。第4.4节非常明确地指出“组织应建立,实施,维护和持续改进” ISMS。
5领导力 -最高管理者必须表现出对ISMS,授权政策的领导力和承诺,并分配信息安全角色,职责和权限。
6计划 -概述识别,分析和计划处理信息风险的过程,并阐明信息安全的目标。
7支持 -必须分配足够的主管资源,提高意识,准备并控制文档。
8操作 -有关评估和处理信息风险,管理变更以及记录事物的更多详细信息(部分以便可以由认证审核员进行审核)。
9绩效评估 -监视,衡量,分析和评估/审核/审查信息安全控制,流程和管理系统,并在必要时进行系统改进。
10改进 -解决审核和评审的结果(例如,不合格和纠正措施),对ISMS进行持续改进。
附件A参考控制目标和控件 -实际上只不过是 ISO / IEC 27002中控制部分标题的列表而已。该附件是“规范性的”,这意味着希望认证的组织使用该附件,但主体表示,它们可以偏离或补充该附件,以解决其特定的信息风险。仅附件A很难解释。请参阅ISO / IEC 27002,以获得有关控件的更有用的详细信息,包括实施指南。
介绍五个相关标准,以及ISO / IEC指令的第1部分,以获取更多信息。此外,在标准主体中将 ISO 27000标识为规范性(即必不可少的)标准,并且在风险管理方面有多个对ISO 31000的引用。
认证的强制性要求
ISO27001是ISMS的正式规范,具有两个不同的目的:
它列出了ISMS的设计,在相当高的层次上描述了重要部分。
可以(可选)将其用作经认证的审核员进行正式合规性评估的基础,以认证组织合规性。
认证明确需要以下强制性文件:
ISMS范围
信息安全政策
信息风险评估程序
信息风险处理流程
信息安全目标
从事信息安全工作的人员的能力证明
组织认为必要的其他与ISMS相关的文件
运作计划和控制文件
的结果的[信息]风险评估
关于[信息]风险处理的决定
监视和衡量信息安全的证据
ISMS内部审核计划和审核结果
ISMS最高管理层审查的证据
识别出不合格的证据,并采取纠正措施
其他各种: 附件A提及但未充分说明进一步的文档,包括可接受的资产使用规则,访问控制策略,操作程序,机密性或保密协议,安全系统工程原理,供应商关系的信息安全策略,信息安全事件响应程序,相关法律,法规和合同义务以及相关的合规性程序和信息安全连续性程序。但是,尽管附件A是规范性的,但组织并没有正式要求采用和遵守附件A:它们可以使用其他结构和方法来处理其信息风险。
认证审核员几乎可以肯定会检查以下十五种文件是否存在:(a)是否存在,以及(b)是否适合目的。