ISO/IEC27001,信息安全管理體系,標(biāo)準(zhǔn)解析

1概述

ISO/IEC27001信息安全管理體系由引言、正文以及附錄三個(gè)部分組成。

ISO/IEC27001信息安全管理體系的引言部分包括三個(gè)部分，即0.1總則、0.2過(guò)程方法、0.3與其他管理體系的兼容性。

“0.1總則”描述了制定ISO/IEC27001信息安全管理體系的用途和應(yīng)用對(duì)象。為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系提供了模型。

這種模型是高度概括的，也不正對(duì)具體的行業(yè)，因此標(biāo)準(zhǔn)中指出：按照組織的需要實(shí)施ISMS，是本標(biāo)準(zhǔn)所期望的。簡(jiǎn)單的情況可以采用簡(jiǎn)單的ISMS，這意味著應(yīng)用組織可以裁減使用。正文的第四章到第八章的內(nèi)容基本可以認(rèn)為是建立PDCA模型的過(guò)程。

“0.2的過(guò)程方法”對(duì)過(guò)程、過(guò)程方法以及該標(biāo)準(zhǔn)所采用的PDCA模型進(jìn)行了描述。

標(biāo)準(zhǔn)開(kāi)門(mén)見(jiàn)山地指明：本標(biāo)準(zhǔn)采用一種過(guò)程方法來(lái)建立、實(shí)施、運(yùn)行、監(jiān)督、評(píng)審、保持和改進(jìn)一個(gè)組織的ISMS。這句話說(shuō)明了本標(biāo)準(zhǔn)時(shí)采用的過(guò)程方法。

過(guò)程方法被廣泛的應(yīng)用于目前所流行的標(biāo)準(zhǔn)中，ISO/IEC27001信息安全管理體系所應(yīng)用的過(guò)程方法有其特別之處：

①理解組織的信息安全要求和建立信息安全方針與目標(biāo)的需要

②從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，實(shí)施和運(yùn)行控制措施，以管理組織的信息安全風(fēng)險(xiǎn)

③監(jiān)視和評(píng)審ISMS的執(zhí)行情況和有效性

④基于客觀測(cè)量的持續(xù)改進(jìn)有很多現(xiàn)行的模型都可以滿足工程過(guò)程方法的要求，而本標(biāo)準(zhǔn)首先要滿足上述四點(diǎn)。

理解這四點(diǎn)時(shí)，應(yīng)該注意：

①?gòu)慕M織的整體出發(fā)，不能為了安全而安全，基于此，組織對(duì)安全的需求是不同的，絕對(duì)的安全或者過(guò)度的安全都是不必要的，甚至是浪費(fèi)的。

②信息安全風(fēng)險(xiǎn)的管理必須考慮整體業(yè)務(wù)風(fēng)險(xiǎn)，因?yàn)樾畔⑾到y(tǒng)不是組織的全部，不去考慮整體的業(yè)務(wù)風(fēng)險(xiǎn)，就沒(méi)有站在組織的視角去理解信息安全，而且脫離整體業(yè)務(wù)考慮的控制，也不可能真正解決組織信息安全的問(wèn)題。

③注重監(jiān)視和評(píng)審，監(jiān)視和評(píng)審時(shí)持續(xù)改進(jìn)的基礎(chǔ)。如果缺乏對(duì)執(zhí)行的有效的測(cè)量，改進(jìn)就成了無(wú)的放矢。

“0.3與其他管理體系的兼容性”

目前國(guó)際化標(biāo)準(zhǔn)組織推出了四個(gè)管理體系標(biāo)準(zhǔn)

①ISO9001質(zhì)量管理體系

②OHSAS18001職業(yè)健康安全管理體系

③ISO14001環(huán)境管理體系

④ISO27001信息安全管理體系

這四個(gè)管理體系都采用了系統(tǒng)的方法，即PDCA模型，越來(lái)越多的組織會(huì)選擇其中幾個(gè)甚至全部在組織內(nèi)應(yīng)用，顯然，讓各個(gè)體系各行其是是不現(xiàn)實(shí)的。

因此，標(biāo)準(zhǔn)指出：一個(gè)設(shè)計(jì)適當(dāng)?shù)墓芾眢w系可以滿足所有這些標(biāo)準(zhǔn)的要求。管理體系的整合已經(jīng)成為大勢(shì)所趨?；凇叭龢?biāo)（除信息安全）”的整合管理體系在國(guó)內(nèi)比

較常見(jiàn)，也有大量的參考資料?；凇八臉?biāo)”的整合管理體系國(guó)內(nèi)有實(shí)施，例如：國(guó)家電網(wǎng)浙江寧波電業(yè)局的基于流程的資料、職業(yè)健康安全、環(huán)境和信息安全四標(biāo)

一體整合管理體系，但是目前還沒(méi)有公開(kāi)資料。

2正文解析

ISO/IEC27001的正文分為8章，分別為：

①范圍；

②規(guī)范性引用文件；

③術(shù)語(yǔ)和定義；

④信息安全管理體系；

⑤管理職責(zé)；

⑥內(nèi)部信息安全管理體系審核；

⑦信息安全管理體系的管理評(píng)審；

⑧信息安全管理體系的改進(jìn)；

標(biāo)準(zhǔn)的開(kāi)始就說(shuō)明了下面的原則：本出版物不聲稱包括一個(gè)合同所有必要的規(guī)定。用戶負(fù)責(zé)對(duì)其進(jìn)行正確的應(yīng)用。符合標(biāo)準(zhǔn)本身并不獲得法律義務(wù)的豁免。

對(duì)管理流程的認(rèn)證和對(duì)產(chǎn)品的認(rèn)證是兩種不同的概念，后者注重結(jié)果，前者注重過(guò)程。理論上講，按照本標(biāo)準(zhǔn)的要求部署信息安全管理體系后，會(huì)防止信息安全事件的發(fā)生，但是不能百分之百的保證，更不能理解為符合標(biāo)準(zhǔn)就獲得法律義務(wù)的豁免。管理流程是諸多經(jīng)驗(yàn)的總結(jié)，而且在實(shí)踐明也是有效的。

對(duì)于結(jié)果的證明是很難實(shí)現(xiàn)的，但是對(duì)于規(guī)范的流程是可以向客戶證明的。

信息安全管理體系正是提供了這樣一個(gè)完整的管理流程，我們無(wú)法保證這種方法是正確的或者是唯一的，但是至少在實(shí)踐中試行之有效的。

2.1范圍解析

ISO/IEC27001不專門(mén)針對(duì)某個(gè)行業(yè)，而是適用所有類(lèi)型組織，對(duì)于具體行業(yè)中的應(yīng)用，在ISO/IEC27000族標(biāo)準(zhǔn)中的其他標(biāo)準(zhǔn)中討論。標(biāo)準(zhǔn)的主要內(nèi)容有兩個(gè)部分：

(1)從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系規(guī)定了詳細(xì)的要求。

(2)為適應(yīng)不同組織或其部門(mén)的需要而制定的安全控制措施的實(shí)施要求。

2.2規(guī)范性引用文件解析

ISO/IEC27001明確了ISO/IEC27002為其應(yīng)用標(biāo)準(zhǔn)。

ISO/IEC27002：2005《信息安全管理實(shí)用規(guī)則》作為一個(gè)通用的信息安全控制措施集，是目前發(fā)布的兩個(gè)信息安全管理體系標(biāo)準(zhǔn)之一，這些控制措施涵蓋了信息安全的各個(gè)方面，為信息安全管理體系的建設(shè)提供了控制措施的選擇依據(jù)。

該標(biāo)準(zhǔn)把控制措施分為11個(gè)安全領(lǐng)域，分別是：

（1）安全方針

（2）信息安全組織

（3）資產(chǎn)管理

（4）人力資源安全

（5）物理和環(huán)境安全

（6）通信和操作管理

（7）訪問(wèn)控制

（8）信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)

（9）信息安全事故管理

（10）業(yè)務(wù)連續(xù)性管理

（11）符合性

這11個(gè)方面進(jìn)一步分為39個(gè)安全類(lèi)型和133條控制措施，每條控制措施的描述則包括了較為詳細(xì)的實(shí)施方法，因此該標(biāo)準(zhǔn)可以作為信息安全管理體系的實(shí)施指南。

1.安全方針解析

安全方針，是組織總體方針文件的一部分，其作用是一句業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全。

信息安全方針是通過(guò)文件的方式進(jìn)行體現(xiàn)。信息安全方針文件時(shí)組織信息管理者確定的信息安全方針文件化，應(yīng)該包括下面內(nèi)容：

①信息安全的定義以及信息安全在信息共享機(jī)制下安全的重要性。

②信息安全的整體目標(biāo)以及管理者的意圖。

③信息安全的范圍。

④信息安全目標(biāo)和原則。

⑤控制目標(biāo)和控制錯(cuò)的框架，包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的結(jié)構(gòu)。

⑥對(duì)于組織特別重要的安全方針策略、原則、標(biāo)準(zhǔn)和符合性要求的簡(jiǎn)要說(shuō)明。

⑦信息安全管理的一般和特定職責(zé)的定義。

⑧對(duì)于支持方針的文件的引用。

信息安全方針文件應(yīng)該由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方。在編寫(xiě)信息安全方針文件時(shí)，必須注意到其預(yù)期讀者比較廣泛，因此必須以適合的、可訪問(wèn)的和可理解的形式進(jìn)行表達(dá)。

2.信息安全組織解析

組織分為內(nèi)部組織和外部組織兩個(gè)大部分。

在組織內(nèi)部應(yīng)該通過(guò)組織結(jié)構(gòu)和組織活動(dòng)來(lái)支持信息安全，首先應(yīng)建立管理框架，啟動(dòng)和控制組織范圍內(nèi)的信息安全的實(shí)施，管理者應(yīng)批準(zhǔn)信息安全方針、指派安全角色以及協(xié)調(diào)和評(píng)審整個(gè)組織安全的實(shí)施。若需要，要在組織內(nèi)建立專家信息安全建議庫(kù)，并發(fā)展與外部安全專家或者組織的聯(lián)系，以便跟上行業(yè)的趨勢(shì)、跟蹤標(biāo)準(zhǔn)和評(píng)估方法，并且處理信息安全事件時(shí)，提供合適的聯(lián)絡(luò)點(diǎn)。

組織的外部的安全問(wèn)題

也必須加以考慮，組織的信息處理設(shè)施和信息資產(chǎn)的安全不應(yīng)該由于外部的產(chǎn)品或者服務(wù)而降低，任何外部對(duì)這種信息處理設(shè)施的訪問(wèn)，對(duì)信息資產(chǎn)的處理和通信都應(yīng)該給以控制。對(duì)于外部各方的信息安全控制，以防止外部方隊(duì)組織信息處理設(shè)施進(jìn)行訪問(wèn)，對(duì)信息資產(chǎn)進(jìn)行處理以及通信過(guò)程中的安全事件的發(fā)生。

3.資產(chǎn)管理解析

資產(chǎn)是組織內(nèi)部所有有用的東西，因此，資產(chǎn)的概念是寬泛的。對(duì)于大部分組織來(lái)說(shuō)，傳統(tǒng)資產(chǎn)的管理是完善的，但是對(duì)于信息本身來(lái)說(shuō)卻沒(méi)有很好的管理。本標(biāo)準(zhǔn)在引言中就已經(jīng)指出：信息是一種資產(chǎn)，像其他業(yè)務(wù)資產(chǎn)一樣，對(duì)組織具有價(jià)值。

要想把資產(chǎn)管理好，首先要識(shí)別所有的資產(chǎn)并形成完善的清單，而且要把資產(chǎn)重要性形成文件，這樣在實(shí)際的管理中就做到了心中有數(shù)。資產(chǎn)清單可以幫助組織從災(zāi)難中恢復(fù)所需要的信息，包含的項(xiàng)目有資產(chǎn)的類(lèi)型、格式、位置、備份信息、許可證信息也業(yè)務(wù)價(jià)值等。這些項(xiàng)目不一定要在一個(gè)相同的清單中，它們可以分散到很多清單中去，但是必須保證這些清單是相關(guān)聯(lián)的。

資產(chǎn)清單中包括了另一個(gè)重要的欄目、即資產(chǎn)的負(fù)責(zé)人。與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)該由指定的部門(mén)或者人員承擔(dān)責(zé)任。

資產(chǎn)負(fù)債人應(yīng)負(fù)責(zé)：

a）確保與信息處理設(shè)施相關(guān)的信息和資產(chǎn)進(jìn)行了適當(dāng)?shù)姆诸?lèi)；

b）確定并周期性評(píng)審訪問(wèn)限制和分類(lèi)，要考慮到可應(yīng)用的訪問(wèn)控制策略。

對(duì)于普通的用戶而言，關(guān)心的是資產(chǎn)能提供合格的服務(wù)。那么，任何引導(dǎo)他們正確地使用資產(chǎn)？所有雇員、承包方人員和第三方人員應(yīng)該遵循信息處理設(shè)施相關(guān)信息與資產(chǎn)的可接受的使用規(guī)則。這其中包括很多方面，對(duì)所有的資產(chǎn)都應(yīng)該有具體的使用規(guī)則和指南。在很多情況下，這些規(guī)則或指南，可能不是獨(dú)立的，可能被劃歸到對(duì)信息系統(tǒng)的合格使用問(wèn)題上。

4.人力資源安全解析

所有的管理活動(dòng)都不能離開(kāi)“人”這個(gè)主體的參與，事實(shí)上，一個(gè)組織重要的、有價(jià)值的信息相當(dāng)一部分存在員工的大腦中，許多信息安全事件是由人而起的。“人”在信息安全活動(dòng)中是最復(fù)雜、最難控制的保護(hù)對(duì)象。

信息安全意識(shí)的好壞直接影響信息安全管理體系效果。組織的所有雇員，適當(dāng)時(shí)，包括承包方和第三方人員，應(yīng)該受到與其工作職能相關(guān)的適當(dāng)?shù)囊庾R(shí)培訓(xùn)和組織方針策略程序的定期更新培訓(xùn)。在所有的雇員、承包方人員和第三方人員在終止任用、合同或者協(xié)議時(shí)，應(yīng)歸還他們使用的所有組織資產(chǎn)。這些資產(chǎn)主要包括：

a）軟件、公司文件和設(shè)備；

b）其他組織資產(chǎn)，例如移動(dòng)計(jì)算設(shè)備、信用卡、訪問(wèn)卡、軟件、手冊(cè)；

c）存儲(chǔ)于電子介質(zhì)中的信息。

歸還資產(chǎn)和撤銷(xiāo)訪問(wèn)權(quán)應(yīng)是在終止或變化時(shí)必須執(zhí)行的步驟。很多信息安全事故都是由于人員任用終止，而服務(wù)權(quán)沒(méi)有相應(yīng)終止，由心懷怨恨的雇員引起的。

5.物理和環(huán)境安全解析

物理和環(huán)境的安全控制不僅是信息安全的需要，也是傳統(tǒng)安全的要求。一個(gè)組織無(wú)論是否考慮信息安全問(wèn)題，都有吧物理和環(huán)境安全做好。

設(shè)備的環(huán)境安全部分涉及：安全邊界的定義，入口的控制，辦公室、房間和設(shè)施一直到外部環(huán)境威脅的安全保護(hù)，還包括工作的安全區(qū)域和公共訪問(wèn)和交接區(qū)。

設(shè)備安全部分從設(shè)備購(gòu)置后的安置和保護(hù)，到支持性設(shè)施的保護(hù)，再到布電纜投入運(yùn)行，一直到最后的處置和再利用。之間包括了設(shè)備的正確維護(hù)、移動(dòng)，以及場(chǎng)所外如何保證安全的問(wèn)題。

6.通信和操作管理解析

這里的“通信”是廣義的通信的概念，主要是指信息是交換、溝通和交流等活動(dòng)。操作是指對(duì)信息處理設(shè)備和設(shè)施、信息系統(tǒng)、軟件等的操作。

為了保證對(duì)所有的有需求的用戶可用，與信息處理和通信設(shè)施相關(guān)的系統(tǒng)活動(dòng)要具備形成文件的程序，例如計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)程序、備份、設(shè)備維護(hù)、介質(zhì)處理、計(jì)算機(jī)機(jī)房、郵件處置管理和物理安全等。要將操作程序和系統(tǒng)活動(dòng)的文件化程序看做正式的文件，其變更由管理者授權(quán)。

操作程序文件和信息系統(tǒng)的變更一定要保持一致。而信息系統(tǒng)的各種操作可能比較繁雜，技術(shù)上可行時(shí)，信息系統(tǒng)應(yīng)該使用相同的程序、工具和實(shí)用程序進(jìn)行一致的管理。

對(duì)于信息處理設(shè)施、操作系統(tǒng)和應(yīng)用軟件等變更應(yīng)該由嚴(yán)格的控制。只有規(guī)范了變更程序，才能保證操作程序文件和實(shí)際操作的一致性，更重要的是這些變更可能會(huì)引入新的風(fēng)險(xiǎn)，必須有批準(zhǔn)、記錄、備份等才能保證變更的安全性。

在分配職責(zé)時(shí)，應(yīng)該盡量讓權(quán)限最小化，以盡量降低未授權(quán)或無(wú)意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。

7.訪問(wèn)控制

訪問(wèn)控制的目標(biāo)是隊(duì)長(zhǎng)對(duì)信息的訪問(wèn)，目前已經(jīng)發(fā)展成為保護(hù)信息安全的最重要的手段之一。對(duì)信息、信息處理設(shè)施和業(yè)務(wù)過(guò)程的訪問(wèn)應(yīng)在業(yè)務(wù)和安全要求的基礎(chǔ)上予以控制。因此，訪問(wèn)控制策略必須基于業(yè)務(wù)和訪問(wèn)的安全要求，訪問(wèn)控制規(guī)范要考慮到信息傳播授權(quán)的策略。在訪問(wèn)策略中應(yīng)該清晰地?cái)⑹雒總€(gè)用戶或者一組用戶訪問(wèn)控制規(guī)則和權(quán)力。訪問(wèn)控制既是邏輯的也是物理的，應(yīng)該引起考慮。

訪問(wèn)控制策略要以用戶的訪問(wèn)管理為基礎(chǔ)，首先應(yīng)有正式的用戶注冊(cè)和注銷(xiāo)程序。未授權(quán)或者撤銷(xiāo)所有信息系統(tǒng)及服務(wù)的訪問(wèn)。用戶注冊(cè)是用戶管理生命周期的開(kāi)始，注冊(cè)必須使用唯一的ID與用戶行為聯(lián)系起來(lái)。

口令的分配和控制必須有正式的管理控制過(guò)程?？诹畹氖褂靡脖仨毰囵B(yǎng)良好的用戶習(xí)慣。管理者必須對(duì)用戶的訪問(wèn)進(jìn)行定期審查，某些用戶可能從一個(gè)部門(mén)掉到另一個(gè)部門(mén)，這時(shí)候必須重新分配用戶的訪問(wèn)權(quán)。

8.信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)解析

本章主要對(duì)信息系統(tǒng)購(gòu)置、開(kāi)發(fā)建設(shè)以及系統(tǒng)運(yùn)行維護(hù)過(guò)程中的信息安全有關(guān)方面提出了詳細(xì)的控制目標(biāo)和控制措施。

安全應(yīng)該貫穿信息系統(tǒng)的生命周期，從需求階段必須對(duì)安全提出要求。組織的大部分信息系統(tǒng)可能都是買(mǎi)的，那么購(gòu)買(mǎi)產(chǎn)品之后就進(jìn)行常規(guī)的測(cè)試和需求處理。與供貨商簽的合同上應(yīng)該確切地標(biāo)明安全需要。

應(yīng)用中的正確處理的目的是防止應(yīng)用系統(tǒng)中的信息的錯(cuò)誤、遺失、未授權(quán)的修改以及誤用。其中三個(gè)方面的內(nèi)容：輸入與輸出數(shù)據(jù)的驗(yàn)證和內(nèi)部處理的控制，與規(guī)范的程序編碼要求是完全一致的。

9.信息安全事件管理解析

無(wú)論采取什么樣的控制措施，都不可能達(dá)到百分之百的安全，總有可能發(fā)生信息安全事件，因此亡羊補(bǔ)牢式的信息安全事件便成了整個(gè)管理體系中的重要的一環(huán)。

信息安全事件猶如信息安全管理體系中的不合格品，必須采取措施加以預(yù)防。這就要求雇員、承包方和第三方人員都有盡可能快的按照正式的事件報(bào)告和上報(bào)程序，將信息安全事態(tài)和弱點(diǎn)報(bào)告給指定的聯(lián)系點(diǎn)，以便盡早采取措施，降低信息安全事件發(fā)生的可能性。

信息安全事件的檢測(cè)室事件管理的開(kāi)始，應(yīng)該建立正常的信息安全事件報(bào)告、事故應(yīng)答和分類(lèi)機(jī)制，在接到信息安全事件報(bào)告后著手采取措施。應(yīng)建立管理職責(zé)和程序，以確保能對(duì)信息安全事故作出快速、有效和有序的響應(yīng)。應(yīng)建立一套機(jī)制來(lái)量化、監(jiān)視和評(píng)審信息安全事故，積累事故的歷史數(shù)據(jù)，可以有效的估算發(fā)生的頻率和發(fā)生后的損失，而且可以有效的采取措施防止事故的再次發(fā)生。

10.業(yè)務(wù)連續(xù)性管理解析

對(duì)企業(yè)來(lái)說(shuō)，業(yè)務(wù)連續(xù)性管理是一項(xiàng)重要的、綜合的管理，涉及企業(yè)的諸多方面，是信息安全活動(dòng)中很重要的一個(gè)方面。

防止業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程免受信息系統(tǒng)重大失誤或?yàn)?zāi)難的影響，并確保他們的及時(shí)恢復(fù)。為通過(guò)和恢復(fù)控制的組合，將對(duì)機(jī)構(gòu)的影響減少到最低水平，并能從信息資產(chǎn)的損失中恢復(fù)到可以接受的程度，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性管理過(guò)程。

11.符合性解析

滿足我國(guó)當(dāng)前的法律法規(guī)中關(guān)于信息安全方面的要求是任何組織必須要做到的，其次是滿足合同要求、組織制定的規(guī)章制度和技術(shù)要求等。

對(duì)于法律法規(guī)方面的要求，應(yīng)從組織的法律顧問(wèn)或者合格的法律從業(yè)人員處獲得特定的法律要求建議。法律要求因國(guó)家而異，而且對(duì)于在一個(gè)國(guó)家產(chǎn)生的信息發(fā)送到另一個(gè)國(guó)家的法律要求也不同。法律方面的要求也包括知識(shí)產(chǎn)權(quán)、記錄保持、數(shù)據(jù)以及密碼控制等方面。

對(duì)于組織自身安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性，則應(yīng)定期評(píng)審信息系統(tǒng)的安全，這種評(píng)審應(yīng)按照適當(dāng)?shù)陌踩呗赃M(jìn)行。審核技術(shù)平臺(tái)好信息系統(tǒng)，看其是否符合適用的安全實(shí)施標(biāo)準(zhǔn)和文件化的安全控制措施。

3附錄部分

ISO/IEC27001的附錄分為附錄A、附錄B和附錄C三部分。附錄A為規(guī)范性附錄，列出了實(shí)施信息安全管理系統(tǒng)的控制目標(biāo)和控制措施，與中文部分內(nèi)容一樣，在附錄A中選擇控制目標(biāo)和控制措施是規(guī)定的信息安全管理系統(tǒng)過(guò)程的一部分。附錄B和附錄C屬于資料性附錄，附錄B中的列表經(jīng)濟(jì)合作與發(fā)展組織原則和該標(biāo)準(zhǔn)的對(duì)照，附錄C列出了ISO/IEC27001與ISO9001:2000以及ISO：2004之間的對(duì)照。附錄B和附錄C的內(nèi)容僅供參考。

今天通過(guò)對(duì)《ISO/IEC27001,信息安全管理體系,標(biāo)準(zhǔn)解析》的學(xué)習(xí)，相信你對(duì)認(rèn)證有更好的認(rèn)識(shí)。如果要辦理相關(guān)認(rèn)證，請(qǐng)聯(lián)系我們吧。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/zs/202011/ccaa_13225.html