對于ISO27001認(rèn)證標(biāo)準(zhǔn)的定義

引言 -該標(biāo)準(zhǔn)描述了系統(tǒng)管理信息風(fēng)險(xiǎn)的過程。

1范圍 -它指定適用于任何類型，規(guī)?；蛐再|(zhì)的組織的通用ISMS要求。

2規(guī)范性引用文件 -僅 ISO / IEC 27000被視為對'27001'的用戶絕對必要：其余的ISO27k標(biāo)準(zhǔn)是可選的。

3術(shù)語和定義 -參見 ISO / IEC 27000。

4組織的上下文-了解組織的上下文，“利益相關(guān)方”的需求和期望并定義ISMS的范圍。第4.4節(jié)非常明確地指出“組織應(yīng)建立，實(shí)施，維護(hù)和持續(xù)改進(jìn)” ISMS。

5領(lǐng)導(dǎo)力 -最高管理者必須表現(xiàn)出對ISMS，授權(quán)政策的領(lǐng)導(dǎo)力和承諾，并分配信息安全角色，職責(zé)和權(quán)限。

6計(jì)劃 -概述識別，分析和計(jì)劃處理信息風(fēng)險(xiǎn)的過程，并闡明信息安全的目標(biāo)。

7支持 -必須分配足夠的主管資源，提高意識，準(zhǔn)備并控制文檔。

8操作 -有關(guān)評估和處理信息風(fēng)險(xiǎn)，管理變更以及記錄事物的更多詳細(xì)信息（部分以便可以由認(rèn)證審核員進(jìn)行審核）。

9績效評估 -監(jiān)視，衡量，分析和評估/審核/審查信息安全控制，流程和管理系統(tǒng)，并在必要時(shí)進(jìn)行系統(tǒng)改進(jìn)。

10改進(jìn) -解決審核和評審的結(jié)果（例如，不合格和糾正措施），對ISMS進(jìn)行持續(xù)改進(jìn)。

附件A參考控制目標(biāo)和控件 -實(shí)際上只不過是 ISO / IEC 27002中控制部分標(biāo)題的列表而已。該附件是“規(guī)范性的”，這意味著希望認(rèn)證的組織使用該附件，但主體表示，它們可以偏離或補(bǔ)充該附件，以解決其特定的信息風(fēng)險(xiǎn)。僅附件A很難解釋。請參閱ISO / IEC 27002，以獲得有關(guān)控件的更有用的詳細(xì)信息，包括實(shí)施指南。

介紹五個(gè)相關(guān)標(biāo)準(zhǔn)，以及ISO / IEC指令的第1部分，以獲取更多信息。此外，在標(biāo)準(zhǔn)主體中將 ISO 27000標(biāo)識為規(guī)范性（即必不可少的）標(biāo)準(zhǔn)，并且在風(fēng)險(xiǎn)管理方面有多個(gè)對ISO 31000的引用。

認(rèn)證的強(qiáng)制性要求

ISO27001是ISMS的正式規(guī)范，具有兩個(gè)不同的目的：

它列出了ISMS的設(shè)計(jì)，在相當(dāng)高的層次上描述了重要部分。

可以（可選）將其用作經(jīng)認(rèn)證的審核員進(jìn)行正式合規(guī)性評估的基礎(chǔ)，以認(rèn)證組織合規(guī)性。

認(rèn)證明確需要以下強(qiáng)制性文件：

ISMS范圍

信息安全政策

信息風(fēng)險(xiǎn)評估程序

信息風(fēng)險(xiǎn)處理流程

信息安全目標(biāo)

從事信息安全工作的人員的能力證明

組織認(rèn)為必要的其他與ISMS相關(guān)的文件

運(yùn)作計(jì)劃和控制文件

的結(jié)果的[信息]風(fēng)險(xiǎn)評估

關(guān)于[信息]風(fēng)險(xiǎn)處理的決定

監(jiān)視和衡量信息安全的證據(jù)

ISMS內(nèi)部審核計(jì)劃和審核結(jié)果

ISMS最高管理層審查的證據(jù)

識別出不合格的證據(jù)，并采取糾正措施

其他各種： 附件A提及但未充分說明進(jìn)一步的文檔，包括可接受的資產(chǎn)使用規(guī)則，訪問控制策略，操作程序，機(jī)密性或保密協(xié)議，安全系統(tǒng)工程原理，供應(yīng)商關(guān)系的信息安全策略，信息安全事件響應(yīng)程序，相關(guān)法律，法規(guī)和合同義務(wù)以及相關(guān)的合規(guī)性程序和信息安全連續(xù)性程序。但是，盡管附件A是規(guī)范性的，但組織并沒有正式要求采用和遵守附件A：它們可以使用其他結(jié)構(gòu)和方法來處理其信息風(fēng)險(xiǎn)。

認(rèn)證審核員幾乎可以肯定會(huì)檢查以下十五種文件是否存在：（a）是否存在，以及（b）是否適合目的。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202403/ccaa_61652.html