ISO27001标准简介

    该标准分为三个部分，分别为引言、正文和附录。

    引言介绍了建立信息安全管理体系(简称ISMS)的意义和原则；描述了体系建设过程中使用的过程方法和PDCA模型}说明了ISMS与其他管理体系的兼容性。

    正文的前三章介绍了标准的基本情况和涉及的术语和定义，从第四章开始，正式提出了ISMS的要求。标准也指出：“组织声称符合本标准时，对于第4章、第5章、第6章、第7章和第8章的要求不能删减。”

    标准有3个附录，其中附录A是规范性附录，根据标准要求，依据附录A的控制目标和控制措施的选择和实施是标准正文的一部分。

    ISO27001的审核依据主要集中在标准的第4到第8章和附录A。

ISMS审核内容

    标准的正文采用了PDCA模型，并将该模型应用于ISMS的所《认证技术》9011·05有过程中。

    ISMS的提出是源于最佳实践，在附录A中给出的39个控制目标和133条控制措施，涉及信息安全的11个方面。得到了世界上绝大多数国家的认同。控制措施的选择和实施是ISMS建设很重要的一部分。标准利用PDCA模型，通过风险管理等方法将附录A中的133条控制措施串联起来，形成一个有机的整体。

    在实际审核过程中，通常会采用系统的方式对组织建立的ISMS进行审查，不同的审核人员采用的审核方法都可能存在着一定差别，在这里仅介绍一下“方法论”的审核方式。

“方法论”审核的方式

    哲学上的方法论是指人们认识世界、改造世界的一般方法，是指人们用什么样的方式、方法来观察事物和处理问题。简单地说就是发现问题，分解问题，解决问题，检查问题，改进问题。

    所谓方法论”审核方式是指对整个ISMS的实施情况按照方法论的步骤进行审核。其实ISO27001正是提出了一个信息安全管理的方法论：发现问题(建立信息安全方针、目标和范围)，分解问题(风险评估)，解决问题(风险处理、控制措施选择实施)，检查问题(监视、测量和评审)，改进问题(保持和改进)。将这些过程串起来，再加上证据维护(文件管理)和资源保障(管理职责)即构成完整的ISMS体系建立和管理过程。

    在上述审核过程中，每个环节各有侧重点。

   ISO27001标准中规定的要求是通用的，适用于各种类型、规模和业务特性的组织。当本标准的任何要求因组织及其业务特性而不适用时，可以考虑进行删减。组织声称符合本标准时，对于4、5、6、7、8章要求的删减不能接受。

   如果有删减，除非这些删减不影响组织提供信息安全满足风险评估和适用法规的要求和责任的能力，否则不能声称符合标准。删减的范围仅限于标准附录A中列举的控制，任何删减必须根据风险评估结果判断，证明删减的控制不是达到和保持信息安全要求所必需的。