GB/T22080-2008即ISO27001標(biāo)準(zhǔn)的應(yīng)用范圍解析
ISO27001標(biāo)準(zhǔn)的范圍包含1.1總則?1.2應(yīng)用兩部分?
1.1 總則
【內(nèi)容解析】
GB/T22080-2008標(biāo)準(zhǔn)規(guī)定了信息安全管理體系要求,任何類型的組織,無論是商業(yè)企業(yè)?政府機(jī)構(gòu)以及非贏利組織,為了確保其核心業(yè)務(wù)活動(dòng)的持續(xù)運(yùn)營(yíng), 客觀上都需要對(duì)相關(guān)信息資產(chǎn)的安全實(shí)行系統(tǒng)性的管理,因此,任何組織都可以采用本GB/T22080-2008標(biāo)準(zhǔn)提供的模型建立?實(shí)施?運(yùn)行?監(jiān)視?評(píng)審?保持和改進(jìn)其GB/T22080-2008信息安全管理體系?
ISO27001標(biāo)準(zhǔn)規(guī)定了建立?實(shí)施?保持和改進(jìn)GB/T22080-2008信息安全管理體系的要求,同時(shí)規(guī)定了采用控制措施實(shí)現(xiàn)組織的信息安全目標(biāo)的要求,但如何實(shí)現(xiàn)這些要求,ISO27001標(biāo)準(zhǔn)并未提出具體的途徑和方法?而具體的實(shí)現(xiàn)途徑和方法,需要組織考慮其自身業(yè)務(wù)運(yùn) 營(yíng)的內(nèi)部和外部環(huán)境,依據(jù)相應(yīng)的法律法規(guī)?顧客以及相關(guān)方的要求,予以適當(dāng)?shù)脑O(shè)計(jì),從而達(dá)到充分保護(hù)組織的信息資產(chǎn)的目的,并就組織保護(hù)其信息資產(chǎn)的能 力,給予相關(guān)方信心?
因考慮使用ISO27001標(biāo)準(zhǔn)的組織的類型不同,對(duì)于“業(yè)務(wù)”一詞,不應(yīng)狹義地從商業(yè)經(jīng)營(yíng)的立場(chǎng)上理解,而應(yīng)理解為關(guān)系到組織的存在和發(fā)展的核心活動(dòng)?
為組織設(shè)計(jì)GB/T22080-2008信息安全管理體系的具體控制措施時(shí),可參考GB/T22081-2008給出的具體方法指南?
1.2 應(yīng)用
【內(nèi)容解析】
ISO27001標(biāo)準(zhǔn)規(guī)定的要求是通用的,可以適用于各種類型?不同規(guī)模?不同業(yè)務(wù)性質(zhì)的組織?但因各類組織的業(yè)務(wù)性質(zhì)和過程特點(diǎn)?復(fù)雜程度不同,也就是說,組織信息安全管理體系的設(shè)計(jì)和實(shí)施除了滿足ISO27001標(biāo)準(zhǔn)的要求外,還應(yīng)符合組織的實(shí)際情況?
ISO27001標(biāo)準(zhǔn)的要求可以用作第一方審核和第二方審核的依據(jù)?當(dāng)標(biāo)準(zhǔn)用作第一?二方審核的依據(jù)時(shí),可以根據(jù)組織最高管理者和顧客的需要,刪減由于組織及其業(yè)務(wù)性質(zhì)特點(diǎn)而不適用的ISO27001標(biāo)準(zhǔn)的任何要求?但是,當(dāng)刪減的內(nèi)容超出了原則的前提下,不能聲稱符合標(biāo)準(zhǔn)?當(dāng)ISO27001標(biāo)準(zhǔn)用作第三方審核的依據(jù)時(shí),組織的信息安全管理體系應(yīng)該滿足ISO27001標(biāo)準(zhǔn)要求,因此,刪減也應(yīng)該滿足原則的前提,并且在適用性聲明文件中要明確刪減的范圍?
刪減的原則的前提指:
1)對(duì)于第4章?第5章?第6章?第7章和第8章的要求不能刪減;
2)為了滿足風(fēng)險(xiǎn)接受準(zhǔn)則必要的進(jìn)行的任何控制措施的刪減,必須證明是合理的,且需要提供證據(jù)證明相關(guān)風(fēng)險(xiǎn)已被負(fù)責(zé)人員接受;
3)刪減不影響組織滿足由風(fēng)險(xiǎn)評(píng)估和適用法律法規(guī)要求所確定的安全要求的能力和/或責(zé)任?


LED照明燈具要做那些認(rèn)證？
到哪可以代辦14001環(huán)境認(rèn)證要多久
貴州如何代辦ISO9001質(zhì)量管理體系
ISO9001認(rèn)證中客戶滿意的維度三
高風(fēng)險(xiǎn)醫(yī)療器械管理制度
深圳辦理ISO9001認(rèn)證更全指南
BSCI驗(yàn)廠現(xiàn)場(chǎng)審核會(huì)檢查哪些方面的內(nèi)容