蜜臀AⅤ色欲AV浪潮夜夜嗨,久久精品国产精品亚洲蜜月,97免费人妻无码视频,97SE亚洲国产综合在线

GB/T22080-2008 ISO27001標準的應用范圍解析

2019/3/8 15:21:57 次

　　ISO27001標準的范圍包含1.1總則、1.2應用兩部分。

　　1.1　總則

　　【內容解析】

　　GB/T22080-2008標準規(guī)定了信息安全管理體系要求，任何類型的組織，無論是商業(yè)企業(yè)、政府機構以及非贏利組織，為了確保其核心業(yè)務活動的持續(xù)運營，客觀上都需要對相關信息資產的安全實行系統(tǒng)性的管理，因此，任何組織都可以采用本標準提供的模型建立、實施、運行、監(jiān)視、評審、保持和改進其信息安全管理體系。

　　ISO27001標準規(guī)定了建立、實施、保持和改進信息安全管理體系的要求，同時規(guī)定了采用控制措施實現(xiàn)組織的信息安全目標的要求，但如何實現(xiàn)這些要求，ISO27001標準并未提出具體的途徑和方法。而具體的實現(xiàn)途徑和方法，需要組織考慮其自身業(yè)務運營的內部和外部環(huán)境，依據(jù)相應的法律法規(guī)、顧客以及相關方的要求，予以適當?shù)脑O計，從而達到充分保護組織的信息資產的目的，并就組織保護其信息資產的能力，給予相關方信心。

　　因考慮使用ISO27001標準的組織的類型不同，對于“業(yè)務”一詞，不應狹義地從商業(yè)經營的立場上理解，而應理解為關系到組織的存在和發(fā)展的核心活動。

　　為組織設計信息安全管理體系的具體控制措施時，可參考GB/T22081-2008給出的具體方法指南。

　　1.2　應用

　　【內容解析】

　　ISO27001標準規(guī)定的要求是通用的，可以適用于各種類型、不同規(guī)模、不同業(yè)務性質的組織。但因各類組織的業(yè)務性質和過程特點、復雜程度不同，也就是說，組織信息安全管理體系的設計和實施除了滿足ISO27001標準的要求外，還應符合組織的實際情況。

　　ISO27001標準的要求可以用作第一方審核和第二方審核的依據(jù)。當標準用作第一、二方審核的依據(jù)時，可以根據(jù)組織最高管理者和顧客的需要，刪減由于組織及其業(yè)務性質特點而不適用的ISO27001標準的任何要求。但是，當刪減的內容超出了原則的前提下，不能聲稱符合標準。當ISO27001標準用作第三方審核的依據(jù)時，組織的信息安全管理體系應該滿足ISO27001標準要求，因此，刪減也應該滿足原則的前提，并且在適用性聲明文件中要明確刪減的范圍。

　　刪減的原則的前提指：

　　1)對于第4章、第5章、第6章、第7章和第8章的要求不能刪減;

　　2)為了滿足風險接受準則必要的進行的任何控制措施的刪減，必須證明是合理的，且需要提供證據(jù)證明相關風險已被負責人員接受;

　　3)刪減不影響組織滿足由風險評估和適用法律法規(guī)要求所確定的安全要求的能力和/或責任。