ISO 27001是一个信息安全管理体系规范。它使用的词汇像“应该”和“必须”。它规定我们的需求。它是对其中第一、第二和第三方的审计进行规范的。 第一方的审计是一个组织对该组织自己的行为进行审核,即自审。第二方审计的工作由一个合作组织进行,这个合作组织通常是有一些商业关系的合作伙伴。第三方审计是由独立的第三方进行,如认证机构或外部审计师。 实施细则或一套指引,使用的字眼例如“可以”和“建议”,它允许单个的组织机构选择执行哪些标准元素,和不执行哪些。这种内在的元素可选择性意味着ISO 27002并不适合为审计提供坚实的标准。而在这方面,ISO27001就不提供任何回旋余地。 任何实施ISMS的并且希望得到ISO 27001评审的组织,将必需遵守这个标准中的规格。 作为一个通用的规则,实施了以ISO 27001为基础的ISMS的组织需要密切注意该标准本身的措辞,并要密切注意它的任何修改。与官方修改的任何不符,通常发生在3年和5年的认证周期内,将会影响到现有的认证。 恰当的第一步是获取和阅读ISO 27001的副本。副本可从ISO网站或国家标准机构购买。 |
上一篇:ISO27000涉及的五个工作