4.3 規范要求的標準

4.3 規范要求的標準

4.3.1　ISO/IEC 27001｜GB/T 22080

信息技術　安全技術　信息安全管理體系　要求

范圍：該標準規范在組織整體業務風險的語境下建立、實施、運行、監視、評審、保持和改進正式信息安全管理體系（ISMS）的要求。它規范可被用來定制以滿足單個組織或其部門需要的信息安全控制的實現要求。該標準可被用于所有類型、規模和性質的組織。

目的：ISO/IEC 27001｜GB/T 22080為ISMS的開發和運行提供規范性要求，包括一套控制和降低信息資產相關風險的控制。組織通過運行ISMS尋求對其信息資產的保護。組織可以對其運行的ISMS的符合性進行審核和認證。作為ISMS過程的一部分，應從ISO/IEC 27001｜GB/T 22080附錄A中選擇對所識別要求適合的控制目標和控制。ISO/IEC 27001｜GB/T 22080附錄A.1中列出的控制目標和控制是直接來自ISO/IEC 27002｜GB/T 22081第5章至第18章并與其一致。

4.3.2　ISO/IEC 27006｜GB/T 25067

信息技術　安全技術　信息安全管理體系審核認證機構的要求

范圍：該標準在ISO/IEC 17021｜GB/T 27021所含要求的基礎上，為依據ISO/IEC 27001｜GB/T 22080提供審核和ISMS認證的機構，規范要求并提供指南。它主要為依據ISO/IEC 27001｜GB/T 22080提供ISMS認證的認證機構的認可提供支持。

目的：ISO/IEC 27006｜GB/T 25067是對ISO/IEC 17021｜GB/T 27021的補充，提供對認證組織進行認可的要求，以此許可這些組織一貫地提供對ISO/IEC 27001｜GB/T 22080要求的符合性認證。