5.1.2标准的要求部分
ISO/IEC 27001:2005标准正文的第4章、第5章、第6章、第7章和第8章定义了一组信息安全要求。由于在原版本(英文)ISO/IEC 27001:2005标准中,这些信息安全要求都通过使用一个英语助动词“shall”引出,因此,又称为“shall”要求。这些要求是“强制性要求”和基于过程的要求。
组织要按照这些要求和其业务的需要建立其ISMS。任何审核(包括第一方、第二方和第三方)也要按照这些要求,审核组织的ISMS。特别是第三方(认证机构),在审核ISMS和确定可否颁发证书时,ISO/IEC 27001:2005标准中的“shall”要求应成为主要的审核准则。本章所关注的正是这些要求的符合性审核。
ISO/IEC 27001:2005标准要求组织使用“PDCA”过程模式开发其ISMS(见“4.1 总要求”)。而ISO/IEC 27001:2005标准本身也是按照“PDCA”过程模式组织其内容(第4~8章):
1)第4章“信息安全管理体系(ISMS)”
主要内容是对组织如何建立信息安全管理体系( ISMS)和相关活动的要求。显然,这些要求属于“P”(Plan,计划)阶段的要求,即组织要按照这些要求,建成其ISMS。
2)第5章“管理职责”
主要内容是要求管理者做出管理承诺、提供足够的资源和人员培训等。这些要求是对ISMS实施与运行方面的要求,属于“D”(Do,实施与运行)阶段的要求,即组织要按照这些要求,实施与运行其ISMS。
3)第6章“内部ISMS审核”和第7章“ISMS的管理评审”
主要内容是对ISMS执行检查方面的要求,属于“C”(Check,检查)阶段的要求, 即组织要按照这些要求,对其ISMS执行监视和评审。
4)第8章“ISMS改进”
主要内容是对组织如何改进其ISMS方面的要求,属于“A”(Act,行动)阶段的要求,即组织要按照这些要求,采取行动,改进其ISMS。