5.1.3 标准的附录部分
附录A列出许多详细的控制目标和控制措施,可供组织进行信息资产风险处理时选择使用。这些可供选用的控制措施也称为控制要求( control requirements)。组织在建立ISMS时,要选择“附录A”所列的控制目标和控制措施。附录A属于规范性的附录,是IS()/IEC 27001: 2005标准要求组织要使用的附录。附录A的符合性审核也十分重要。这将在第6章“控制目标和控制措施的符合性审核”再详细介绍。
附录B和附录C展示IS()/IEC 27001: 2005标准与其他相关标准(或指南)之间的对应关系。其内容十分简单,易读、易理解,读者只要花很少时间阅读后,就会明白和了解到相关信息。由于这两个附录只起着提供信息的作用,属于信息性附录,不是标准的要求,与审核没有多大的关系。