ISO27001标准的应用范围解析

ISO27001标准的应用范围解析

ISO27001标准的范围包含1.1总则、1.2应用两部分。

1.1　总则

【内容解析】

ISO27001标准规定了信息安全管理体系要求，任何类型的组织，无论是商业企业、政府机构以及非赢利组织，为了确保其核心业务活动的持续运营， 客观上都需要对相关信息资产的安全实行系统性的管理，因此，任何组织都可以采用本标准提供的模型建立、实施、运行、监视、评审、保持和改进其信息安全管理 体系。

ISO27001标准规定了建立、实施、保持和改进信息安全管理体系的要求，同时规定了采用控制措施实现组织的信息安全目标的要求，但如何实现这些要求，ISO27001标准并未提出具体的途径和方法。而具体的实现途径和方法，需要组织考虑其自身业务运 营的内部和外部环境，依据相应的法律法规、顾客以及相关方的要求，予以适当的设计，从而达到充分保护组织的信息资产的目的，并就组织保护其信息资产的能 力，给予相关方信心。

因考虑使用ISO27001标准的组织的类型不同，对于“业务”一词，不应狭义地从商业经营的立场上理解，而应理解为关系到组织的存在和发展的核心活动。

为组织设计信息安全管理体系的具体控制措施时，可参考GB/T22081-2008给出的具体方法指南。

1.2　应用

【内容解析】

ISO27001标准规定的要求是通用的，可以适用于各种类型、不同规模、不同业务性质的组织。但因各类组织的业务性质和过程特点、复杂程度不同，也就是说，组织信息安全管理体系的设计和实施除了满足ISO27001标准的要求外，还应符合组织的实际情况。

ISO27001标准的要求可以用作第一方审核和第二方审核的依据。当标准用作第一、二方审核的依据时，可以根据组织最高管理者和顾客的需要，删减由于组织及其业务性质特点而不适用的ISO27001标准的任何要求。但是，当删减的内容超出了原则的前提下，不能声称符合标准。当ISO27001标准用作第三方审核的依据时，组织的信息安全管理体系应该满足ISO27001标准要求，因此，删减也应该满足原则的前提，并且在适用性声明文件中要明确删减的范围。

删减的原则的前提指：

（1）对于第4章、第5章、第6章、第7章和第8章的要求不能删减；

（2）为了满足风险接受准则必要的进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受；

（3）删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任。

临沂艾迪商务服务有限公司于 2006 年注册成立，本着为“根直沂蒙大地，服务全国各地，专业iso认证，iso900认证，iso9001认证iso14000认证，OHS18000认证为企业服务”的主导思想，站在时代的前沿，把握经济信息脉搏，依托自身优势资源，集网络各地信息渠道的有利形式，为企业从“注册公司，创建品牌以及企业管理，网站建设，资质认证，品牌代理等一系列策划工作，经过多年运作经验的积累，中心已经与多家商会，协会及企事业单位建立了良好的合作伙伴关系，以提供”更优质，快捷，多方
位服务来满足广大国内外中小企业客商的需求；已为来自全球多个国家和地区的万余家中外客户，提供了多种形式及内容不同的企划、咨询顾问及代理服务，现代化的通讯工具， 24 小时的呼叫中心，中英文客户服务实时解答您所遇到的疑难问题，全国各地的连锁服务，让您感受到艾迪人，时刻在您的身边，倾听您的呼唤，解决您的所需；以以诚相待，诚信经营，服务第一，满足客户全方位需求并成为您成功的战略合作伙伴来作为我们服务的最终目标；争创“一站式”企业商务服务品牌；把“控制成本，降
低费用，挖掘潜力，提高效益”作为经营目标，越来越多的企业和个人成为艾迪的客户，亦有艾迪协助国内客商走向世界的成功案例；为谋求海外发展的中国内地企业提供全程商务服务，并成为贵公司前进道路过程中的服务商，我们珍重并以真诚回报您给予的信任和期待，将以专业化的服务来解决企业发展过程中存在的疑难问题，助企业一臂之力。