ISO/IEC 27001:2013标准 正文 1 范围
1 范围

本标准从组织环境的角度,为建立、实施、运行、保持和持续改进信息安全管理体系规定了要求1

本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求2。本标准规定的要求是通用的,适用于各种类型、规模和特性的组织3。组织声称符合本标准时,对于第4 章到第10 章的要求不能删减4

标准解析

  1. ISO/IEC 27001:2013并非强制性要求,仅为有以下需求的组织提供了建立、实施、保持和持续改进信息安全管理体系的要求指导:a)组织需要证实自己具备稳定地提供满足顾客信息安全要求和适用信息安全法律法规要求的产品和服务的能力;b)组织希望通过信息安全管理体系的有效应用,包括确定信息安全管理体系所涉及的过程以及保证符合顾客和适用法律法规的信息安全要求,增强顾客满意度。
  2. 标准条款“6.1.2 信息安全风险评估、6.1.3 信息安全风险处置、8.2 信息安全风险评估以及8.3 信息安全风险处置”,要求采用本标准的组织必须根据组织自身的情况,建立信息安全风险评估流程,进行风险评估和风险处置。
  3. 本标准的要求,是通用的,可以适用于各种类型、不同规模和提供各种产品或服务的组织。但是达到标准要求的方法、途径和措施会因组织的需要和目标、安全要求、所采用的过程以及组织的规模和结构而不同。也就是说,信息安全管理体系的策划和实施除了满足标准的要求外,还应符合组织的实际情况,这一点,尤为重要。
  4. 当一个组织完全按照ISO/IEC 27001:2013标准要求建立信息安全管理体系时,正文第4章至第10章的任何条款都不能删除,这一点跟其他体系新版的标准要求是一样的。但是附录A中的要求是可以根据组织实际需要进行选择性实施的。