GB/T22080-2008即ISO27001标准的应用范围解析

1.1 总则

【内容解析】

GB/T22080-2008标准规定了信息安全管理体系要求,任何类型的组织,无论是商业企业､政府机构以及非赢利组织,为了确保其核心业务活动的持续运营, 客观上都需要对相关信息资产的安全实行系统性的管理,因此,任何组织都可以采用本GB/T22080-2008标准提供的模型建立､实施､运行､监视､评审､保持和改进其GB/T22080-2008信息安全管理体系｡

ISO27001标准规定了建立､实施､保持和改进GB/T22080-2008信息安全管理体系的要求,同时规定了采用控制措施实现组织的信息安全目标的要求,但如何实现这些要求,ISO27001标准并未提出具体的途径和方法｡而具体的实现途径和方法,需要组织考虑其自身业务运 营的内部和外部环境,依据相应的法律法规､顾客以及相关方的要求,予以适当的设计,从而达到充分保护组织的信息资产的目的,并就组织保护其信息资产的能 力,给予相关方信心｡

因考虑使用ISO27001标准的组织的类型不同,对于业务一词,不应狭义地从商业经营的立场上理解,而应理解为关系到组织的存在和发展的核心活动｡

为组织设计GB/T22080-2008信息安全管理体系的具体控制措施时,可参考GB/T22081-2008给出的具体方法指南｡

1.2 应用

【内容解析】

ISO27001标准规定的要求是通用的,可以适用于各种类型､不同规模､不同业务性质的组织｡但因各类组织的业务性质和过程特点､复杂程度不同,也就是说,组织信息安全管理体系的设计和实施除了满足ISO27001标准的要求外,还应符合组织的实际情况｡

ISO27001标准的要求可以用作第一方审核和第二方审核的依据｡当标准用作第一､二方审核的依据时,可以根据组织最高管理者和顾客的需要,删减由于组织及其业务性质特点而不适用的ISO27001标准的任何要求｡但是,当删减的内容超出了原则的前提下,不能声称符合标准｡当ISO27001标准用作第三方审核的依据时,组织的信息安全管理体系应该满足ISO27001标准要求,因此,删减也应该满足原则的前提,并且在适用性声明文件中要明确删减的范围｡

删减的原则的前提指:

1)对于第4章､第5章､第6章､第7章和第8章的要求不能删减;

2)为了满足风险接受准则必要的进行的任何控制措施的删减,必须证明是合理的,且需要提供证据证明相关风险已被负责人员接受;

3)删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任｡