5.1.2標(biāo)準(zhǔn)的要求部分

ISO/IEC 27001：2005標(biāo)準(zhǔn)正文的第4章、第5章、第6章、第7章和第8章定義了一組信息安全要求。由于在原版本（英文）ISO/IEC 27001：2005標(biāo)準(zhǔn)中，這些信息安全要求都通過使用一個(gè)英語助動(dòng)詞“shall”引出，因此，又稱為“shall”要求。這些要求是“強(qiáng)制性要求”和基于過程的要求。

組織要按照這些要求和其業(yè)務(wù)的需要建立其ISMS。任何審核（包括第一方、第二方和第三方）也要按照這些要求，審核組織的ISMS。特別是第三方（認(rèn)證機(jī)構(gòu)），在審核ISMS和確定可否頒發(fā)證書時(shí)，ISO/IEC 27001：2005標(biāo)準(zhǔn)中的“shall”要求應(yīng)成為主要的審核準(zhǔn)則。本章所關(guān)注的正是這些要求的符合性審核。

ISO/IEC 27001：2005標(biāo)準(zhǔn)要求組織使用“PDCA”過程模式開發(fā)其ISMS（見“4.1 總要求”）。而ISO/IEC 27001：2005標(biāo)準(zhǔn)本身也是按照“PDCA”過程模式組織其內(nèi)容（第4～8章）：

1)第4章“信息安全管理體系(ISMS)”

主要內(nèi)容是對(duì)組織如何建立信息安全管理體系( ISMS)和相關(guān)活動(dòng)的要求。顯然，這些要求屬于“P”（Plan，計(jì)劃）階段的要求，即組織要按照這些要求，建成其ISMS。

2)第5章“管理職責(zé)”

主要內(nèi)容是要求管理者做出管理承諾、提供足夠的資源和人員培訓(xùn)等。這些要求是對(duì)ISMS實(shí)施與運(yùn)行方面的要求，屬于“D”（Do，實(shí)施與運(yùn)行）階段的要求，即組織要按照這些要求，實(shí)施與運(yùn)行其ISMS。

3)第6章“內(nèi)部ISMS審核”和第7章“ISMS的管理評(píng)審”

主要內(nèi)容是對(duì)ISMS執(zhí)行檢查方面的要求，屬于“C”（Check，檢查）階段的要求， 即組織要按照這些要求，對(duì)其ISMS執(zhí)行監(jiān)視和評(píng)審。

4)第8章“ISMS改進(jìn)”

主要內(nèi)容是對(duì)組織如何改進(jìn)其ISMS方面的要求，屬于“A”（Act，行動(dòng)）階段的要求，即組織要按照這些要求，采取行動(dòng)，改進(jìn)其ISMS。