1 范围

1 范围

本文件规定了在组织的环境下建立、运行、维护、持续改进信息安全管理体系的要求。本文件还包括根据组织需求裁切的信息安全风险评估和处理的要求。本文件中所列的要求是通用的,适用于各种类型、规模和性质的组织。组织声称符合本文件时,不能排除第 4 章到第 10 章中所规定的任何要求。

【标准理解】

(1)ISO/IEC 27001: 2022包含了建立,运行,维护和改进信息安全管理体系的全部要求,如ISO/IEC 27001: 2022正文部分条款;

(2)ISO/IEC 27001: 2022还包含了附录A,其中93个控制项,组织可以根据风险评估的情况对其进行选择和裁切,并形成适用性声明(SOA);

(3)ISO/IEC 27001: 2022是通用的,可以适用于各类型的组织,既可以用于各类企业,也可以用于政府部门,或公共事业组织,如医院等;

(4)ISO/IEC 27001: 2022附录A中的93个控制项,组织可以根据自身情况,进行选择和裁切,但对于ISO/IEC 27001: 2022正文部分4-10中的所有要求都不能排除,否则,就不能满足ISO/IEC 27001: 2022要求。