5.1.2標準的要求部分

ISO/IEC 27001：2005標準正文的第4章、第5章、第6章、第7章和第8章定義了一組信息安全要求。由于在原版本（英文）ISO/IEC 27001：2005標準中，這些信息安全要求都通過使用一個英語助動詞“shall”引出，因此，又稱為“shall”要求。這些要求是“強制性要求”和基于過程的要求。

組織要按照這些要求和其業(yè)務(wù)的需要建立其ISMS。任何審核（包括第一方、第二方和第三方）也要按照這些要求，審核組織的ISMS。特別是第三方（認證機構(gòu)），在審核ISMS和確定可否頒發(fā)證書時，ISO/IEC 27001：2005標準中的“shall”要求應(yīng)成為主要的審核準則。本章所關(guān)注的正是這些要求的符合性審核。

ISO/IEC 27001：2005標準要求組織使用“PDCA”過程模式開發(fā)其ISMS（見“4.1 總要求”）。而ISO/IEC 27001：2005標準本身也是按照“PDCA”過程模式組織其內(nèi)容（第4～8章）：

1)第4章“信息安全管理體系(ISMS)”

主要內(nèi)容是對組織如何建立信息安全管理體系( ISMS)和相關(guān)活動的要求。顯然，這些要求屬于“P”（Plan，計劃）階段的要求，即組織要按照這些要求，建成其ISMS。

2)第5章“管理職責”

主要內(nèi)容是要求管理者做出管理承諾、提供足夠的資源和人員培訓等。這些要求是對ISMS實施與運行方面的要求，屬于“D”（Do，實施與運行）階段的要求，即組織要按照這些要求，實施與運行其ISMS。

3)第6章“內(nèi)部ISMS審核”和第7章“ISMS的管理評審”

主要內(nèi)容是對ISMS執(zhí)行檢查方面的要求，屬于“C”（Check，檢查）階段的要求， 即組織要按照這些要求，對其ISMS執(zhí)行監(jiān)視和評審。

4)第8章“ISMS改進”

主要內(nèi)容是對組織如何改進其ISMS方面的要求，屬于“A”（Act，行動）階段的要求，即組織要按照這些要求，采取行動，改進其ISMS。