5.1.3 標(biāo)準(zhǔn)的附錄部分

附錄A列出許多詳細(xì)的控制目標(biāo)和控制措施，可供組織進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)處理時(shí)選擇使用。這些可供選用的控制措施也稱為控制要求( control requirements)。組織在建立ISMS時(shí)，要選擇“附錄A”所列的控制目標(biāo)和控制措施。附錄A屬于規(guī)范性的附錄，是IS()/IEC 27001: 2005標(biāo)準(zhǔn)要求組織要使用的附錄。附錄A的符合性審核也十分重要。這將在第6章“控制目標(biāo)和控制措施的符合性審核”再詳細(xì)介紹。

附錄B和附錄C展示IS()/IEC 27001: 2005標(biāo)準(zhǔn)與其他相關(guān)標(biāo)準(zhǔn)（或指南）之間的對(duì)應(yīng)關(guān)系。其內(nèi)容十分簡(jiǎn)單，易讀、易理解，讀者只要花很少時(shí)間閱讀后，就會(huì)明白和了解到相關(guān)信息。由于這兩個(gè)附錄只起著提供信息的作用，屬于信息性附錄，不是標(biāo)準(zhǔn)的要求，與審核沒(méi)有多大的關(guān)系。