66 66 организации се очаква да го използват, но те са свободни да се отклоняват или да го допълват, за да отговорят на специфичните информационни рискове.
Библиография – включва петте свързани стандарта заедно с част 1 на директивите ISO/IEC, за повече информация.
В допълнение ISO/IEC 27000 присъства в стандарта като нормативен
(основен) стандарт и има няколко позовавания на ISO 31000 за управление на риска.
Задължителни изисквания за сертифициране. ISO/IEC 27001 е формализирана спецификация за СУИС с две различни цели:
определя на високо ниво какво може да направи дадена организация, за да въведе системата за управление на информационната сигурност ;
може (по избор) да бъде използвана като основа за официална оценка на съответствието от акредитирани одитори за сертифициране, за да бъде сертифицирана организацията.
За сертифициране е изрично необходима следната задължителна документация (документирана информация в понятийния апарат на стандарта):
1.Обхват на СУИС.
2.Политика за сигурност на информацията.
3.Процес на оценка на информационния риск (клауза 6.1.2).
4.Процес на третиране на информационния риск (клауза 6.1.3).
5.Цели на информационната сигурност (клауза 6.2).
6. Доказателство за
компетентността на хората, работещи в областта на информационната сигурност (клауза 7.2).
7. Други документи, свързани със СУИС, които организацията смята за необходими (клауза 7.5.1б).
8.Документи за оперативно планиране и контрол (клауза 8).
9.Резултати от оценките на риска (клауза 8.2).
10.Решения относно третирането на риска (клауза 8.3).
11. Доказателства за мониторинга и измерването на информационната сигурност (клауза 9.1).
12.Програма за вътрешен одит на СУИС и резултати от проведените одити
(клауза 9.2).
13.Доказателства за прегледи от ръководството на СУИС (клауза 9.3).
14. Доказателство за установени несъответствия и възникнали коригиращи действия (клауза 10.1).
15. Различни други: Приложение А,
което е нормативно, посочва, но не уточнява напълно допълнителната документация, включително правилата за приемливо използване на активите, политиката за контрол на достъпа, оперативните процедури, конфиденциалността
или споразуменията за