Question 1

ISO 27001是什么，其范围是什么？

Accepted Answer

ISO 27001是信息安全管理体系(ISMS)的国际标准。它定义了建立、实施、维护和持续改进信息资产保护的要求。

Question 2

哪些类型的组织需要ISO 27001？

Accepted Answer

任何管理敏感信息的组织：科技公司、金融机构、医疗保健提供者、政府机构以及处理第三方数据的服务提供商。

Question 3

ISO 27001初步评估需要多长时间？

Accepted Answer

典型的差距诊断需要5到20个工作日，具体取决于组织规模、信息资产数量和技术基础设施的复杂性。

Question 4

ISO 27001的评估方法是什么？

Accepted Answer

针对附录A的93项控制措施（2022版）进行差距分析，审查适用性声明，进行风险评估，并按照ISO 19011验证文件证据。

Question 5

客户在ISO 27001评估中会收到哪些交付成果？

Accepted Answer

客户会收到一份包含不符合项分类的发现报告、已评估的控制矩阵、残余风险分析以及带有建议补救时间表的行动计划。

Question 6

ISO 27001与其他标准有什么关系？

Accepted Answer

ISO 27001与ISO 27701（隐私）、ISO 22301（连续性）和ISO 42001（AI）直接集成。它与ISO 9001共享附录SL结构，可进行多标准综合审计。

Question 7

信息安全中最常见的发现是什么？

Accepted Answer

常见发现包括访问管理不善、缺少资产分类、未测试的连续性计划以及缺乏已实施控制措施的有效性指标。

Question 8

在ISO 27001评估之前建议做哪些准备？

Accepted Answer

建议准备更新的信息资产清单、文档化的风险评估和初步适用性声明。指定ISMS负责人至关重要。

常见问题：ISO 27001审计 — 信息安全管理体系

ISO 27001是什么，其范围是什么？