标准的附录部分

5.1.3 标准的附录部分

附录A列出许多详细的控制目标和控制措施，可供组织进行信息资产风险处理时选择使用。这些可供选用的控制措施也称为控制要求( control requirements)。组织在建立ISMS时，要选择“附录A”所列的控制目标和控制措施。附录A属于规范性的附录，是IS()/IEC 27001: 2005标准要求组织要使用的附录。附录A的符合性审核也十分重要。这将在第6章“控制目标和控制措施的符合性审核”再详细介绍。

附录B和附录C展示IS()/IEC 27001: 2005标准与其他相关标准（或指南）之间的对应关系。其内容十分简单，易读、易理解，读者只要花很少时间阅读后，就会明白和了解到相关信息。由于这两个附录只起着提供信息的作用，属于信息性附录，不是标准的要求，与审核没有多大的关系。