5.3.1 審核“4.1總要求”

“4.1總要求”是IS()/IEC 27001: 2005標準第4章的引言，概括地要求組織必須按照PDCA模型、根據組織的總業務活動和所面臨的風險，建立、實施、運行、監視、評審、保持和改進一個形成文件的ISMS。

5.3.2 審核“4.2建立和管理ISMS”

“4.2建立和管理ISMS”是定義ISMS的開發活動。ISMS的開發活動必須按照PD- CA模型進行，即要包括ISMS的定義與建立、實施與運行、監視與評審、保持與改進， 分別以4個條款描述，如下。

4.2 建立和管理ISMS(Establishing and managing the ISMS) 4.2.1 建立ISMS(Establish the ISMS)

4.2.2 實施和運行ISMS (Implement and operate the ISMS) 4.2.3 監視和評審ISMS( Monitor and review the ISMS)

4.2.4 保持和改進ISMS( Maintain and improve the ISMS)