本文件提供了評估信息安全控制措施的實施與運行及評估過程指導(dǎo)，包括對信息系統(tǒng)控制措施的技術(shù)性評估，該評估基于組織所建立的信息安全要求及技術(shù)性評估準則。本文件在如何評估由ISO/IEC 27001規(guī)定的信息安全管理體系所管理的信息安全控制措施方面提供指南。本文件適用于各種類型和規(guī)模的組織開展信息安全評估和技術(shù)符合性檢查。