FAQs

Pour les personnes qui étudient en autodidacte, il est presque impossible de le dire. Comme tous les candidats ont une expérience différente et une quantité de temps disponible pour l'étude variable, cela varie d'une personne à l'autre. Nous vous suggérons d'acheter le manuel et d'y jeter un coup d'œil par vous-même avant de décider combien de temps vous devez consacrer à l'apprentissage.

Pour ceux qui étudient avec un organisme de formation accrédité, les cours Foundation sont généralement dispensés sur 3 jours, tandis que les cours combinés Foundation et Practitioner sont généralement dispensés sur 5 jours. Il vaut la peine de se renseigner auprès des prestataires individuels, car certains offrent des solutions d'apprentissage sur mesure, en ligne ou mixtes.

Resumos da estrutura dos exames ISO/IEC 27001 Foundation, Practitioner Information Security Officer e Auditor estão abaixo:

Foundation

• Formato de múltipla escolha
• 50 questões por prova
• 25 pontos ou mais necessários para aprovação (de 50 disponíveis) – 50%
• Duração de 40 minutos
• Livro fechado.

Practitioner Information Security Officer

• Teste Objetivo
• 4 questões por prova com 20 pontos disponíveis por questão
• 40 pontos ou mais necessários para aprovação (de 80 disponíveis) – 50%
• Duração de 2 ½ horas
• Livro aberto.
• O exame deve ser realizado com o apoio apenas dos seguintes Padrões Britânicos,
  ISO/IEC 27000:2018
  ISO/IEC 27001:2022
  ISO/IEC 27002:2022
  ISO/IEC 27003:2017
  ISO/IEC 27005:2022

Auditor

• Exame de múltipla escolha, usando mini questões baseadas em cenários
• Prova de 40 questões
  • Prova Suplementar APMG ISO/IEC 27001
• A nota de aprovação para candidatos é 50% (20/40)
• Duração de 120 minutos
• Livro aberto restrito.
• Os seguintes documentos são permitidos durante o exame:

            ISO/IEC 27001:2013  

            ISO/IEC 27002:2013      

            ISO 19011:2018

ISO/IEC 27001 es un estándar internacional para la gestión de Seguridad de la Información. Proporciona un modelo para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la gestión de riesgos. Forma la base para la gestión efectiva de información sensible y confidencial y para la aplicación de controles de seguridad de la información.

Foundation

Podstawowymi źródłami odniesienia dla kwalifikacji Foundation są Normy Międzynarodowe:

• ISO/IEC 27001:2022 Technologie informatyczne -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji – Wymagania
• ISO/IEC 27000:2018 Technologie informatyczne -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji – Przegląd i słownictwo.

Inne odniesienia dotyczą:

• Uzupełniającego materiału referencyjnego dla Kwalifikacji ISO/IEC 27001.

Poziom Foundation wymaga znajomości wymagań zawartych w ISO/IEC 27001:2022 oraz terminów, definicji i koncepcji z ISO/IEC 27000:2018, a także informacji zawartych w uzupełniającym materiale referencyjnym zgodnie z tematem określonym w sylabusie. Niezbędne jest, aby wszyscy uczestnicy mieli dostęp do osobistej kopii ISO/IEC 27001:2022 oraz Uzupełniającego Materiału Referencyjnego podczas każdego kursu szkoleniowego. Uczestnicy powinni mieć dostęp do osobistej kopii ISO/IEC 27000:2018 lub do informacji z niego pochodzących, które są przywołane w tym sylabusie. Należy pamiętać, że egzamin odbywa się w systemie zamkniętej księgi. Podane odniesienia należy traktować jako orientacyjne, a nie wyczerpujące, tzn. mogą istnieć inne ważne odniesienia w ramach wytycznych.

W przypadku podstawowego odniesienia, odpowiednia część normy jest używana jako główna część odniesienia, po której następuje użyty numer sekcji, np. ISO/IEC 27001, 4.2 odnosi się do ISO/IEC 27001:2022 Klauzula 4.2.

Sylabus wymaga świadomości, ale nie wymaga szczegółowej znajomości innych norm, do których się odnosi:

• ISO 9001:2015, Systemy zarządzania jakością — Wymagania
• ISO/IEC 20000-1:2018, Technologie informatyczne – Zarządzanie usługami - Część 1: Wymagania dotyczące systemu zarządzania usługami
• ISO/IEC 27002:2022, Technologie informatyczne -- Techniki bezpieczeństwa -- Kodeks praktyk dla zarządzania bezpieczeństwem informacji
• ISO/IEC 27003:2017, Technologie informatyczne -- Techniki bezpieczeństwa -- Wytyczne dla systemów zarządzania bezpieczeństwem informacji
• ISO/IEC 27004:2016 Technologie informatyczne -- Techniki bezpieczeństwa -- Zarządzanie bezpieczeństwem informacji – Monitorowanie, Pomiary, Analiza i Ocena
• ISO/IEC 27005:2022, Technologie informatyczne -- Techniki bezpieczeństwa -- Zarządzanie ryzykiem bezpieczeństwa informacji
• ISO/IEC 27006:2015, Technologie informatyczne -- Techniki bezpieczeństwa -- Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji
• ISO/IEC 27013:2015, Technologie informatyczne -- Techniki bezpieczeństwa – Wytyczne dotyczące zintegrowanego wdrażania ISO/IEC 27001 i ISO/IEC 20000-1.

Practitioner Specjalista ds. Bezpieczeństwa Informacji

Podstawowymi źródłami odniesienia dla kursu Practitioner – Specjalista ds. Bezpieczeństwa Informacji są Normy Międzynarodowe:

• ISO/IEC 27001:2022 Technologie informatyczne -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji – Wymagania
• ISO/IEC 27000:2018 Technologie informatyczne -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji - Przegląd i słownictwo
• ISO/IEC 27002:2022, Technologie informatyczne -- Techniki bezpieczeństwa -- Kodeks praktyk dla kontroli bezpieczeństwa informacji
• ISO/IEC 27005:2022, Technologie informatyczne -- Techniki bezpieczeństwa -- Zarządzanie ryzykiem bezpieczeństwa informacji

Odniesienie jest robione do ISO/IEC 27003:2017, Technologie informatyczne -- Techniki bezpieczeństwa Wytyczne dotyczące wdrażania systemu zarządzania bezpieczeństwem informacji. Kandydaci nie potrzebują własnej kopii tej normy, ponieważ odpowiednie informacje są dostępne w Uzupełniającym materiale referencyjnym dla Kwalifikacji ISO/IEC 27001, Sekcje 5 i 6.

Kandydatom wolno mieć drukowaną lub cyfrową kopię norm wymienionych powyżej podczas egzaminu.

Tematy sylabusu na poziomach 3 i 4 podają podstawowe odniesienia, ale mogą również obejmować dowolny inny temat z obszaru sylabusu. Niezbędne jest, aby wszyscy uczestnicy mieli dostęp do osobistej kopii ISO/IEC 27001:2022 oraz Uzupełniającego Materiału Referencyjnego podczas każdego kursu szkoleniowego. Uczestnicy powinni mieć dostęp do osobistej kopii ISO/IEC 27002:2013 i ISO/IEC 27005:2022. Należy pamiętać, że egzamin odbywa się w systemie otwartej księgi.

Auditor

Podstawowymi źródłami odniesienia dla kursu ISO/IEC 27001 Auditor są Normy Międzynarodowe:

• ISO/IEC 27001:2022 Technologie informatyczne -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji – Wymagania
• ISO/IEC 27000:2018 Technologie informatyczne -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji - Przegląd i słownictwo
• ISO/IEC 27002:2022, Technologie informatyczne -- Techniki bezpieczeństwa -- Kodeks praktyk dla zarządzania bezpieczeństwem informacji
• ISO 19011:2018 Wytyczne dotyczące auditowania systemów zarządzania
• APMG ISO/IEC 27001 Materiał Uzupełniający

Inne odniesienia są robione do Uzupełniającego materiału referencyjnego dla Kwalifikacji ISO/IEC 27001.

Obowiązkowe jest, aby wszyscy uczestnicy mieli dostęp do osobistej kopii tych dokumentów podczas szkolenia i na Egzaminie.

Należy pamiętać, że egzaminy Auditor odbywają się w systemie otwartej księgi. Nie są dozwolone żadne indywidualne notatki związane z treścią w używanych normach.

Tematy sylabusu na poziomach 3 i 4 podają podstawowe odniesienia, ale mogą również obejmować dowolny inny temat z obszaru sylabusu.

Podane odniesienia należy traktować jako orientacyjne, a nie wyczerpujące, tzn. mogą istnieć inne ważne odniesienia w ramach wytycznych.

W przypadku podstawowego odniesienia, odpowiednia część normy jest używana jako główna część odniesienia, po której następuje użyty numer sekcji, np. ISO/IEC 27001, 4.2 odnosi się do ISO/IEC 27001:2013 Klauzula 4.2.

Summaries of the structure of the ISO/IEC 27001 Foundation, Practitioner Information Security Officer and Auditor examinations are below:

Foundation

• Multiple choice format
• 50 questions per paper
• 25 marks or more required to pass (out of 50 available) – 50%
• 40 minute duration
• Closed book.

Practitioner Information Security Officer

• Objective Testing
• 4 questions per paper with 20 marks available per question
• 40 marks or more required to pass (out of 80 available) – 50%
• 2 ½ hour duration
• Open book.
• The exam is to be taken with the support of only the following British Standards,
  ISO/IEC 27000:2018
  ISO/IEC 27001:2022
  ISO/IEC 27002:2022
  ISO/IEC 27003:2017
  ISO/IEC 27005:2022

Auditor

• Multiple choice exam, using mini scenario-based questions
• 40 question paper
  • APMG ISO/IEC 27001 Supplementary Paper
• The pass mark for candidates is 50% (20/40)
• 120 minute duration
• Restricted open book.
• The following documents are allowed during the exam:

            ISO/IEC 27001:2013  

            ISO/IEC 27002:2013      

            ISO 19011:2018

Foundation

Die primären Referenzen für die Foundation-Qualifikation sind die internationalen Standards:

• ISO/IEC 27001:2022 Informationstechnik -- Sicherheitsverfahren -- Informationssicherheitsmanagementsysteme – Anforderungen
• ISO/IEC 27000:2018 Informationstechnik -- Sicherheitsverfahren -- Informationssicherheitsmanagementsysteme – Überblick und Begriffe.

Weitere Verweise werden gemacht auf:

• Ergänzendes Referenzpapier für die ISO/IEC 27001-Qualifikation.

Das Foundation-Level erfordert Kenntnisse der Anforderungen in ISO/IEC 27001:2022 und der Begriffe, Definitionen und Konzepte in ISO/IEC 27000:2018 sowie Informationen aus dem ergänzenden Referenzpapier, wie im Lehrplanthema angegeben. Es ist unerlässlich, dass alle Teilnehmer während jeder Schulung Zugang zu einer persönlichen Kopie von ISO/IEC 27001:2022  und dem Ergänzenden Referenzpapier haben. Teilnehmer sollten Zugang zu einer persönlichen Kopie von ISO/IEC 27000:2018 oder zu den daraus in diesem Lehrplan referenzierten Informationen haben. Bitte beachten Sie, dass die Prüfung ohne Hilfsmittel stattfindet. Die bereitgestellten Referenzen sollten als indikativ und nicht als umfassend betrachtet werden, d.h. es können andere gültige Referenzen in den Richtlinien vorhanden sein.

Für die primäre Referenz wird der relevante Teil des Standards als Hauptteil der Referenz verwendet, gefolgt von der verwendeten Abschnittsnummer, z.B. ISO/IEC 27001, 4.2 bezieht sich auf ISO/IEC 27001:2022 Klausel 4.2.

Der Lehrplan erfordert ein Bewusstsein für andere referenzierte Standards, erfordert jedoch kein detailliertes Wissen über diese:

• ISO 9001:2015, Qualitätsmanagementsysteme — Anforderungen
• ISO/IEC 20000-1:2018, Informationstechnik – Service-Management - Teil 1: Anforderungen an Service-Management-Systeme
• ISO/IEC 27002:2022, Informationstechnik -- Sicherheitsverfahren -- Leitfaden für das Informationssicherheitsmanagement
• ISO/IEC 27003:2017, Informationstechnik -- Sicherheitsverfahren -- Leitfaden für Informationssicherheitsmanagementsysteme
• ISO/IEC 27004:2016 Informationstechnik -- Sicherheitsverfahren -- Informationssicherheitsmanagement – Überwachung, Messung, Analyse und Bewertung
• ISO/IEC 27005:2022, Informationstechnik -- Sicherheitsverfahren -- Informationssicherheits-Risikomanagement
• ISO/IEC 27006:2015, Informationstechnik -- Sicherheitsverfahren -- Anforderungen an Stellen, die Audit und Zertifizierung von Informationssicherheitsmanagementsystemen anbieten
• ISO/IEC 27013:2015, Informationstechnik -- Sicherheitsverfahren – Leitfaden für die integrierte Implementierung von ISO/IEC 27001 und ISO/IEC 20000-1.

Practitioner Information Security Officer

Die primären Referenzen für den Practitioner – Information Security Officer Kurs sind die internationalen Standards:

• ISO/IEC 27001:2022 Informationstechnik -- Sicherheitsverfahren -- Informationssicherheitsmanagementsysteme – Anforderungen
• ISO/IEC 27000:2018 Informationstechnik -- Sicherheitsverfahren -- Informationssicherheitsmanagementsysteme - Überblick und Begriffe
• ISO/IEC 27002:2022, Informationstechnik -- Sicherheitsverfahren -- Leitfaden für Informationssicherheitskontrollen
• ISO/IEC 27005:2022, Informationstechnik -- Sicherheitsverfahren -- Informationssicherheits-Risikomanagement

Verweis wird auf ISO/IEC 27003:2017, Informationstechnik -- Sicherheitsverfahren Leitfaden für die Implementierung von Informationssicherheitsmanagementsystemen gemacht. Kandidaten benötigen keine eigene Kopie dieses Standards, da die relevanten Informationen im Ergänzenden Referenzpapier für die ISO/IEC 27001-Qualifikation, Abschnitte 5 und 6, verfügbar sind.

Kandidaten dürfen während der Prüfung eine gedruckte oder digitale Kopie der oben aufgelisteten Standards haben. 

Lehrplanthemen auf den Ebenen 3 und 4 stellen die primären Referenzen bereit, können aber auch jedes andere Thema aus dem Lehrplanbereich einschließen. Es ist unerlässlich, dass alle Teilnehmer während jeder Schulung Zugang zu einer persönlichen Kopie von ISO/IEC 27001:2022 und dem Ergänzenden Referenzpapier haben. Teilnehmer sollten Zugang zu einer persönlichen Kopie von ISO/IEC 27002:2013 und ISO/IEC 27005:2022 haben. Bitte beachten Sie, dass die Prüfung mit Hilfsmitteln stattfindet.

Auditor

Die primären Referenzen für den ISO/IEC 27001 Auditor Kurs sind die internationalen Standards:

• ISO/IEC 27001:2022 Informationstechnik -- Sicherheitsverfahren -- Informationssicherheitsmanagementsysteme – Anforderungen
• ISO/IEC 27000:2018 Informationstechnik -- Sicherheitsverfahren -- Informationssicherheitsmanagementsysteme - Überblick und Begriffe
• ISO/IEC 27002:2022, Informationstechnik -- Sicherheitsverfahren -- Leitfaden für das Informationssicherheitsmanagement
• ISO 19011:2018 Leitfäden für das Auditieren von Managementsystemen
• APMG ISO/IEC 27001 Ergänzendes Papier

Weitere Verweise werden auf das Ergänzende Referenzpapier für die ISO/IEC 27001-Qualifikation gemacht.

Es ist obligatorisch, dass alle Teilnehmer während ihrer Schulung und bei der Prüfung Zugang zu einer persönlichen Kopie dieser Dokumente haben.

Bitte beachten Sie, dass Auditor-Prüfungen mit Hilfsmitteln stattfinden. Keine inhaltsbezogenen individuellen Notizen in den verwendeten Standards sind erlaubt.

Lehrplanthemen auf den Ebenen 3 und 4 stellen die primären Referenzen bereit, können aber auch jedes andere Thema aus dem Lehrplanbereich einschließen.

Die bereitgestellten Referenzen sollten als indikativ und nicht als umfassend betrachtet werden, d.h. es können andere gültige Referenzen in den Richtlinien vorhanden sein.

Für die primäre Referenz wird der relevante Teil des Standards als Hauptteil der Referenz verwendet, gefolgt von der verwendeten Abschnittsnummer, z.B. ISO/IEC 27001, 4.2 bezieht sich auf ISO/IEC 27001:2013 Klausel 4.2.

Per le persone che studiano autonomamente è quasi impossibile dirlo. Poiché tutti i candidati hanno esperienza diversa e quantità di tempo disponibile per lo studio differenti, varia da persona a persona. Ti suggeriamo di acquistare il manuale e di darci un'occhiata personalmente prima di decidere quanto tempo devi dedicare all'apprendimento.

Per coloro che studiano con un'organizzazione di formazione accreditata, i corsi Foundation vengono generalmente erogati in 3 giorni, mentre i corsi combinati Foundation e Practitioner vengono generalmente erogati in 5 giorni. Vale davvero la pena informarsi presso i singoli fornitori, poiché alcuni offriranno soluzioni di apprendimento personalizzate, online o miste.

以下是ISO/IEC 27001 Foundation、Practitioner信息安全官和Auditor考试结构的摘要：

Foundation

• 选择题格式
• 每份试卷50题
• 需要25分或以上才能通过（满分50分）– 50%
• 考试时长40分钟
• 闭卷考试。

Practitioner信息安全官

• 客观测试
• 每份试卷4题，每题20分
• 需要40分或以上才能通过（满分80分）– 50%
• 考试时长2小时30分钟
• 开卷考试。
• 考试只能使用以下英国标准作为参考，
  ISO/IEC 27000:2018
  ISO/IEC 27001:2022
  ISO/IEC 27002:2022
  ISO/IEC 27003:2017
  ISO/IEC 27005:2022

Auditor

• 选择题考试，使用基于小情景的题目
• 40题试卷
  • APMG ISO/IEC 27001补充试卷
• 考生通过分数线为50%（20/40）
• 考试时长120分钟
• 限制性开卷。
• 考试期间允许使用以下文件：

            ISO/IEC 27001:2013  

            ISO/IEC 27002:2013      

            ISO 19011:2018

ISO/IEC 27001 est une norme internationale pour la gestion de la sécurité de l'information. Elle fournit un modèle pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de gestion de la sécurité de l'information (SMSI) basé sur la gestion des risques. Elle constitue la base d'une gestion efficace des informations sensibles et confidentielles et de l'application de contrôles de sécurité de l'information.

Foundation

As referências principais para a qualificação Foundation são as Normas Internacionais:

• ISO/IEC 27001:2022 Tecnologia da informação -- Técnicas de segurança -- Sistemas de gestão da segurança da informação – Requisitos
• ISO/IEC 27000:2018 Tecnologia da informação -- Técnicas de segurança -- Sistemas de gestão da segurança da informação – Visão geral e vocabulário.

Outras referências são feitas a:

• Documento de referência suplementar para a Qualificação ISO/IEC 27001.

O nível Foundation requer conhecimento dos requisitos da ISO/IEC 27001:2022 e dos termos, definições e conceitos da ISO/IEC 27000:2018, bem como informações do documento de referência suplementar conforme estabelecido no tópico do programa. É essencial que todos os participantes tenham acesso a uma cópia pessoal da ISO/IEC 27001:2022 e do Documento de Referência Suplementar durante qualquer curso de treinamento. Os participantes devem ter acesso a uma cópia pessoal da ISO/IEC 27000:2018 ou às informações referenciadas dela neste programa. Observe que o exame é de livro fechado. As referências fornecidas devem ser consideradas indicativas em vez de abrangentes, ou seja, pode haver outras referências válidas dentro da orientação.

Para a referência principal, a parte relevante da norma é usada como a parte principal da referência e isto é seguido pelo número da seção usado, por exemplo, ISO/IEC 27001, 4.2 refere-se à Cláusula 4.2 da ISO/IEC 27001:2022.

O programa requer conhecimento de, mas não exige conhecimento detalhado de outras normas referenciadas:

• ISO 9001:2015, Sistemas de gestão da qualidade — Requisitos
• ISO/IEC 20000-1:2018, Tecnologia da informação – Gestão de serviços - Parte 1: Requisitos do sistema de gestão de serviços
• ISO/IEC 27002:2022, Tecnologia da informação -- Técnicas de segurança -- Código de prática para gestão da segurança da informação
• ISO/IEC 27003:2017, Tecnologia da informação -- Técnicas de segurança -- Orientação para sistemas de gestão da segurança da informação
• ISO/IEC 27004:2016 Tecnologia da informação -- Técnicas de segurança -- Gestão da segurança da informação – Monitoramento, Medição, Análise e Avaliação
• ISO/IEC 27005:2022, Tecnologia da informação -- Técnicas de segurança -- Gestão de riscos da segurança da informação
• ISO/IEC 27006:2015, Tecnologia da informação -- Técnicas de segurança -- Requisitos para organismos que fornecem auditoria e certificação de sistemas de gestão da segurança da informação
• ISO/IEC 27013:2015, Tecnologia da informação -- Técnicas de segurança – Orientação sobre a implementação integrada da ISO/IEC 27001 e ISO/IEC 20000-1.

Practitioner Oficial de Segurança da Informação

As referências principais para o curso Practitioner – Oficial de Segurança da Informação são as Normas Internacionais:

• ISO/IEC 27001:2022 Tecnologia da informação -- Técnicas de segurança -- Sistemas de gestão da segurança da informação – Requisitos
• ISO/IEC 27000:2018 Tecnologia da informação -- Técnicas de segurança -- Sistemas de gestão da segurança da informação - Visão geral e vocabulário
• ISO/IEC 27002:2022, Tecnologia da informação -- Técnicas de segurança -- Código de prática para controles de segurança da informação
• ISO/IEC 27005:2022, Tecnologia da informação -- Técnicas de segurança -- Gestão de riscos da segurança da informação

É feita referência à ISO/IEC 27003:2017, Tecnologia da informação -- Técnicas de segurança Orientação para implementação de sistemas de gestão da segurança da informação. Os candidatos não precisam de sua própria cópia desta norma, pois a informação relevante está disponível no Documento de referência suplementar para a Qualificação ISO/IEC 27001, Seções 5 e 6.

Os candidatos podem ter uma cópia impressa ou digital das normas listadas acima durante o exame.

Os tópicos do programa nos níveis 3 e 4 fornecem as referências principais, mas também podem incluir qualquer outro tópico da área do programa. É essencial que todos os participantes tenham acesso a uma cópia pessoal da ISO/IEC 27001:2022 e do Documento de Referência Suplementar durante qualquer curso de treinamento. Os participantes devem ter acesso a uma cópia pessoal da ISO/IEC 27002:2013 e ISO/IEC 27005:2022. Observe que o exame é de livro aberto.

Auditor

As referências principais para o curso ISO/IEC 27001 Auditor são as Normas Internacionais:

• ISO/IEC 27001:2022 Tecnologia da informação -- Técnicas de segurança -- Sistemas de gestão da segurança da informação – Requisitos
• ISO/IEC 27000:2018 Tecnologia da informação -- Técnicas de segurança -- Sistemas de gestão da segurança da informação - Visão geral e vocabulário
• ISO/IEC 27002:2022, Tecnologia da informação -- Técnicas de segurança -- Código de prática para gestão da segurança da informação
• ISO 19011:2018 Diretrizes para auditoria de sistemas de gestão
• Documento Suplementar APMG ISO/IEC 27001

Outras referências são feitas ao Documento de referência suplementar para a Qualificação ISO/IEC 27001.

É obrigatório que todos os participantes tenham acesso a uma cópia pessoal destes documentos durante seu treinamento e no Exame.

Observe que os exames de Auditor são de livro aberto. Não são permitidas anotações individuais relacionadas ao conteúdo nas normas utilizadas.

Os tópicos do programa nos níveis 3 e 4 fornecem as referências principais, mas também podem incluir qualquer outro tópico da área do programa.

As referências fornecidas devem ser consideradas indicativas em vez de abrangentes, ou seja, pode haver outras referências válidas dentro da orientação.

Para a referência principal, a parte relevante da norma é usada como a parte principal da referência e isto é seguido pelo número da seção usado, por exemplo, ISO/IEC 27001, 4.2 refere-se à Cláusula 4.2 da ISO/IEC 27001:2013.