A norma NBR ISO/IEC 17799:2005 apresenta os tópicos sobre se...
A.5 - POLITICA DE SEGURANÇA DA INFORMAÇÃO { Categoria de segurança / Cláusula ou Seção }
A.5.1 - Politica de Segurança da Informação { Objetivo de Controle}
A.5.1.1 - Documento da política de segurança da informação { Controle de segurança}
Diretrizes para implementação
Convém que o documento da política de segurança da ibnformação declare o comprometimento da direção e estabeleça o enfoque da
organização para gerenciar a segurança da informação. (...)
O mesma estrutura de organização ocorre em todas as outras seções quais sejam A.6 à A.15
Complemento.
Segundo a ISO 27002, "3.2 Principais categorias de segurança da informação
Cada categoria principal de segurança da informação contém:
a) um objetivo de controle que define o que deve ser alcançado; e
b) um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.
As descrições dos controles estão estruturadas da seguinte forma:
Controle
Define qual o controle específico para atender ao objetivo do controle.
Diretrizes para a implementação
Contém informações mais detalhadas para apoiar a implementação do controle e atender ao objetivo de diretrizes podem não ser adequadas em todos os casos e assim outras formas de implementação do controle podem ser mais apropriadas.
Informações adicionais
Contém informações adicionais que podem ser consideradas, como, por exemplo, considerações legais e referências a outras normas."
não teria sentido apresentar as diretrizes de implantação de controle, antes do próprio controle, assim como os objetivos de controle antes das categorias de segurança. Em resumo, devemos saber o que é cada item, pois a ordem é deduzida logicamente