当前位置:文档之家 › ISO/IEC 27001:2013信息安全管理体系要求-20140706

ISO/IEC 27001:2013信息安全管理体系要求-20140706

  • 格式:pdf
  • 大小:813.51 KB
  • 文档页数:25

下载文档原格式

  / 25

合集下载

iso27001信息安全管理体系认证的要求

iso27001信息安全管理体系认证的要求

iso27001信息安全管理体系认证的要求ISO 27001信息安全管理体系认证的要求ISO 27001是国际标准化组织(ISO)发布的信息安全管理体系标准,它为组织制定和实施信息安全管理体系提供了指导。

通过ISO 27001认证,组织可以证明其信息安全管理体系符合国际最佳实践,能够保护信息资产的机密性、完整性和可用性。

ISO 27001的认证要求包括以下几个方面:1. 制定信息安全政策:组织应制定一份明确的信息安全政策,描述其对信息安全的承诺和目标。

这份政策应得到高层管理人员的支持,广泛传达给全体员工。

2. 进行风险评估和管理:组织需要进行全面的风险评估,识别并分析可能对信息资产造成威胁的风险。

基于风险评估结果,组织需要制定相应的风险管理计划,采取适当的控制措施来降低风险。

3. 确定信息安全目标和控制措施:基于风险评估和管理结果,组织需要确定信息安全目标,并制定相应的信息安全控制措施。

这些措施包括技术、操作和管理层面上的安全控制,旨在保护信息资产免受威胁和攻击。

4. 实施和操作信息安全管理体系:组织需要制定详细的操作程序和控制措施,以确保信息安全管理体系的有效运行。

这包括培训员工、监督和审查安全措施的执行情况,并建立持续改进的机制。

5. 进行内部审核和管理审查:组织应定期进行内部审核,以评估信息安全管理体系的有效性和符合性。

此外,组织需要定期进行管理审查,以确保信息安全目标的实现,并根据需要进行调整和改进。

6. 与外部实体进行合作和合规:组织需要与外部实体,如供应商、合作伙伴和监管机构进行合作,确保其在信息安全管理方面遵守相关法律法规和合同要求。

ISO 27001认证是一个全面的过程,需要组织全力配合和积极落实相关要求。

通过认证,组织可以提高信息安全管理的水平,增强对信息资产的保护,树立公信力,获得市场竞争优势。

最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)

最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)

最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本:A/0受控状态:XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制:文件编写小组审批: XXX版本:A/0受控状态:受控文件编号:LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页:序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了XXXXXX技术服务有限公司《信息安全管理手册》。

信息安全管理体系

信息安全管理体系

信息安全管理体系概述信息安全是当今社会中不可或缺的重要组成部分,在个人、组织、甚至国家层面,都需要考虑信息安全的问题。

信息安全管理体系是在一定的安全标准要求下,通过安全管理方法和手段,使信息系统和信息资源能够得到全面保护的一种安全管理体制。

国际标准信息安全管理体系有很多国际标准,其中比较知名的是ISO/IEC 27001:2013,这是一个由 ISO(国际标准化组织)和IEC(国际电工委员会)共同制定的信息安全标准体系。

这个标准的主要目的是提供一种管理信息安全的框架,以保护机构内部和与外部之间的信息,这个标准也是被广泛采用的。

根据 ISO/IEC 27001:2013 标准,描述一个信息安全管理体系包含以下几个部分:1. 上下文文件上下文文件主要介绍了组织的背景信息,如组织的经营方式、目标、资金来源等,以及组织所在的社会经济环境和政治环境。

通过这部分信息的描述,方便后面的安全措施的制定和执行。

2. 风险评估风险评估是对组织内部和外部的威胁进行分析和评估。

通过标识和评估组织内部和外部对信息和信息系统的威胁和漏洞,制定相应的控制措施和安全管理策略。

3. 安全控制安全控制包括了一系列的安全管理措施,如物理安全、技术安全、人员安全等,其中包括了如何防范内部和外部的攻击行为、如何记录和报告安全事件、如何追溯安全事件源头等威胁。

4. 性能评价性能评价主要是对整个信息安全管理体系进行评价,评估安全管理措施的有效性和效果,并且需要定期进行监测和审查。

这个过程是一个不断循环的过程,旨在不断改进和完善信息安全管理体系。

实施步骤在全面了解和掌握了 ISO/IEC 27001:2013 标准的要求后,对于组织想要实施信息安全管理体系,应该按照下面步骤进行:1. 确定需要保护信息的范围首先要明确需要保护的信息的范围,包括了组织机构内部和外部的所有需要保护的信息和信息系统,并且对这些信息进行分类、分级和标记。

2. 确定安全目标和安全策略在确定好需要保护的信息和信息系统之后,就可以制定相应的安全目标和安全策略,包括了防范和预防恶意攻击、加强密码管理、规范系统操作等。

ISO27001:2013信息安全管理手册

ISO27001:2013信息安全管理手册

版本:A/0受控状态:XXXXX有限公司信息安全管理手册(依据GB/T22080-2016/ISO27001:2013)编制:审批:版本:受控状态:文件编号:2018年4月20日发布 2018年4月20日实施管理手册修改记录页:目录0.1 颁布令 (6)0.2 管理者代表任命书 (7)0.3关于成立管理体系工作小组的决定 (8)0.4 公司简介 (9)0.5 组织结构 (10)0.6 信息安全方针与目标 (11)1.0 信息安全方针 ..................... 错误!未定义书签。

2.0 信息安全目标 ..................... 错误!未定义书签。

1.0 范 围 (14)1.1 总则 (14)1.2 适用范围 (14)1.3 删减说明 (14)2.0规范性引用文件 (15)3.0 术语与定义 (15)3.3计算机病毒 (16)3.15 相关方 (17)3.16本公司 (17)3.17管理体系 (17)4.0 组织环境 ............................. 错误!未定义书签。

4.1理解组织及其环境 ................... 错误!未定义书签。

4.2利益相关方的需求和期望 ............. 错误!未定义书签。

4.3确定信息安全管理体系范围 ........... 错误!未定义书签。

4.4信息安全管理体系 ................... 错误!未定义书签。

5.0 领导力 ............................... 错误!未定义书签。

5.1领导和承诺 ........................ 错误!未定义书签。

5.2方针 (17)5.3组织的角色、责任和权限 (31)6.0 规划 (34)6.1 应对风险和机会的措施 (36)6.2 信息安全目标及其实现规划 (39)7.0 支持 (40)7.1资源 (40)7.2能力 (40)7.3意识 (40)7.4沟通 (41)7.5文件化信息 (42)8.0 运行 (45)8.1 运行规划和控制 (45)8.2 信息安全风险评估 (46)8.3 信息安全风险处置 (46)9.0 绩效评价 (46)9.1 监视、测量、分析和评价 (46)9.2 内部审核 (47)9.3 管理评审 (48)10.0 改进 (50)10.1不符合及纠正措施 (50)10.2 持续改进 (51)附1信息安全管理体系职责对照表 (53)。

ISO27001-2013 信息安全管理体系要求 中英对照版

ISO27001-2013 信息安全管理体系要求 中英对照版

ISO标准——IEC 27001:2013信息安全管理体系——要求Reference numberISO/IEC 27001:2013(E1范围 1 Scope本国际标准规定了在组织背景下建立、实施、维护和持续改进信息安全管理体系。

本标准还包括信息安全风险评估和处置要求,可裁剪以适用于组织。

本国际标准的要求是通用的,适用于所有的组织,不考虑类型、规模和特征。

当组织声称符合本国际标准时,任何条款4-10的排除是不可接受的。

This International Standard specifies the requirements for establishing, implementing, maintaining and continually improvingan information security management system within the contextof the organization. This International Standard also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this International Standard are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this International Standard.2 规范性引用文件下列参考文件是本文件的标准参考,也是应用本文件必不可缺的。

信息安全管理体系ISOIEC27000标准系列概论

信息安全管理体系ISOIEC27000标准系列概论

什么是 ISO/IEC 27001? ISO/IEC 27001标准的名称为《信息技术 —安全技术 —信息安全管理体系 —要求》,由国际标准化组织( ISO )及国际电工委员会( IEC )出版。

ISO/IEC 27001:2013(下称 ISO/IEC 27001)为最新版本的 ISO/IEC 27001标准,修订了 2005年出版的上一个版本(即 ISO/IEC 27001:2005)。

本标准订明有关建立、推行、维护和持续改进信息安全管理体系的各项要求。

信息安全管理体系阐述保护敏感信息安全的系统化方式,通过应用风险管理流程管理人事、工序及信息技术系统。

这套系统不仅适用于大型机构,中小型企业也会合用。

ISO/IEC 27001可以与相关支援控制措施配合使用,例如载列于 ISO/IEC 27002:2013(下称 ISO/IEC 27002)文件的控制措施。

ISO/IEC 27002分为 14节及 35个控制目标,详述 114项安全控制措施。

有关 ISO/IEC 27001及 ISO/IEC 27002的目录载于附录 A 。

机构是否遵行 ISO/IEC 27001标准所定的要求,可由认可认证机构进行正式评估和认证。

若机构的信息安全管理体系获取 ISO/IEC 27001标准的认证,显示机构致力保护信息安全,又可增加客户、合伙人及持份者的信心。

ISO/IEC 27001认证要求为符合 ISO/IEC 27001认证要求,机构的信息安全管理体系必须由国际认可的认证机构进行审计。

ISO/IEC 27001第 4节至 10节所载的要求(见附录 A )是强制性要求,并没有豁免情况。

若机构的信息安全管理体系通过正式审计,便会获认证机构颁发 ISO/IEC 27001证书。

证书的有效期为三年,期满后,机构需要重新为其信息安全管理体系进行认证。

在三年有效期内,机构必须执行证书维护,以确保信息安全管理体系持续遵行有关要求,按规定运行和不断改进。

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求 中文版(正式发布版)

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系(ISMS)的要求。

它旨在确保组织合理评估信息安全风险,并采取适当的安全措施来保护机密性、完整性和可用性。

2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术-安全技术-信息安全管理体系-概述和词汇- ISO/IEC 27002.2013 信息技术-安全技术-信息安全管理实施指南- ISO/IEC 27003.2017 信息技术-安全技术-信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准:- 组织:指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。

- 高层管理:按照组织的要求,履行其职权和责任的最高级别管理职位。

- ISMS:信息安全管理体系。

4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望,以及相关方和利益相关者,以确保ISMS的有效性。

5.领导的承诺高层管理应明确表达对ISMS的支持和承诺,确保其适当实施和维护,并提供资源以满足ISMS的要求。

6.政策组织应制定和实施信息安全政策,为ISMS提供框架和方向,并与组织的活动和风险管理策略保持一致。

7.组织内部的风险评估组织应在ISMS实施之前进行风险评估,以确保全面了解和评估信息资产相关的威胁和风险。

8.管理资源组织应为ISMS指定适当的资源,包括人员、设备和财务资源,以确保其有效实施、操作、监控、审查和持续改进。

9.专门支持组织应为ISMS提供必要的支持,包括培训、意识和沟通,以确保员工的积极参与和遵守ISMS的要求。

10.安全风险管理组织应基于风险评估结果,采取适当的措施来管理和缓解信息安全风险,确保信息资产的安全性。

27001-2013新版信息安全管理体系标准解析

19
新版本附录A解析 A7
A7 人力资源安全
6
来源
A7.1 任用之前
目标:确保雇佣和承包方人员理解其职责、考虑对其承担的角色是适合的。
A7.1.1 审查
对所有任用的候选者的背景验证核查应按照相关法律、法规、道德规范
和对应的业务需求、被访问信息的类别和察觉的风险来执行。
A8.1.2
A7.1.2 任用的条款及条件

14
新版本附录A解析 A5
ISO27001:2005
A5 安全方针 A6 信息安全组织 A7 资产管理 A8 人力资源安全 A9 物理和环境安全 A10 通信和运作管理 A11 访问控制 A12 信息系统的获取开发以及维护 A13 信息安全事件管理 A14 业务连续性管理 A15 符合性
ISO27001:2013
冲突的职责和权限应被分开,以减少对组织资产未经授权或无意的修改
与误用。
A10.1.3
应ห้องสมุดไป่ตู้监管机构保持适当的联系。
A6.1.6
与特定礼仪团队、其他专业安全论坛或行业协会应保持适当联系。
A6.1.7
信息安全应融入所受项目管理中,不论项目类型。
新增
应使用配套策略和安全措施来防范因使用移动设备带来的风险。
A11.7.1
7
ISO导则83
国 际 标 准 的 未 来 框 架
8
新旧版本正文结构变化
9
新版标准正文内容
Plan
•4 组织环境 • 了解组织背景及现状 • 理解相关方的需求和期望 • ISMS的范围 • ISMS
•5 领导力 • 领导作用和承诺 • 方针 • 角色、职责和授权
•6 策划 • 处理风险和机遇的行动 • 实现ISMS的目标和实施计 划

ISO27001:2013信息安全管理体系一整套程序

文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件,对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制,确保部门使用现行的有效版本,特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门,负责信息安全有关的所有文件的管理与控制。

2)各部门:负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括:1)第一层:信息安全管理手册、信息安全目标、信息安全适用性声明(SOA)、信息安全策略;2)第二层:制度文件;3)第三层:各管理规定、管理办法、流程、作业指导书(指南)及外来文件等;4)第四层:记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据,体现系统协调,可操作、可检查的原则。

1)第一层:信息安全管理手册由体系负责人组织编写,信息安全管理者代表审核,总经理批准发布。

2)第二、三层:由相关责任部门编写,信息安全管理者代表审核,总经理批准发布。

3)第四层:由相关责任部门编写,文档负责人审批,信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识,包括:文件的名称、编号、版本号、密级标识等。

27001-2013 信息技术 -- 安全技术 -- 信息安全管理体系 -- 要求

国际标准 ISO/IEC 27001第二版 2013-10-01中文翻译版 第0.1版 2013-10-17参考号ISO/IEC 27001:2013(E )©ISO /IEC 2013信息技术——安全技术——信息安全管理体系——要求受版权保护的文档©ISO/IEC 2013保留所有权利。

除非另有说明,未经事先书面许可,不得通过任何形式或手段进行复制或利用本出版物的任何部分内容,包括电子、机械、影印,或张贴在互联网或企业内部网上。

可通过下面所列的ISO组织地址或ISO成员机构获得许可。

ISO版权办公室Case postale 56 • CH-1211 Geneva 20电话:+ 41 22 749 01 11传真:+ 41 22 749 09 47电子信箱:copyright@网址:瑞士出版翻译说明继ISO/IEC 27000系列文件于2005年发布之后,历经8年的时间,ISO组织终于在日前发布了2013新版。

关注ISO/IEC 27000系列国际标准的读者可以学习并参阅该标准。

为了便于国内读者的阅读和使用,笔者团队利用业余时间自行翻译了本中文版本。

因团队水平有限,其中错误和遗漏之处在所难免。

欢迎各位安全界同仁批评指正。

声明:若因阅读、使用本文而给读者造成的任何形式的损失,本团队不承担任何责任。

本中文版文件的著作权归本团队所有。

本文仅供网上阅读学习之用,亦可通过电子文件复制的方式进行传播。

未经授权,不得用于任何商业目的。

翻译团队:齐芳邮箱:qifang@陆辉邮箱:luhui@刘凯邮箱:liukai@蔡昆邮箱:caikun@贡献者:付峥邮箱:fuzheng@徐特邮箱:xute@目录0介绍............................................................................... x xxv 1范围. (1)2规范性引用 (1)3术语与定义 (1)4组织的环境 (1)4.1理解组织及环境 (1)4.2理解相关方的需求和期望 (1)4.3明确信息安全管理体系的范围 (1)4.4信息安全管理体系 (2)5领导 (2)5.1领导与承诺 (2)5.2方针 (2)5.3组织角色、职责和权力 (2)6计划 (3)6.1处置风险和机遇的活动 (3)6.2信息安全目标和实施计划 (4)7支持 (5)7.1资源 (5)7.2能力 (5)7.3意识 (5)7.4沟通 (5)7.5文档信息 (5)8操作 (6)8.1操作规划和控制 (6)8.2信息安全风险评估 (7)8.3信息安全风险处置 (7)9绩效评价 (7)9.1监测、测量、分析和评价 (7)9.2内部审核 (7)9.3管理评审 (8)10改进 (8)10.1不符合情况和改正措施 (8)10.2持续改进 (9)附录A(引用)参考控制目标和控制措施 (10)参考书目 (20)前言国际标准化组织(ISO)是由各国标准化团体(ISO成员团体)组成的世界性的联合会。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4 组织背景
4.1 了解组织和它的背景 组织应确定与 ISMS 相关的目的和影响其达到预期效果的能力的内外部问题。 注:确定这些问题参考 ISO 31000 第 5.3 建立组织的外部和内部环境被考虑。
4.2 理解相关方的需求和期望 组织应确定: a) ISMS 的相关方;和 b) 这些相关方有关信息安全的要求。 注:有关各方的要求可能包括法律、监管规定和合同义务。
信息技术 安全技术 信息安全管理体系 要求
1
1 适用范围
本国际标准规定了在组织的背景下建立、实施、维护和持续改进信息安全管理体系的 要求。本标准还包括根据组织的需要来调整信息安全风险的评估和处置的要求。这个要求 安排在本国际标准中通常并有意应用到所有组织,不论组织类型、规模或性质。当一个组 织声称其符合此国际标准但没有达到 4 到 10 章规定的要求,是不可接受的。
4.3 确定 ISMS 的范围 组织应确定 ISMS 的边界和适用性,以确定其范围。 在确定此范围时,组织应考虑: a) 4.1 提及的外部和内部的问题; b) 4.2 提及的要求;和 c) 接口和执行组织之间活动被执行的依赖关系,以及其他组织的相关活动。 范围应可成为文档化信息。
4.4 ISMS 组织应按照本国际标准的要求建立、实施、保持和持续改进 ISMS。
5 领导力
2
5.1 领导力和承诺 最高管理者应展示关于 ISMS 的领导力和承诺: a) 确保信息安全方针和信息安全目标被建立,并与组织战略方向兼容; b) 确保信息安全管理体系的要求集成到组织的过程中; c) 确保信息安全管理体系所需要的资源是可用的; d) 传达有效的信息安全管理和符合信息安全管理体系要求的重要性; e) 确保信息安全管理体系达到其预期的效果; f) 指导和支持员工,有助于信息安全管理体系的效率; g) 推进持续改进;和 h) 支持其他相关管理角色展示他们的领导力,同样适用于他们的职责范围。
信息安全管理体系通过使用风险管理过程来保护信息的保密性、完整性和可用性,给 相关方风险被适当管理的信心。
重要的是,信息安全管理体系是与组织过程和整体管理体系相结合的一部分,信息安 全考虑过程的设计、信息系统和控制措施。信息安全管理体系的规模与组织需求保持一致。
本国际标准可被用于内部和外部团体,评价组织有能力满足组织自己的信息安全要求。 本国际标准中要求的顺序并不反映他们的重要性或暗示他们实施的顺序。列表中的列 举项仅供参考。 ISO/IEC 27000 描述了信息安全管理体系的概述和词汇表。参考 ISMS 标准簇(包括 ISO/IEC 27003、ISO/IEC 27004 和 ISO/IEC 27005)与相关术语和定义。 0.2 与其它管理体系的兼容性 本国际标准适用于高层结构、相同的子标题、相同的文本、常用术语和核心定义被定 义在 ISO/IEC 导则,Part 1,合并的 ISO 附件,维护与其他管理体系标准的兼容性,采用 附录 SL。 附录 SL 中定义的这种常见方法是有用的,组织选择运行一个单个的管理体系,满足两 个或多个管理体系标准的要求。
当规划 ISMS 时,组织应当考虑 4.1 提到的问题和 4.2 中所提到的要求,并确定需要 处理的风险和机遇:
a) 确保 ISMS 实现预期的效果; b) 防止或减少不良影响;和 c) 实现持续改进。
3
组织应策划: d) 处理这些风险和机遇的行动;和 e) 如何
1) 集成和实施这些行动到 ISMS 过程中;和 2) 评估这些行动的有效性。 6.1.2 信息安全风险评估 组织应定义并应用一个信息安全风险评估过程: a) 建立和维护信息安全风险准则,包括: 1) 风险接受准则; 2) 执行信息安全风险评估准则; b) 确保重复的信息安全风险评估产生一致的、有效的和可比较的结果。 c) 识别信息安全风险: 1) 应用信息安全风险评估过程,识别与 ISMS 范围内信息的保密性、完整性和可
信息技术 安全技术 信息安全管理体系 要求
Information technology-Security techniquesInformation security management systems-Requirements
(ISO/IEC 27001:2013)
目录
前言 ............................................................................................................................................................... I 0 引 言.....................................................................................................................................................1 1 适用范围...................................................................................................................................................2 2 规范性引用文件......................................................................................................................................2 3 术语和定义 ..............................................................................................................................................2 4 组织背景...................................................................................................................................................2 5 领导力.......................................................................................................................................................2 6 计划 ...........................................................................................................................................................3 7 支持 ...........................................................................................................................................................5 8 运行 ...........................................................................................................................................................7 9 绩效评价...................................................................................................................................................7 10 改进 .........................................................................................................................................................8 附 录 A (规范性附录) 参考控制目标和控制措施.................................................................10
文件说明
本标准是笔者利用业余时间自行翻译。因笔者水平有限,错误和疏漏之处再 所难免。欢迎各位批评指正。
特别声明: a) 若因阅读和使用本翻译标准给读者造成的任何损失,本人一概不承担任
何责任; b) 本翻译标准著作权归本人所有,仅供阅读学习之用,未经许可,不得用
于任何商业目的。 笔者联系方式: 邮箱:lzh900@ ISO 和 IEC 形成全球标准专业系统。通过技术委员会建立的参与开发国际标 准的 ISO 或 IEC 的成员国,由各自的组织处理特定的技术活动的领域。ISO 和 IEC 技术委员会协调共同感兴趣的领域。与 ISO 和 IEC 联络的其它国际组织、政府和 非政府的组织也参与了这个工作。在信息技术领域,ISO 的 IEC 已经建立了一个 联合技术委员会,ISO/IEC JTC 1。
李振华 QMS/ISMS/SMS/ITSS/COBIT/CISP/R&S/SercityCCIE
2014 年 7 月于北京
I
0引 言 0.1 总则
本国际标准准备提供建立、实施、保持和持续改进信息安全管理体系(ISMS)的要求。 ISMS 的采用是一个组织的战略决策。组织的 ISMS 的建立和实施受组织的需求和目标、安 全需求、组织的过程、规模和结构的影响。上述因素预计会随时间而变化。