【英语版】国际标准 ISO/IEC 27001:2013 EN 信息技术——安全技术——信息安全管理系统——要求 Information technology -- Security techniques -- Information security management systems -- Requirements.pdf

ISO/IEC27001:2013信息安全管理体系标准是一套国际化的信息安全管理标准，旨在帮助组织建立和实施信息安全管理体系，以确保组织的信息安全受到有效的管理和控制。该标准要求组织制定并实施一套全面的信息安全管理制度，包括信息安全策略、安全控制措施、安全风险评估、信息安全监控和应急响应等方面。该标准旨在提高组织的信息安全水平，减少信息安全风险，保障组织的业务连续性和声誉。

该标准的主要内容包括：

1.信息安全管理体系的建立和实施：组织需要建立一套完整的信息安全管理体系，包括组织高层领导的支持、信息安全政策的制定、安全控制措施的设计和实施、安全风险的评估和应对、信息安全的监控和审计等方面的内容。

2.信息安全策略的制定：组织需要制定一套明确、一致、清晰的信息安全策略，明确组织的信息安全目标、范围和要求，并为员工提供必要的信息安全培训，确保员工了解并遵守信息安全要求。

3.安全控制措施的实施：组织需要实施一系列安全控制措施，包括物理和环境控制、访问控制、身份和访问管理、通信和数据传输、数据存储和备份、网络安全、应用安全、业务连续性管理等方面的内容，以确保组织的信息安全得到有效的管理和控制。

4.安全风险评估和应对：组织需要定期进行安全风险评估，识别和分析组织面临的各种安全风险，并采取相应的控制措施来应对这些风险，确保组织的信息安全得到持续的保障。

5.信息安全的监控和审计：组织需要建立信息安全的监控和审计机制，定期对信息安全管理体系的运行情况进行检查和评估，确保信息安全管理体系的有效性和合规性。

ISO/IEC27001:2013信息安全管理体系标准是一套全面、系统、规范的信息安全管理标准，可以帮助组织建立和实施有效的信息安全管理体系，提高组织的信息安全水平，减少信息安全风险，保障组织的业务连续性和声誉。