ISO270012013信息安全管理体系要求.pdf

目录

前言(3

0引言(4

0.1总则(4

0.2与其他管理系统标准的兼容(4

1.范围(5

2规范性引用文件(5

3术语和定义(5

4组织景况(5

4.1了解组织及其景况(5

4.2了解相关利益方的需求和期望(5

4.3确立信息安全管理体系的范围(6

4.4信息安全管理体系(6

5领导(6

5.1领导和承诺(6

5.2方针(6

5.3组织的角色,职责和权限(7

6.计划(7

6.1应对风险和机遇的行为(7

6.2信息安全目标及达成目标的计划(9

7支持(9

7.1资源(9

7.2权限(9

7.3意识(10

7.4沟通(10

7.5记录信息(10

8操作(11

8.1操作的计划和控制措(11

8.2信息安全风险评估(11

8.3信息安全风险处置(11

9性能评价(12

9.1监测、测量、分析和评价(12

9.2内部审核(12

9.3管理评审(12

10改进(13

10.1不符合和纠正措(13

10.2持续改进(14

附录A(规范参考控制目标和控制措(15

参考文献(28

前言

0引言

0.1总则

本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息

安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组

织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因

素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的必威体育官网网址性、完整性和可用

性,并给相关方建立风险得到充分管理的信心。

重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在

其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管

理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要

求。

本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方

便引用。

ISO/IEC27000参考信息安全管理体系标准族(包括ISO/IEC27003[2]、ISO/IEC

27004[3]、ISO/IEC27005[4]及相关术语和定义,给出了信息安全管理体系的概述和

词汇。

0.2与其他管理体系标准的兼容性

本标准应用了ISO/IEC导则第一部分的ISO补充部分附录SL中定义的高层结

构、同一子条款标题、同一文本、通用术语和核心定义,因此保持了与其它采用附

录SL的管理体系标准的兼容性。

附录SL定义的通用方法有助于组织选择实施单一管理体系来满足两个或多个

管理体系标准要求。

信息技术——安全技术——信息安全管理体系——要求

1.范围

本标准规定了在组织环境(context下建立、实施、运行、保持和持续改进信息

安全管理体系的要求。本标准还包括了根据组织需求而进行的信息安全风险评估和

处置的要求。本标准规定的要求是通用的,适用于各种类型、规模或性质的组织。

组织声称符合本标准时,对于第4章到第10章的要求不能删减。

2规范性引用文件

下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必

不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引

用文件,其必威体育精装版版本(包括任何修改适用于本标准。

ISO/IEC27000,信息技术——安全技术——信息安全管理体系——概述和词

汇。

3术语和定义

ISO/IEC27000中界定的术语和定义适用于本文件。

4组织环境(context

4.1理解组织及其环境(context

组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的

外部和内部情况(issue。

注:对这些情况的确定,参见ISO31000:2009[5],5.3中建立外部和内部环境的内

容。

4.2理解相关方的需求和期望

组织应确定:

a信息安全管理体系相关方;

b这些相关方的信息安全要求。

注:相关方的要求可包括法律法规要求和合同义务。

4.3确定信息安全管理体系范围

组织应确定信息安全管理体系的边界及其适用性以建立其范围。