ISO27001实用标准.docx
- 文档编号:13268886
- 上传时间:2023-06-12
- 格式:DOCX
- 页数:55
- 大小:44.04KB
ISO27001实用标准.docx
《ISO27001实用标准.docx》由会员分享,可在线阅读,更多相关《ISO27001实用标准.docx(55页珍藏版)》请在冰点文库上搜索。
ISO27001实用标准
Informationtechnology-Securitytechniques
-Informationsecuritymanagementsystems-Requirements
信息技术-安全技术-信息安全管理体系-要求
Foreword
前言
ISO(theInternationalOrganizationforStandardization)andIEC(theInternationalElectrotechnicalmission)formthespecializedsystemforworldwidestandardization.NationalbodiesthataremembersofISOorIECparticipateinthedevelopmentofInternationalStandardsthroughtechnicalmitteesestablishedbytherespectiveorganizationtodealwithparticularfieldsoftechnicalactivity.ISOandIECtechnicalmitteescollaborateinfieldsofmutualinterest.Otherinternationalorganizations,governmentalandnon-governmental,inliaisonwithISOandIEC,alsotakepartinthework.Inthefieldofinformationtechnology,ISOandIEChaveestablishedajointtechnicalmittee,ISO/IECJTC1.
ISO〔国际标准化组织〕和IEC〔国际电工委员会〕是为国际标准化制定专门体制的国际组织。
国家机构是ISO或IEC的成员,他们通过各自的组织建立技术委员会参与国际标准的制定,来处理特定领域的技术活动。
ISO和IEC技术委员会在共同感兴趣的领域合作。
其他国际组织、政府和非政府等机构,通过联络ISO和IEC参与这项工作。
ISO和IEC已经在信息技术领域建立了一个联合技术委员会ISO/IECJTC1。
InternationalStandardsaredraftedinaccordancewiththerulesgivenintheISO/IEC
Directives,Part2.
国际标准的制定遵循ISO/IEC导如此第2局部的规如此。
ThemaintaskofthejointtechnicalmitteeistoprepareInternationalStandards.DraftInternationalStandardsadoptedbythejointtechnicalmitteearecirculatedtonationalbodiesforvoting.PublicationasanInternationalStandardrequiresapprovalbyatleast75%ofthenationalbodiescastingavote.
联合技术委员会的主要任务是起草国际标准,并将国际标准草案提交给国家机构投票表决。
国际标准的必须至少75%以上的成员投票通过。
Attentionisdrawntothepossibilitythatsomeoftheelementsofthisdocumentmaybethesubjectofpatentrights.ISOandIECshallnotbeheldresponsibleforidentifyinganyorallsuchpatentrights.
本文件中的某些内容有可能涉与一些专利权问题,这一点应该引起注意。
ISO和IEC不负责识别任何这样的专利权问题。
ISO/IEC27001waspreparedbyJointTechnicalmitteeISO/IECJTC1,Informationtechnology,SubmitteeSC27,ITSecuritytechniques.
ISO/IEC27001由联合技术委员会ISO/IECJTC1〔信息技术〕分委员会SC27〔安全技术〕起草。
Thissecondeditioncancelsandreplacesthefirstedition(ISO/IEC27001:
2005),whichhasbeentechnicallyrevised.
第二版进展了技术上的修订,并取消和替代第一版〔ISO/IEC27001:
2005〕。
0Introduction
引言
0.1General
0.1总如此
ThisInternationalStandardhasbeenpreparedtoproviderequirementsforestablishing,implementing,maintainingandcontinuallyimprovinganinformationsecuritymanagementsystem.Theadoptionofaninformationsecuritymanagementsystemisastrategicdecisionforanorganization.Theestablishmentandimplementationofanorganization’sinformationsecuritymanagementsystemisinfluencedbytheorganization’sneedsandobjectives,securityrequirements,theorganizationalprocessesusedandthesizeandstructureoftheorganization.Alloftheseinfluencingfactorsareexpectedtochangeovertime.
本标准用于为建立、实施、保持和持续改良信息安全管理体系提供要求。
采用信息安全管理体系是组织的一项战略性决策。
一个组织信息安全管理体系的建立和实施受其需要和目标、安全要求、所采用的过程以与组织的规模和结构的影响。
所有这些影响因素会不断发生变化。
Theinformationsecuritymanagementsystempreservestheconfidentiality,integrityandavailabilityofinformationbyapplyingariskmanagementprocessandgivesconfidencetointerestedpartiesthatrisksareadequatelymanaged.
信息安全管理体系通过应用风险管理过程来保持信息的某某性、完整性和可用性,以充分管理风险并给予相关方信心。
Itisimportantthattheinformationsecuritymanagementsystemispartofandintegratedwiththeorganization’sprocessesandoverallmanagementstructureandthatinformationsecurityisconsideredinthedesignofprocesses,informationsystems,andcontrols.Itisexpectedthataninformationsecuritymanagementsystemimplementationwillbescaledinaccordancewiththeneedsoftheorganization.
信息安全管理体系是组织过程和整体管理结构的一局部并与其整合在一起是非常重要的。
信息安全在设计过程、信息系统、控制措施时就要考虑信息安全。
按照组织的需要实施信息安全管理体系,是本标准所期望的。
ThisInternationalStandardcanbeusedbyinternalandexternalpartiestoassesstheorganization’sabilitytomeettheorganization’sowninformationsecurityrequirements.
本标准可被内部和外部相关方使用,评估组织的能力是否满足组织自身信息安全要求。
TheorderinwhichrequirementsarepresentedinthisInternationalStandarddoesnotreflecttheirimportanceorimplytheorderinwhichtheyaretobeimplemented.Thelistitemsareenumeratedforreferencepurposeonly.
本标准中要求的顺序并不能反映他们的重要性或意味着他们的实施顺序。
列举的条目仅用于参考目的。
ISO/IEC27000describestheoverviewandthevocabularyofinformationsecuritymanagementsystems,referencingtheinformationsecuritymanagementsystemfamilyofstandards(includingISO/IEC27003[2],ISO/IEC27004[3]andISO/IEC27005[4]),withrelatedtermsanddefinitions.
ISO/IEC27000描述了信息安全管理体系的概述和词汇,参考了信息安全管理体系标准族〔包括ISO/IEC27003、ISO/IEC27004和ISO/IEC27005〕以与相关的术语和定义。
0.2patibilitywithothermanagementsystemstandards
0.2与其他管理体系的兼容性
ThisInternationalStandardappliesthehigh-levelstructure,identicalsub-clausetitles,identicaltext,monterms,andcoredefinitionsdefinedinAnnexSLofISO/IECDirectives,Part1,ConsolidatedISOSupplement,andthereforemaintainspatibilitywithothermanagementsystemstandardsthathaveadoptedtheAnnexSL.
本标准应用了ISO/IEC导如此第一局部ISO补充局部附录SL中定义的高层结构、一样的子章节标题、一样文本、通用术语和核心定义。
因此保持了与其它采用附录SL的管理体系标准的兼容性。
ThismonapproachdefinedintheAnnexSLwillbeusefulforthoseorganizationsthatchoosetooperateasinglemanagementsystemthatmeetstherequirementsoftwoormoremanagementsystemstandards.
附录SL定义的通用方法对那些选择运作单一管理体系〔可同时满足两个或多个管理体系标准要求〕的组织来说是十分有益的。
Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Requirements
信息技术-安全技术-信息安全管理体系-要求
1Scope
1X围
ThisInternationalStandardspecifiestherequirementsforestablishing,implementing,maintainingandcontinuallyimprovinganinformationsecuritymanagementsystemwithinthecontextoftheorganization.
本标准从组织环境的角度,为建立、实施、运行、保持和持续改良信息安全管理体系规定了要求。
ThisInternationalStandardalsoincludesrequirementsfortheassessmentandtreatmentofinformationsecurityriskstailoredtotheneedsoftheorganization.TherequirementssetoutinthisInternationalStandardaregenericandareintendedtobeapplicabletoallorganizations,regardlessoftype,sizeornature.ExcludinganyoftherequirementsspecifiedinClauses4to10isnotacceptablewhenanorganizationclaimsconformitytothisInternationalStandard.
本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求。
本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。
组织声称符合本标准时,对于第4章到第10章的要求不能删减。
2Normativereferences
2规X性引用文件
Thefollowingdocuments,inwholeorinpart,arenormativelyreferencedinthisdocumentandareindispensableforitsapplication.Fordatedreferences,onlytheeditioncitedapplies.Forundatedreferences,thelatesteditionofthereferenceddocument(includinganyamendments)applies.
如下文件的全部或局部内容在本文件中进展了规X引用,对于其应用是必不可少的。
但凡注日期的引用文件,只有引用的版本适用于本标准;但凡不注日期的引用文件,其最新版本〔包括任何修改〕适用于本标准。
ISO/IEC27000,Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary
ISO/IEC27000,信息技术—安全技术—信息安全管理体系—概述和词汇
3Termsanddefinitions
3术语和定义
Forthepurposesofthisdocument,thetermsanddefinitionsgiveninISO/IEC27000apply.
ISO/IEC27000中的术语和定义适用于本标准。
4Contextoftheorganization
4组织环境
4.1Understandingtheorganizationanditscontext
4.1理解组织与其环境
Theorganizationshalldetermineexternalandinternalissuesthatarerelevanttoitspurposeandthataffectitsabilitytoachievetheintendedoute(s)ofitsinformationsecuritymanagementsystem.
组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。
NOTEDeterminingtheseissuesreferstoestablishingtheexternalandinternalcontextoftheorganizationconsideredinClause5.3ofISO31000:
2009[5].
注:
确定这些问题涉与到建立组织的外部和内部环境,在ISO31000:
2009[5]的5.3节考虑了这一事项。
4.2Understandingtheneedsandexpectationsofinterestedparties
4.2理解相关方的需求和期望
Theorganizationshalldetermine:
组织应确定:
a)interestedpartiesthatarerelevanttotheinformationsecuritymanagementsystem;and
b)therequirementsoftheseinterestedpartiesrelevanttoinformationsecurity.
a)与信息安全管理体系有关的相关方;
b)这些相关方与信息安全有关的要求
NOTETherequirementsofinterestedpartiesmayincludelegalandregulatoryrequirementsandcontractualobligations.
注:
相关方的要求可能包括法律法规要求和合同义务。
4.3Determiningthescopeoftheinformationsecuritymanagementsystem
4.3确定信息安全管理体系的X围
Theorganizationshalldeterminetheboundariesandapplicabilityoftheinformationsecuritymanagementsystemtoestablishitsscope.
组织应确定信息安全管理体系的边界和适用性,以建立其X围。
Whendeterminingthisscope,theorganizationshallconsider:
当确定该X围时,组织应考虑:
a)theexternalandinternalissuesreferredtoin4.1;
b)therequirementsreferredtoin4.2;and
c)interfacesanddependenciesbetweenactivitiesperformedbytheorganization,andthosethatareperformedbyotherorganizations.Thescopeshallbeavailableasdocumentedinformation.
a)在4.1中提与的外部和内部问题;
b)在4.2中提与的要求;
c)组织所执行的活动之间以与与其它组织的活动之间的接口和依赖性
X围应文件化并保持可用性。
4.4Informationsecuritymanagementsystem
4.4信息安全管理体系
Theorganizationshallestablish,implement,maintainandcontinuallyimproveaninformationsecuritymanagementsystem,inaccordancewiththerequirementsofthisInternationalStandard.
组织应按照本标准的要求建立、实施、保持和持续改良信息安全管理体系。
5Leadership
5领导
5.1Leadershipandmitment
5.1领导和承诺
Topmanagementshalldemonstrateleadershipandmitmentwithrespecttotheinformationsecuritymanagementsystemby:
高层管理者应通过如下方式展示其关于信息安全管理体系的领导力和承诺:
a)ensuringtheinformationsecuritypolicyandtheinformationsecurityobjectivesareestablishedandarepatiblewiththestrategicdirectionoftheorganization;
b)ensuringtheintegrationoftheinformationsecuritymanagementsystemrequirementsintotheorganization’sprocesses;
c)ensuringthattheresourcesneededfortheinformationsecuritymanagementsystemareavailable;
d)municatingtheimportanceofeffectiveinformationsecuritymanagementandofconformingtotheinformationsecuritymanagementsystemrequirements;
e)ensuringthattheinformationsecuritymanagementsystemach
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001 实用 标准
![提示](https://static.bingdoc.com/images/bang_tan.gif)