ISO 27001-2013 - 中文版(0.1版绿盟).pdf
- 文档编号:14660647
- 上传时间:2023-06-25
- 格式:PDF
- 页数:26
- 大小:495.89KB
ISO 27001-2013 - 中文版(0.1版绿盟).pdf
《ISO 27001-2013 - 中文版(0.1版绿盟).pdf》由会员分享,可在线阅读,更多相关《ISO 27001-2013 - 中文版(0.1版绿盟).pdf(26页珍藏版)》请在冰点文库上搜索。
国际标准国际标准ISOISO/IEC27001/IEC27001第二版2013-10-01中文翻译版第0.1版2013-10-17参考号ISO/IEC27001:
2013(E)ISO/IEC2013信息技术信息技术安全技术安全技术信息安全管理体系信息安全管理体系要求要求受版权保护的文档ISO/IEC2013保留所有权利。
除非另有说明,未经事先书面许可,不得通过任何形式或手段进行复制或利用本出版物的任何部分内容,包括电子、机械、影印,或张贴在互联网或企业内部网上。
可通过下面所列的ISO组织地址或ISO成员机构获得许可。
ISO版权办公室Casepostale56CH-1211Geneva20电话:
+41227490111传真:
+41227490947电子信箱:
copyrightiso.org网址:
www.iso.org瑞士出版翻译翻译说明说明继ISO/IEC27000系列文件于2005年发布之后,历经8年的时间,ISO组织终于在日前发布了2013新版。
关注ISO/IEC27000系列国际标准的读者可以学习并参阅该标准。
为了便于国内读者的阅读和使用,笔者团队利用业余时间自行翻译了本中文版本。
因团队水平有限,其中错误和遗漏之处在所难免。
欢迎各位安全界同仁批评指正。
声明:
若因阅读、使用本文而给读者造成的任何形式的损失,本团队不承担任何责任。
本中文版文件的著作权归本团队所有。
本文仅供网上阅读学习之用,亦可通过电子文件复制的方式进行传播。
未经授权,不得用于任何商业目的。
翻译团队:
齐芳齐芳邮箱:
陆辉陆辉邮箱:
刘凯刘凯邮箱:
蔡昆蔡昆邮箱:
贡献者:
付峥付峥邮箱:
徐特徐特邮箱:
目录目录0介绍.xxxv1范围.12规范性引用.13术语与定义.14组织的环境.14.1理解组织及环境.14.2理解相关方的需求和期望.14.3明确信息安全管理体系的范围.14.4信息安全管理体系.25领导.25.1领导与承诺.25.2方针.25.3组织角色、职责和权力.26计划.36.1处置风险和机遇的活动.36.2信息安全目标和实施计划.47支持.57.1资源.57.2能力.57.3意识.57.4沟通.57.5文档信息.58操作.68.1操作规划和控制.68.2信息安全风险评估.78.3信息安全风险处置.79绩效评价.79.1监测、测量、分析和评价.79.2内部审核.79.3管理评审.810改进.810.1不符合情况和改正措施.810.2持续改进.9附录A(引用)参考控制目标和控制措施.10参考书目.20前言前言国际标准化组织(ISO)是由各国标准化团体(ISO成员团体)组成的世界性的联合会。
制定国际标准工作通常由ISO的技术委员会完成。
各成员团体若对某技术委员会确定的项目感兴趣,均有权参加该委员会的工作。
与ISO保持联系的各国际组织(官方的或非官方的)也可参加有关工作。
ISO与国际电工委员会(IEC)在电工技术标准化方面保持密切合作的关系。
在信息技术领域,ISO和IEC设立了一个联合技术委员会,ISO/IECJTC1。
国际标准是根据ISOIEC导则第2部分的规则起草。
技术委员会的主要任务是制定国际标准。
由技术委员会通过的国际标准草案提交各成员团体投票表决。
国际标准草案需取得至少75%参加表决成员团体的同意,才能作为国际标准正式发布。
本文件中的某些内容有可能涉及一些专利权问题,对此应引起注意,ISO不负责识别任何这样的专利权问题。
本经过技术修订的第二版将取代(ISO/IEC27001:
2005)第一版。
ISO/IEC27001:
2013(E)ISO/IEC2013版权所有xxxv0介绍绍0.1总则总则本国际标准为组织建立、实施、维护和持续改进信息安全管理体系提出了要求。
一个组织的战略决策、组织需求、目标、安全需求以及工作流程和组织规模等因素将直接影响到组织如何建立和实施信息安全管理体系。
以上这些影响因素也将会随着时间而发生改变。
信息安全管理体系通过实施风险管理过程控制以及为利益关系方进行可信的充分全面的风险管理,来保护组织的机密性、完整性和可用性。
信息安全管理体系是全面管理架构和组织流程的一部分,并且与其紧密结合,这一点非常重要。
组织在进行流程、信息系统和控制方面的设计过程中都需要考虑信息安全。
本国际标准可以用于组织内部或外部团体对该组织进行管理能力的评估,从而了解组织自身的信息安全需求。
本标准附录中列举的控制要求的先后顺序不代表其重要程度或实施的先后顺序要求。
列表项顺序只做参考用途。
ISO/IEC27000描述了信息安全管理体系的总述和术语,参考了信息安全管理体系标准族(包括ISO/IEC27003W,ISO/IEC270043andISO/IEC270054)的相关名词解释和定义。
0.2与其他管理体系的兼容性与其他管理体系的兼容性本国际标准采用了通用的架构,具备与ISO/IEC标准体系相同的章节、相同的文本、通用的条款,与附录SL中定义的ISO/IEC导则的第一部分也保持了一致。
因此,本标准保持了与其他管理体系标准的兼容性。
这种在附录SL中的通用定义方法,对于某组织只实施某一个管理体系项目而需要参考两个或更多管理体系标准的情况是非常有用的。
ISO/IEC27001:
2013(E)ISO/IEC2013版权所有11范围范围本国际标准详述了在组织内部建立、实施、维护和持续改进信息安全管理体系的要求。
本国际标准还包括了根据组织需求进行评估和处置信息安全风险的要求。
在本国际标准中规定的要求是通用的,旨在适用于无论类型,规模或性质的所有组织。
一个组织若声称符合本国际标准,不得排除4到10章节要求中的任何条款。
2规范性引用规范性引用下面是本标准的规范性引用文件。
凡注明日期的引用文件,仅该引用的版本适用。
没有注明日期的引用文件,则引用文件的最新版本(包括任何修订后的版本)适用。
ISO/IEC27000,信息技术-安全技术-信息安全管理体系概述和术语3术语与定义术语与定义ISO/IEC27000提供了术语与定义。
4组织的组织的环境4.1理解组织及环境理解组织及环境组织应首先明确各种内、外部环境问题,该问题将会关系到其总体目标,影响其实现预期信息安全管理体系成果。
注:
注:
需要明确考虑的问题是指在需要明确考虑的问题是指在ISO31000:
2009ISO31000:
200955.35.3章节中的建立内、外部组织的环境问题章节中的建立内、外部组织的环境问题。
4.2理解相关方的需求和期望理解相关方的需求和期望组织应确定:
a)与信息安全管理体系有关的相关方;b)相关方的信息安全需求。
注注:
相关方的要求包括法律法规要求和合同规定的义务。
相关方的要求包括法律法规要求和合同规定的义务。
4.3明确信息安全管理体系的范围明确信息安全管理体系的范围组织应明确信息安全管理体系的边界和适用性,以明确其范围。
确定范围时,组织应考虑:
a)与在4.1章节中有关的内外部问题;b)与在4.2章节中有关的需求;ISO/IEC27001:
2013(E)ISO/IEC2013版权所有2c)组织自身活动和与其他组织开展活动所产生的衍生问题和依赖关系。
范围的相关内容应形成文档。
4.4信息安全管理体系信息安全管理体系组织应按照标准要求建立、实施、维护和持续改进信息安全管理体系。
5领导领导5.1领导与承诺领导与承诺高级管理层应通过如下行动证明其实施了与信息安全管理体系有关的领导工作与承诺:
a)确保建立与组织战略目标一致的信息安全方针和信息安全目标;b)确保信息安全管理体系要求与组织的管理流程一体化;c)确保提供必要的信息安全管理体系需要的各项资源;d)信息安全管理有效性和遵守信息安全管理体系要求有效性的重要沟通;e)确保信息安全管理体系实现其预期目标;f)指导和支持能够有助于实现信息安全管理体系的人员;g)促进实施的持续性;h)支持其他相关的管理角色,使其在其相应的职责范围内能够很好的履行领导力。
5.2方针方针高级管理层应建立信息安全方针:
a)应适合组织的信息安全目标和要求;b)应包括信息安全目标(见6.2)或者提供建立信息安全目标的框架;c)应包括承诺满足信息安全的相关要求;d)应包括承诺持续改进信息安全管理体系。
信息安全管理策略应:
e)应形成可用的文档;f)应与组织内部充分沟通;g)应适用于外部相关方。
5.3组织角色、职责和权力组织角色、职责和权力高级管理层应确保被赋予了与其信息安全管理角色相关的职责和权力。
高级管理层应被赋予的职责和权力包括:
a)确保组织建立的信息安全管理体系符合本国际标准要求;ISO/IEC27001:
2013(E)ISO/IEC2013版权所有3b)向上层汇报信息安全管理体系的执行情况。
注:
注:
高级管理层也应被赋予相应的职责和权力,从而向组织内部汇报说明信息安全管理体系的执行情况。
高级管理层也应被赋予相应的职责和权力,从而向组织内部汇报说明信息安全管理体系的执行情况。
6计划计划6.1处置风险和机遇的活动处置风险和机遇的活动6.1.1总则总则当进行信息安全管理体系规划时,组织应参考4.1中的问题和4.2中的需求,来决定需要被处置的风险和机遇:
a)确保信息安全管理体系可以实现其预期目标;b)避免或减少不良影响;c)实现持续改进。
组织应规划:
d)处置风险和机遇的控制措施;e)如何1)将实施行动整合到信息安全管理体系流程中;2)评价行动的有效性。
6.1.2信息安全风险评估信息安全风险评估组织应定义和实施信息安全风险评估流程,从而:
a)建立和维护信息安全风险标准,包括:
1)风险接受标准;2)实施信息安全风险评估的标准;b)确保每一次实施的信息安全风险评估流程的一致性、有效性和可比较性;c)识别信息安全风险:
1)在一定的信息安全管理体系范围内,通过信息安全风险评估流程,来识别由于信息的机密性、完整性和可用性的丧失带来的风险;2)识别风险的属主;d)分析信息安全风险:
1)评估在6.1.2c)1)中识别的风险是否会转化为安全事件;2)评估在6.1.2c)1)中识别的风险转化为事件的可能性;3)确定风险的等级;e)评价信息安全风险:
ISO/IEC27001:
2013(E)ISO/IEC2013版权所有41)使用在6.1.2a)中提到的建立风险标准进行风险分析结果的比较。
2)风险分析和风险处置的优先级。
组织应保留有关信息安全风险评估流程的各项文档信息。
6.1.3信息安全风险处置信息安全风险处置组织应定义和实施信息安全风险处置流程:
a)考虑到风险评估的结论,选择正确的信息安全风险处置方式;b)明确对信息安全风险处置有关的各项控制措施;注:
注:
组织可以根据标准要求来设计控制措施,也可以根据其他方面因素和来源设计控制措施。
组织可以根据标准要求来设计控制措施,也可以根据其他方面因素和来源设计控制措施。
c)比较以上6.1.3b)中的和附录A的控制措施,确保未遗漏有效的控制措施;注注11:
附录附录AA保留了一个综合的控制对象和控制措施的清单,使用本标准的用户可以直接使用附录保留了一个综合的控制对象和控制措施的清单,使用本标准的用户可以直接使用附录AA的内的内容,并确保没有遗漏、忽视必要的控制措施。
容,并确保没有遗漏、忽视必要的控制措施。
注注22:
对控制措施的选择无疑涵盖了控制目标。
附录:
对控制措施的选择无疑涵盖了控制目标。
附录AA中没有涉及的控制对象和控制措施内容应给予补充中没有涉及的控制对象和控制措施内容应给予补充和增加。
和增加。
d)制订具备必要控制措施(见6.1.3b)和c)的适用性声明SOA,来判断包含项是否被有效纳入实施范围,判断排除内容是否从附录A的控制措施被有效排除;e)制定信息安全风险处置计划;f)得到风险属主针对信息安全风险处置计划和残余风险接受情况的许可。
组织应保留信息安全风险处置过程的文档信息。
注:
本标准中的信息安全风险评估和处置流程与注:
本标准中的信息安全风险评估和处置流程与ISO31000ISO310005中的原则和通用指导保持一致。
中的原则和通用指导保持一致。
6.2信息安全目标和实施计划信息安全目标和实施计划组织应在相关的总体功能和层级上建立信息安全目标。
信息安全目标应:
a)与信息安全策略相一致;b)可以度量(如果可操作);c)根据风险评估和风险处置结果,考虑采用适用的信息安全要求;d)沟通;e)及时更新。
组织应将信息安全目标以文档化形式保留。
在规划如何实现信息安全目标时,组织应明确:
f)应规划什么;g)需要什么资源;h)谁来负责;i)什么时候完成;ISO/IEC27001:
2013(E)ISO/IEC2013版权所有5j)如何评价结论。
7支持支持7.1资源资源组织应明确并提供建立、实施、维持和持续改进信息安全管理体系所需的资源。
7.2能力能力组织应:
a)明确雇员具有影响组织的信息安全绩效的能力;b)确保人员经过适当的教育、训练或经历后能够胜任工作;c)在适当的情况下,采取措施以获得必要的能力,并评估所采取措施的有效性;d)保留适当的文档信息作为证据。
注注:
适当适当的措施的措施可能可能包括,例如:
包括,例如:
提供培训、指导或重新分配现有员工,或雇用或与提供培训、指导或重新分配现有员工,或雇用或与有能力的有能力的人士签订人士签订合合同同。
7.3意识意识组织的员工应了解:
a)信息安全策略;b)他们对信息安全管理体系有效性的贡献和提高信息安全绩效的好处;c)不符合信息安全管理体系要求造成的影响。
7.4沟通沟通组织应明确与信息安全管理体系相关的内、外部沟通需求,包括:
a)沟通什么;b)何时沟通;c)和谁沟通;d)谁应该沟通;e)哪种沟通过程有效。
7.5文档信息文档信息7.5.1综述综述组织的信息安全管理体系应包括:
a)符合本国际标准的文档信息;ISO/IEC27001:
2013(E)ISO/IEC2013版权所有6b)组织所明确的,作为信息安全管理体系有效性的必要的文档信息。
注:
不同组织注:
不同组织的的信息安全管理体系信息安全管理体系的的文档范围可能不同文档范围可能不同:
1)组织的规模、活动类型、过程、产品和服务;2)过程的复杂程度及其相互作用3)人员能力7.5.2创建和更新创建和更新组织应明确何时创建和更新文档信息是适合的:
a)识别和描述(例如:
标题、日期、作者和参考号);b)格式(例如:
语言、软件版本和图标)与介质(例如:
纸质、电子);c)适当、足够的评审和审批。
7.5.3文档信息控制文档信息控制信息安全管理体系和本国际标准要求的文档信息应予以控制以确保:
a)无论何时何地都应可用;b)文档应被充分保护(例如:
泄密、不当使用或丧失完整性)。
为控制文档信息,组织应根据具体情况对以下活动做标记处理:
c)分发、访问、检索和使用;d)存储和维护,包括保存的易读性;e)变更控制(例如:
版本控制);f)保留和处置。
明确组织进行信息安全管理体系规划和操作所必需的外部文档信息,并进行适当的标识和控制。
注注:
访问意味着仅允许查看文档信息访问意味着仅允许查看文档信息,或或经经许可和授权许可和授权对文档进行查看和修改。
对文档进行查看和修改。
8操作操作8.1操作规划和控制操作规划和控制组织应规划、实施和控制在6.1中所确定的措施,以满足信息安全要求所需的过程。
组织还应执行计划以实现在6.2中所明确的信息安全目标。
组织应保留必要的文档信息,确保过程按照计划执行。
组织应控制计划更改,并审核非计划变更的影响,如有必要采取措施减少不利影响。
组织应确保外包过程受控。
ISO/IEC27001:
2013(E)ISO/IEC2013版权所有78.2信息安全风险评估信息安全风险评估组织应按照计划,或者在重大改变提出或发生时进行信息安全风险评估,并考虑6.1.2a)制订的标准。
组织应将信息安全风险评估的结果作为文档信息保留。
8.3信息安全风险处置信息安全风险处置组织应执行风险评估处置计划。
组织应将信息安全风险处置的结果作为文档信息保留。
9绩效评价绩效评价9.1监测、测量、分析和评价监测、测量、分析和评价组织应评价信息安全管控的实现情况和信息安全管理体系有效性。
组织应明确:
a)包括信息安全过程和控制在内,应监控和测量什么;b)监控、测量、分析和评价(根据具体情况)的方法,以确保结果有效;注注:
能能产生可比较的产生可比较的和和可重现的结果的方法可重现的结果的方法是是有效的。
有效的。
c)何时实施监控和测量;d)谁负责监控和测量;e)何时分析和评价监控和测量的结果;f)谁应分析和评价这些结果。
组织应保留适当的文档信息作为监测和测量结果的证据。
9.2内部审核内部审核组织应定期进行内部审核以明确信息安全管理体系是否:
a)符合1)满足组织自身的信息安全管理要求;2)本国际标准的要求;b)有效的执行和保持。
组织应:
c)规划、建立、执行和保持审核程序,包括频率、方法、责任、规划要求和报告。
审核程序应考虑有关的过程的重要性和以前的审核结果;d)定义审核标准和各审核范围;e)选择审核员并进行审核,确保审核过程的客观和公正;ISO/IEC27001:
2013(E)ISO/IEC2013版权所有8f)确保审核结果报告给相关管理层;g)组织应保留文档信息作为审核程序和审核结果的证据。
9.3管理评审管理评审高级管理层应定期评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。
管理评审应考虑包括:
a)以往管理评审的措施状态;b)内、外部信息安全管理体系相关问题的变化;c)反馈信息安全管控的执行情况,包括如下趋势:
1)不符合情况和改正措施2)监控和测量的结果;3)审核结果;4)信息安全目标实现情况;d)相关方的反馈;e)风险评估的结果和风险处置计划的状态;f)持续改进的时机。
管理评审的输出应包括持续改进的时机和任何需要更改的信息安全管理体系的相关决定。
组织应保留文档信息作为管理评审结果的证据。
10改进改进10.1不符合情况和改正措施不符合情况和改正措施当不符合情况产生时,组织应:
a)对不符合情况采取措施,如:
1)采取措施,以控制和改正它;2)处置影响;b)评估采取措施的必要性,以消除不符合情况产生的原因,确保它不会再发生或在其他地方发生,通过:
1)评审不符合情况;2)明确不符合情况产生的原因;3)明确是否存在或可能发生类似的不符合情况;c)执行必要的措施;ISO/IEC27001:
2013(E)ISO/IEC2013版权所有9d)评审已采取的改正措施的有效性;e)如有必要,改进信息安全管理体系。
改正措施应与所遇到的不符合的影响程度相适应。
组织应保留文档信息作为证据:
f)不符合情况的性质和所采取的后续行动;g)改正措施的结果。
10.2持续改进持续改进组织应不断完善信息安全管理体系的适宜性、充分性和有效性。
ISO/IEC27001:
2013(E)ISO/IEC2013版权所有10附录附录A(引用)(引用)参考控制目标和控制措施参考控制目标和控制措施表A.1列出的控制目标和控制措施是直接引用了BSISO/IEC27002:
20131中的章节5至18的内容,这些选择控制目标和控制措施也可以被用于本文的6.1.3章节。
表表A.1A.1控制目标和控制措施控制目标和控制措施A.5A.5信息安全策略信息安全策略A.5.1A.5.1信息安全管理指南信息安全管理指南目标:
提供符合有关法律法规和业务需求的信息安全管理指南和支持。
A.5.1.1信息安全策略文件控制措施应定义一套信息安全策略,信息安全策略文件应经过管理层批准,并向所有员工和相关外部团体发布和沟通。
A.5.1.2信息安全策略评审控制措施应定期或在发生重大的变化时评审这些策略文件,确保策略的持续性、稳定性、充分性和有效性。
A.6A.6信息安全组织信息安全组织A.6.1A.6.1内部组织内部组织目标:
要建立一个管理框架,在组织内部启动和控制信息安全的建设和运行。
A.6.1.1信息安全的角色和职责控制措施应定义和分配所有信息安全职责。
A.6.1.2职责分离控制措施有冲突的职责和责任范围应分离,以减少未经授权或无意修改或误用组织资产的机会。
A.6.1.3与监管机构的联系控制措施应与相关监管机构维持适当联系。
A.6.1.4与特殊利益团体的联系控制措施与特殊利益团体、其他专业安全协会或行业协会应维持适当联系。
A.6.1.5项目管理中的信息安全控制措施无论什么类型的项目,都应在项目中进行信息安全建设。
A.6.2A.6.2移动设备和远程办公移动设备和远程办公目标:
应确保远程办公和使用移动设备的安全性。
A.6.2.1移动设备策略控制措施应采取安全策略和配套的安全措施,对使用移动设备带来的风险进行管理。
A.6.2.2远程办公控制措施应实施安全策略和配套的安全措施,保护信息的访问、处理或在远程办公地点的存储。
A.7A.7人力资源的安全人力资源的安全A.7.1A.7.1雇用之前雇用之前目标:
确保员工、合同人员和承包商人员理解他们的责任,确保他们的角色是合适的、经过仔细考虑的。
ISO/IEC27001:
2013(E)ISO/IEC2013版权所有11A.7.1.1人员筛选控制措施根据相关法律、法规、道德规范,对员工、合同人员及承包商人员进行背景调查,调查应符合业务需求、访问的信息类别及已知风险。
A.7.1.2雇用条款和条件控制措施员工和承包商的合同协议应当规定他们和组织的信息安全责任。
A.7.2A.7.2雇用中雇用中目标:
确保员工和承包商明白和履行他们的信息安全责任。
A.7.2.1管理职责控制措施管理层应要求员工、合同方和承包商用户应用符合组织建立的信息安全策略和程序。
A.7.2.2信息安全意识、教育与培训控制措施组织内所有员工、相关合同人员及承包商人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序。
A.7.2.3惩戒程序控制措施应建立并传达正式的惩戒程序,据此对违反安全策略的员工进行惩戒。
A.7.3A.7.3雇用终止和变更雇用终止和变更目标:
在雇用终止和变更过程中保护组织的利益。
A.7.3.1职业责任的终止或变更控制措施应定义信息安全责任和义务在雇用终止或变更后仍然有效,并向雇员和承包商传达并执行。
A.8A.8资产管理资产管理A.8.1A.8.1资产的责任资产的责任目标:
确定组织资产,并确定适当的保护责任。
A.8.1.1资产清单控制措施应确定信息资产和信息处理设施相关资产的资产清单,应制定和维护资产清单。
A.8.1.2资产所有权控制措施资产清单中的资产应指定资产所有者。
A.8.1.3资产的合理使用控制措施应识别信息和信息处理设施相关资产的合理使用准则,形成文件并实施。
A.8.1.4资产的退还控制措施在就业合同或协议终止后,所有员工和外部方用户应退还所有他们使用的组织资产。
A.8.2A.8.2信息分类信息分类目标:
确保信息资产是按照其对组织的重要性受到适当级别的保护。
A.8.2.1信息分类控制措施应根据法规、价值、重要性和敏感性对信息进行分类,保护信息免受未授权泄露或篡改。
A.8.2.2信息标识控制措施ISO/IEC27001:
2013(E)ISO/IEC2013版权所有12应制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配。
A.8.2.3资产处置控制措施应制定和实施
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO 27001-2013 中文版0.1版,绿盟 27001 2013 中文版 0.1