ISO27001信息安全管理体系要求 中英对照版.docx
- 文档编号:15160325
- 上传时间:2023-07-01
- 格式:DOCX
- 页数:64
- 大小:43.92KB
ISO27001信息安全管理体系要求 中英对照版.docx
《ISO27001信息安全管理体系要求 中英对照版.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理体系要求 中英对照版.docx(64页珍藏版)》请在冰点文库上搜索。
ISO27001信息安全管理体系要求中英对照版
ISO标准——IEC27001:
2013
信息安全管理体系——
要求
Referencenumber
ISO/IEC27001:
2013(E
1范围1Scope
本国际标准规定了在组织背景下建立、实施、维护和持续改进信息安全管理体系。
本标准还包括信息安全风险评估和处置要求,可裁剪以适用于组织。
本国际标准的要求是通用的,适用于所有的组织,不考虑类型、规模和特征。
当组织声称符合本国际标准时,任何条款4-10的排除是不可接受的。
ThisInternationalStandardspecifiestherequirementsforestablishing,implementing,maintainingandcontinuallyimproving
aninformationsecuritymanagementsystemwithinthecontext
oftheorganization.ThisInternationalStandardalsoincludesrequirementsfortheassessmentandtreatmentofinformationsecurityriskstailoredtotheneedsoftheorganization.TherequirementssetoutinthisInternationalStandardaregenericandareintendedtobeapplicabletoallorganizations,regardlessoftype,sizeornature.ExcludinganyoftherequirementsspecifiedinClauses4to10isnotacceptablewhenanorganizationclaimsconformitytothisInternationalStandard.
2规范性引用文件
下列参考文件是本文件的标准参考,也是应用本文件必不可缺的。
对于标注日期的引用文件,仅适用于引用版本。
对于不标注日期的引用文件,适用于最新版本的引用文件。
ISO/IEC27000,信息技术—安全技术—信息安全管理体系-简介和词汇表。
2Normativereferences
Thefollowingdocuments,inwholeorinpart,arenormativelyreferencedinthisdocumentandareindispensableforitsapplication.Fordatedreferences,onlytheeditioncitedapplies.Forundatedreferences,thelatesteditionofthereferenceddocument(includinganyamendmentsapplies.
ISO/IEC27000,Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary
3术语和定义
ISO27000的术语和定义适用于本文件3Termsanddefinitions
Forthepurposesofthisdocument,thetermsanddefinitionsgiveninISO/IEC27000apply.
4.组织环境
4.1理解组织及其环境
组织应当确定与信息安全管理体系目的相关联及影响其实现预期结果能力的外部及内部环境。
注:
确定这些问题参考ISO31000:
2009中5.3条款的建立组织外部和内部环境;
4.2理解相关方的需求和期望
组织应确定:
a信息安全管理体系的利益相关方;
b这些利益相关方的信息安全相关要
求;
注:
利益相关方的要求可能包括法律、法规要求和合同责任。
4.3确定信息安全管理体系范围
组织应确定信息安全管理体系的边界和应用性,以建立其范围。
当确定此范围时,组织应考虑:
a4.1所提及的外部和内部问题;
b4.2所提及的要求;
c接口和组织执行的活动之间的依
赖关系,以及其他组织执行的活
动。
范围应成为文件化信息。
4.4信息安全管理体系
组织应按照本国际标准的要求建立、实施、维护和持续改进信息安全管理体系。
4Contextoftheorganization
4.1Understandingtheorganizationanditscontext
Theorganizationshalldetermineexternalandinternalissuesthatarerelevanttoitspurposeandthataffectitsabilitytoachievetheintendedoutcome(sofitsinformationsecuritymanagementsystem.
NOTE:
DeterminingtheseissuesreferstoestablishingtheexternalandinternalcontextoftheorganizationconsideredinClause5.3ofISO31000:
2009.
4.2Understandingtheneedsandexpectationsofinterestedparties
Theorganizationshalldetermine:
ainterestedpartiesthatarerelevanttotheinformationsecuritymanagementsystem;and
btherequirementsoftheseinterestedpartiesrelevanttoinformationsecurity.
NOTE:
Therequirementsofinterestedpartiesmayincludelegalandregulatoryrequirementsandcontractualobligations.
4.3Determiningthescopeoftheinformationsecuritymanagementsystem
Theorganizationshalldeterminetheboundariesandapplicabilityoftheinformationsecuritymanagementsystemtoestablishitsscope.Whendeterminingthisscope,theorganizationshallconsider:
atheexternalandinternalissuesreferredtoin4.1;
btherequirementsreferredtoin4.2;and
cinterfacesanddependenciesbetweenactivitiesperformedbytheorganisation,andthosethatareperformedbyotherorganisations.Thescopeshallbeavailableasdocumentedinformation.
4.4Informationsecuritymanagementsystem
Theorganizationshallestablish,implement,maintainandcontinuallyimproveaninformationsecuritymanagementsystem,inaccordancewiththerequirementsofthisInternationalStandard.
5.领导力
5.1领导力和承诺
最高管理者应当展示关注信息安全管理体系的领导力和承诺,通过:
a确保建立信息安全方针和信息安全
目标,并与组织的战略方向兼容;
b确保信息安全管理体系要求融合到
组织的流程中;5Leadership
5.1Leadershipandcommitment
Topmanagementshalldemonstrateleadershipandcommitmentwithrespecttotheinformationsecuritymanagementsystemby:
aensuringtheinformationsecuritypolicyandtheinformationsecurityobjectivesareestablishedandarecompatiblewiththestrategicdirectionoftheorganization;
bensuringtheintegrationoftheinformationsecuritymanagement
c确保信息安全体系所需要的资源;
d沟通有效信息安全管理的重要性,并
符合信息安全管理体系的要求;
e确保信息安全管理体系达到预期的
成果;
f指导和支持员工对信息安全管理体
系的有效性做出贡献;
g促进持续改进;
h支持其他相关管理角色来展示其领
导力,当适用其职责范围时。
5.2方针
最高管理层应建立一个信息安全方针:
a与组织的目标相关适应;
b包括信息安全目标(见6.2,或提
供制定信息安全目标的框架;
c包括满足适用信息安全要求的承诺;
d包括信息安全管理体系持续改进的
承诺;
信息安全方针应:
e成为文件化的信息;
f在组织内部沟通;
g适当时,提供给利益相关方;
5.3组织角色、职责和权限
最高管理层应确保信息安全相关角色的职责和权限的分配和沟通。
最高管理层应指定责任和授权,以:
a确保信息安全管理体系符合本国际
标准的要求;
b将信息安全管理体系绩效报告给最
高管理层;
注:
最高管理层可以为组织内信息安全管理体系绩效报告指派职责和授权。
systemrequirementsintotheorganization’sprocesses;
censuringthattheresourcesneededfortheinformationsecuritymanagementsystemareavailable;
dcommunicatingtheimportanceofeffectiveinformationsecuritymanagementandconformingtotheinformationsecuritymanagementsystemrequirements;
eensuringthattheinformationsecuritymanagementsystemachievesitsintendedoutcome(s;
fdirectingandsupportingpersonstocontributetotheeffectivenessoftheinformationsecuritymanagementsystem;
gpromotingcontinualimprovement;and
hsupportingotherrelevantmanagementrolestodemonstratetheirleadershipasitappliestotheirareasofresponsibility.
5.2Policy
Topmanagementshallestablishaninformationsecuritypolicythat:
aisappropriatetothepurposeoftheorganization;
bincludesinformationsecurityobjectives(see6.2orprovidestheframeworkforsettinginformationsecurityobjectives;
cincludesacommitmenttosatisfyapplicablerequirementsrelatedtoinformationsecurity;and
dincludesacommitmenttocontinualimprovementoftheinformationsecuritymanagementsystem.
Theinformationsecuritypolicyshall:
ebeavailableasdocumentedinformation;
fbecommunicatedwithintheorganization;and
gbeavailabletointerestedparties,asappropriate.
5.3Organizationalroles,responsibilitiesandauthorities
Topmanagementshallensurethattheresponsibilitiesandauthoritiesforrolesrelevanttoinformationsecurityareassignedandcommunicated.
Topmanagementshallassigntheresponsibilityandauthorityfor:
aensuringthattheinformationsecuritymanagementsystemconformstotherequirementsofthisInternationalStandard;and
breportingontheperformanceoftheinformationsecuritymanagementsystemtotopmanagement.
NOTE:
Topmanagementmayalsoassignresponsibilitiesandauthoritiesforreportingperformanceoftheinformationsecuritymanagementsystemwithintheorganization.
6.策划
6.1针对风险和机会所采取的措施
6.1.1总则
当进行信息安全管理体系策划时,组织应6Planning
6.1Actionstoaddressrisksandopportunities
6.1.1General
Whenplanningfortheinformationsecuritymanagementsystem,theorganization
当考虑在4.1条款中提到的事宜及4.2条款中规定的要求,并确定需要关注的风险和机会,以:
a确保信息安全管理体系能够实现其预
期结果
b预防或降低不希望得到的影响
c实现持续改进
组织应当计划:
d针对这些风险和机会所采取的措施,
以及
e如何
1将这些措施整合进信息安全管理
体系过程之中,
2评价这些措施的有效性
6.1.2信息安全风险评估
组织应定义和应用信息安全风险评估流程,以:
a建立和维护信息安全标准,包括
1风险接受准则;
2执行信息安全风险评估准则;
b确保可重复的信息安全风险评估
生成一致、有效和可比较的结果
c识别信息安全风险
1应用信息安全风险评估流程,识
别ISMS范围内信息保密性、完
整性和可用性损失的风险;
2识别风险所有者;
d分析信息安全风险
1评估在6.1.2c1中识别风险
导致的潜在后果
2评估在6.1.2c1中识别风险
发生的可能性
3确定风险等级
e评估信息安全风险
1风险分析结果与6.1.2a中建
立的风险准则进行比较
2为风险处置,建立风险优先级和
分析
组织应保留文件化的信息安全风险评估流程信息shallconsidertheissuesreferredtoin4.1andtherequirementsreferredtoin4.2anddeterminetherisksandopportunitiesthatneedtobeaddressedto:
aensuretheinformationsecuritymanagementsystemcanachieveitsintendedoutcome(s;
bprevent,orreduce,undesiredeffects;and
cachievecontinualimprovement.
Theorganizationshallplan:
dactionstoaddresstheserisksandopportunities,and
ehowto
1integrateandimplementtheactionsintoitsinformationsecurity
managementsystemprocesses;and
2evaluatetheeffectivenessoftheseactions.
6.1.2Informationsecurityriskassessment
Theorganizationshalldefineandapplyaninformationsecurityriskassessmentprocessthat:
aestablishesandmaintainsinformationsecuritycriteriathat
include:
1theriskacceptancecriteria;and
2criteriaforperforminginformationsecurityrisk
assessments;
bensuresthatrepeatedinformationsecurityriskassessmentsproduceconsistent,validandcomparableresults.
cIdentifytheinformationsecurityrisks.
1Applytheinformationsecurityriskassessmentprocessto
identifyrisksassociatedwiththelossofconfidentiality,integrityandavailabilityforinformationwithinthescopeoftheinformationsecuritymanagementsystem;and
2Identifytheriskowners.
dAnalysestheinformationsecurityrisks.
1Assessthepotentialconsequencesthatwouldresultifthe
risksidentifiedin6.1.2c1weretomaterialize.
2Assesstherealisticlikelihoodoftheoccurrenceoftherisks
identifiedin6.1.2c1.and
3Determinethelevelsofrisk.
eEvaluatetheinformationsecurityrisks.
1Comparetheresultsofriskanalysiswiththeriskcriteria
establishedin6.1.2a;and
2prioritizetheanalysedrisksforrisktreatment.
Theorganizationshallretaindocumentedinformationabouttheinformationsecurityriskassessmentprocess.
6.1.3信息安全风险处置
组织应定义和应用信息安全风险处置流程,以:
a选择适当的信息安全风险处置选
项,考虑风险评估结果;
b确定实施所选信息安全风险处置
选项所需的所有控制措施;
注:
组织可设计所需的控制措施,或从任何来源中识别它们
c比较6.1.3b中与附录A中的措施
项,确认没有忽略必要的控制项;注1:
附录A包含控制目标和控制措施的完整列表。
本国际标准的用户应确保附录A的重要控制措施没有被忽略
注2:
控制目标隐含在所选择的控制项中。
附录A中的控制目标和控制措施并不全面,可能还需要额外的控制目标和控制措施。
d制作适用性声明,包括必要的控
制措施(见6.1.3b和c和选
择的理由,无论实施与否,应说
明删减附录A中控制措施的理
由;
e制定信息安全风险处置计划;
f获得风险所有者批准信息安全风
险处置计划和残余信息安全风险
接受标准;
组织应保留信息安全风险处置过程的文件化信息。
注:
本国际标准中信息安全风险评估和处置过程与ISO31000中的原则和通用指南一致。
6.2信息安全目标及实现其目标的策划
组织应当在相关职能及层次上建立信息安全目标。
信息安全目标应:
a与信息安全方针保持一致;
b是可测量的(如果可行;
c考虑适用的信息安全要求,以及
风险评估和风险处置的结果;
d是可沟通的;6.1.3Informationsecurityrisktreatment
Theorganizationshalldefineandapplyaninformationsecurityrisktreatmentprocessto:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001信息安全管理体系要求 中英对照版 ISO27001 信息 安全管理 体系 要求 中英对照