ISO/IEC 27001:2013(CN)
第二版
2013-10-19
信息技术-安全技术 -信息安全管理体系 -要求Information technology- Security techniques -Information security management systems-Requirements
目录
1 范围 (5)
2 规范性引用文件 (5)
3 术语和定义 (5)
4.1 理解组织及其环境 (5)
4.2 理解相关方的需求和期望 (5)
4.3 确定信息安全管理体系的范围 (5)
4.4 信息安全管理体系 (6)
5 领导 (6)
力量组合5.1 领导和承诺 (6)
激情5月天
5.2 方针 (6)
5.3 组织角、职责和权限 (7)
6 规划 (7)
6.1 应对风险和机会的措施 (7)
6.1.1总则 (7)
6.1.2信息安全风险评估 (7)
6.1.3信息安全风险处置 (8)
6.2 信息安全目标和规划实现 (8)
7 支持 (9)
7.1 资源 (9)
7.2 能力 (9)
7.3 意识 (9)
7.4 沟通 (10)
7.5 文件记录信息 (10)
7.5.1总则 (10)
7.5.2创建和更新 (10)
7.5.3文件记录信息的控制 (10)
8 运行 (11)
8.1 运行的规划和控制 (11)
8.2 信息安全风险评估 (11)
8.3 信息安全风险处置 (11)
大唐三藏取经诗话
9 绩效评价 (11)
9.1 监视、测量、分析和评价 (11)
9.2 内部审核 (12)
9.3 管理评审 (12)
换算率
10 改进 (13)
10.1 不符合和纠正措施 (13)
死猪江葬
10.2 持续改进 (14)
附录A(规范性附录)参考控制目标和控制措施 (15)
参考文献 (23)
ISO(国际标准化组织)和 IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织。国家机构是 ISO或IEC的成员,他们通过各自的组织建立技术委员会参与国际标准的制定,来处理特定领域的技术活动。 ISO和IEC技术委员会在共同感兴趣的领域合作。其他国际组织、政府和非政府等机
构,通过联络ISO和IEC参与这项工作。ISO和IEC已经在信息技术领域建立了一个联合技术委员会 ISO/IEC JTC1。
国际标准的制定遵循 ISO/IEC导则第2部分的规则。
联合技术委员会的主要任务是起草国际标准,并将国际标准草案提交给国家机构投票表决。国际标准的出版发行必须至少 75%以上的成员投票通过。
本文件中的某些内容有可能涉及一些专利权问题,这一点应该引起注意。 ISO和IEC不负责识别任何这样的专利权问题。
ISO/IEC 27001 由联合技术委员会 ISO/IEC JTC1(信息技术)分委员会 SC27(安全技术)起草。
第二版进行了技术上的修订,并取消和替代第一版( ISO/IEC 27001:2005)。
0.1总则
本标准用于为组织建立、实施、保持和持续改进信息安全管理体系提供要求。采用信息安全管理体系是组织的一项战略性决策。一个组织信息安全管理体系的建立和实施受其战略决策、组织需求、目标、安全要求、所采用的过程以及组织的规模和结构的影响。上述这些影响因素会不断发生变化。
信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,以充分管理风险并给予相关方信心。
信息安全管理体系是组织过程和整体管理结构的一部分并与其整合在一起是非常重要的。信息安全在设计过程、信息系统、控制措施时就要考虑信息安全。按照组织的需要实施信息安全管理体系,是本标准所期望的。
标准可被内部和外部相关方使用,评估组织的能力是否满足组织自身信息安全要求。本标准中要求的顺序并不能反映他们的重要性或意味着他们的实施顺序。列举的条目仅用于参考目的。 ISO/IEC27000描述了信息安全管理体系的概述和词汇,参考了信息安全管理体系标准族(包括 ISO/IEC 27003、ISO/IEC 27004和 ISO/IEC 27005)以及相关的术语和定义。
0.2与其他管理体系的兼容性
本标准应用了 ISO/IEC导则第一部分 ISO补充部分附录 SL中定义的高层结构、相同的子章节标题、相同文本、通用术语和核心定义。因此保持了与其它采用附录 SL的管理体系标准的兼容性。附录 SL定义的通用方法对那些选择运作单一管理体系(可同时满足两个或多个管理体系标准要求)的组织来说是十分有益的。
信息技术-安全技术-信息安全管理体系-要求
1 范围
吴川市第二中学本标准从组织环境的角度,为建立、实施、运行、保持和持续改进信息安全管理体系规定了要求。本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求。本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。组织声称符合本标准时,对于第 4章到第 10章的要求不能删减。
2 规范性引用文件
下列文件的全部或部分内容在本文件中进行了规范引用,对于其应用是必不可少的。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。
ISO/IEC 27000,信息技术 —安全技术 —信息安全管理体系 —概述和词汇
3 术语和定义
ISO/IEC 27000中的术语和定义适用于本标准。
4 组织环境
4.1 理解组织及其环境
组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。
注:确定这些问题涉及到建立组织的外部和内部环境,在 ISO 31000:2009[5]的5.3节考虑了这一事项。
4.2 理解相关方的需求和期望
组织应确定:
a)与信息安全管理体系有关的相关方;
b)这些相关方与信息安全有关的要求。
注:相关方的要求可能包括法律法规要求和合同义务。
4.3 确定信息安全管理体系的范围
组织应确定信息安全管理体系的边界和适用性,以建立其范围。当确定该范围时,组织应考虑:
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议