ISO_IEC_27003_2017_cn中文版.pdf-资料库

qq_29277155-10393030-16359647626910771418.pdf-第1页.png

第1页 / 共70页

qq_29277155-10393030-16359647626910771418.pdf-第2页.png

第2页 / 共70页

qq_29277155-10393030-16359647626910771418.pdf-第3页.png

第3页 / 共70页

qq_29277155-10393030-16359647626910771418.pdf-第4页.png

第4页 / 共70页

qq_29277155-10393030-16359647626910771418.pdf-第5页.png

第5页 / 共70页

qq_29277155-10393030-16359647626910771418.pdf-第6页.png

第6页 / 共70页

qq_29277155-10393030-16359647626910771418.pdf-第7页.png

第7页 / 共70页

qq_29277155-10393030-16359647626910771418.pdf-第8页.png

第8页 / 共70页

ISO/IEC 27003:2017 国际标准 ISO/IEC 27003 第二版 2017-03-01 信息技术-安全技术-信息安全管理体系-指南参考编号 ISO/IEC 27003:2017(E)

目录前言 ........................................................................................................................................................ iv 引言 ......................................................................................................................................................... v 1. 2. 3. 4. 范围 ........................................................................................................................................ 1 规范性引用文件 ................................................................................................................... 1 术语和定义 ........................................................................................................................... 1 组织背景 ............................................................................................................................... 1 4.1. 理解组织及其背景 ...................................................................................................... 1 4.2. 理解相关方的需要和期望 .......................................................................................... 4 4.3. 确定信息安全管理体系的范围 .................................................................................. 6 4.4. 信息安全管理体系 ...................................................................................................... 8 5. 领导 ........................................................................................................................................ 8 5.1. 领导和承诺 ................................................................................................................... 8 5.2. 方针 ............................................................................................................................. 11 5.3. 组织角色、责任和权力 ............................................................................................ 12 6. 规划 ...................................................................................................................................... 14 6.1. 应对风险和机会的行动 ............................................................................................ 14 6.1.1. 总则 ..................................................................................................................... 14 6.1.2. 信息安全风险评估 ............................................................................................ 17 6.1.3. 信息安全风险处置 ............................................................................................ 22 6.2. 信息安全目标和实现目标的计划 ........................................................................... 28 7. 支持 ...................................................................................................................................... 31

7.1. 资源 ............................................................................................................................. 31 7.2. 能力 ............................................................................................................................. 32 7.3. 意识 ............................................................................................................................. 34 7.4. 沟通 ............................................................................................................................. 35 7.5. 文件化信息 ................................................................................................................. 37 7.5.1. 总则 ..................................................................................................................... 37 7.5.2. 创建和更新 ......................................................................................................... 39 7.5.3. 文件化信息的控制 ............................................................................................ 41 8. 运行 ...................................................................................................................................... 42 8.1. 运行规划和控制 ......................................................................................................... 42 8.2. 信息安全风险评估 .................................................................................................... 45 8.3. 信息安全风险处置 .................................................................................................... 46 9. 绩效评价 ............................................................................................................................. 47 9.1. 监视、测量、分析和评价 ........................................................................................ 47 9.2. 内部审核 ..................................................................................................................... 49 9.3. 管理评审 ..................................................................................................................... 53 10. 改进 ...................................................................................................................................... 55 10.1. 不合格和纠正措施 .................................................................................................... 55 10.2. 持续改进 ..................................................................................................................... 58 附录 A (资料) 方针框架 ................................................................................................................. 61 参考书目 .............................................................................................................................................. 64

前言 ISO（国际标准化组织）和 IEC（国际电工委员会）形成了全球标准化专业系统。作为 ISO 或 IEC 成员的国家机构通过由各自组织设立的技术委员会来参与国际标准的制定，以处理特定的技术活动领域。ISO 和 IEC 技术委员会在共同关心的领域进行合作。其他国际组织、政府和非政府组织，通过联络 ISO 和 IEC 也参加了这项工作。在信息技术领域，ISO 和 IEC 建立了联合技术委员会 ISO/IEC JTC 1。用于开发本文件的程序和用于进一步维护的程序在 ISO/IEC 准则第 1 部分中有所描述。特别是应注意不同类型文件所需的不同批准标准。本文件是根据 ISO/IEC 准则第 2 部分的编辑规则（见 www.iso.org/directives）起草的。请注意本文件的某些内容可能是专利权的主题的可能性。ISO 和 IEC 不负责确定任何或所有这些专利权。在文件开发过程中确定的任何专利权利的细节将在引用和/或 ISO 所收到的专利声明列表中（见 www.iso.org/patents）。本文档中使用的任何商品名称是为了方便用户而提供的信息，不构成背书。对于标准的自愿性质的解释、与合格评定有关的 ISO 特定术语和表达的含义、以及关于 ISO 在技术性贸易壁垒（TBT）中遵守世界贸易组织（WTO）原则的信息，请参阅以下 URL：www.iso.org/iso/foreword.html。负责本文件的委员会是 ISO/IEC JTC 1 信息技术，小组委员会 SC 27 IT 安全技术。本第二版的 ISO/IEC 27003 取消并取代第二版（ISO/IEC 27003：2010），这是一个较小的修订。相比以前的版本，主要的变化如下： — 范围和标题已经改为涵盖 ISO/IEC 27001：2013 的要求的解释和指南，而不是以前的版本（iso / iec 27001：2005）； — 结构现在与 ISO/IEC 27001:2013 的结构一致，使用户更容易与 ISO/IEC 27001:2013 一起使用； — 之前的版本有一个带有活动顺序的项目方法。这个版本反而提供对要求的指南，而不考虑它们实现的顺序。

引言本文件就 ISO/IEC 27001 中规定的信息安全管理体系（ISMS）的要求提供指南，并提供有关它们的建议（“should”）、可能性（“can”）和许可（“may”）。本文档的意图不是要提供关于信息安全所有方面的通用指南。本文件的第 4 至 10 章映射了 ISO/IEC 27001：2013 的结构。本文件不增加对 ISMS 及其相关术语和定义的新要求。有关要求和定义，组织宜参考 ISO/IEC 27001 和 ISO/IEC 27000。实施 ISMS 的组织没有义务遵守本文档中的指南。 ISMS 强调以下几个阶段的重要性： — 理解组织的需求和建立信息安全方针和信息安全目标的必要性; — 评估组织与信息安全相关的风险; — 实施和运行信息安全过程、控制和其他措施来处理风险; — 监视和评估 ISMS 的性能和有效性;和 — 实践持续改进。 ISMS 与任何其他类型的管理体系类似，包括以下关键组件： a) 方针; b) 有明确责任的人员; c) 有关以下内容的管理过程： 1) 方针制定; 2) 意识和能力的规定; 3) 规划; 4) 实现; 5) 运行 6) 绩效考核 7) 管理评审;和 8) 改进;及 d) 文件化信息 ISMS 还有其他关键组件，如： e) 信息安全风险评估;和

f) 信息安全风险处置，包括控制措施的确定和实施。本文件是通用的，旨在适用于所有组织，不论其类型、大小或性质。组织宜根据其特定的组织环境来确定本的哪一部分适用于自己（见 ISO/IEC 27001：2013，条款 4）。例如，某些指南可能更适合于大型组织，而对于非常小的组织（例如少于 10 人），某些指南可能是不必要的或不适当的。条款 4 至 10 的描述结构如下： — 要求的活动：介绍在 ISO/IEC 27001 的相应条款中要求的关键活动; — 解释：讲解 ISO/IEC 27001 的要求意味着什么; — 指南：提供更详细的或支持性的信息来执行“要求的活动”，包括实施的例子 — 其他信息：提供可以考虑的进一步的信息。 ISO/IEC 27003，ISO/IEC 27004 和 ISO/IEC 27005 形成了一套文件支持 ISO/IEC 27001：2013，并提供指南。在这些文件中，ISO/IEC 27003 是为 ISO/IEC 27001 的所有要求提供指南的基本和全面的文件，但没有关于“监视、测量、分析和评价”以及信息安全风险管理的详细描述。ISO/IEC 27004 和 ISO/IEC 27005 侧重于具体内容和对“监视、测量、分析和评价”以及信息安全风险管理给予更为详细的指南。在 ISO/IEC 27001 中有几处明确提及的文件化信息。然而，组织可以保留额外的文件化信息，当其确定对管理体系的有效性以及作为响应 ISO/IEC 27001： 2013,7.5 b)的一部分是必要的。在这种情况下，本文件使用惯用语“有关此活动和它的结果的文件化信息，只有在形式和程度上该组织确定对其管理体系的有效性是必要的才是强制性的（见 ISO/IEC 27001：2013，7.5.1 h））

信息技术-安全技术- 信息安全管理体系-指南 1. 范围本文件提供有关 ISO/IEC 27001:2013 的解释和指南。 2. 规范性引用文件以下文件在本文件中被引用，其部分或全部内容构成本文件的要求。凡是注明日期的引用文件，仅注明日期的版本适用。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用。 ISO/IEC 27000：2016，信息技术-安全技术-信息安全管理系统-概述和词汇 ISO/IEC 27001：2013，信息技术-安全技术-信息安全管理体系-要求 3. 术语和定义 ISO/IEC 27000：2016 给出的术语和定义适用于本文件。国际标准化组织和国际电工委员会维护用于标准化的术语数据库，地址如下： - IEC Electropedia：http://www.electropedia.org/ - ISO 在线浏览平台：http://www.iso.org/obp 4. 组织背景 4.1. 理解组织及其背景需要的活动

组织确定关于其目标和影响其实现信息安全管理体系（ISMS）预期成果的能力的外部和内部问题。解释作为 ISMS 的一个必须功能，组织不断地分析自己和周围的世界。这种分析涉及外部和内部问题，这些问题在某种程度上影响信息安全,以及信息安全如何管理，并且与组织目标有关。这些问题的分析有三个目的： - 理解背景以决定 ISMS 的范围; - 分析背景以确定风险和机会;和 - 确保 ISMS 适应变化中的外部和内部问题。外部问题是那些超出组织控制范围的问题，这通常被称为组织的环境。分析这个环境可能（can）包括以下几个方面： a) 社会和文化; b) 政治，法律，规范和监管; c) 财务和宏观经济; d) 技术; e) 自然; 和 f) 竞争力。组织环境的这些方面不断出现影响信息安全和信息安全如何管理的问题。相关的外部问题取决于组织的具体优先事项和情况。例如，特定组织的外部问题可能（can）包括： g) 使用外包 IT 服务的法律影响（法律方面）; h) 在火灾、洪水和地震等灾害的可能性方面的自然特征（自然方面）; i) 黑客工具的技术进步和密码学的使用（技术方面）;和

资料库

ISO_IEC_27003_2017_cn中文版.pdf

相关推荐

安全技术

热门标签

最新资料