ISO27001：2005信息安全管理体系.pdf

发布时间：2022-06-06 发布人：admin 分类：说明书资料大小：0.37M 资料格式：pdf 举报版权申诉

li_zuo_min-6850107-16359647635015129653.pdf-第1页.png

第1页 / 共27页

li_zuo_min-6850107-16359647635015129653.pdf-第2页.png

第2页 / 共27页

li_zuo_min-6850107-16359647635015129653.pdf-第3页.png

第3页 / 共27页

li_zuo_min-6850107-16359647635015129653.pdf-第4页.png

第4页 / 共27页

li_zuo_min-6850107-16359647635015129653.pdf-第5页.png

第5页 / 共27页

li_zuo_min-6850107-16359647635015129653.pdf-第6页.png

第6页 / 共27页

li_zuo_min-6850107-16359647635015129653.pdf-第7页.png

第7页 / 共27页

li_zuo_min-6850107-16359647635015129653.pdf-第8页.png

第8页 / 共27页

文本预览

信息技术安全技术信息安全管理体系要求 Information technology- Security techniques -Information security management systems-requirements （IDT ISO/IEC 27001:2005）

北京润成国际标准技术有限公司标准知识目次前言 ............................................................................ II 引言 ............................................................................. 1 1 范围 ............................................................................... 3 2 规范性引用文件 ..................................................................... 3 3 术语和定义 ......................................................................... 3 4 信息安全管理体系（ISMS） ........................................................... 4 5 管理职责 ........................................................................... 8 6 内部 ISMS 审核 ...................................................................... 9 7 ISMS 的管理评审 ..................................................................... 9 8 ISMS 改进.......................................................................... 10 附录 A （规范性附录）控制目标和控制措施 .......................................... 11 附录 B （资料性附录）OECD 原则和本标准 .......................................... 22 附录 C （资料性附录） ISO 9001:2000, ISO 14001:2004 和本标准之间的对照 .............. 23 地址：北京市朝阳区朝阳路71号锐成国际大厦902 电话：010-51368460 I -

北京润成国际标准技术有限公司标准知识前言 ISO(国际标准化组织)和IEC(国际电工委员会)形成了全世界标准化的专门体系。作为ISO 或IEC 成员的国家机构，通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定。ISO 和IEC 技术委员会在共同关心的领域里合作，其它与ISO 和IEC 有联系的政府和非政府的国际组织也参加了该项工作。在信息安全领域，ISO 和IEC 已经建立了一个联合技术委员会－ISO/IEC JTC 1。国际标准的起草符合ISO/IEC 导则第2 部分的原则。联合技术委员会的主要任务是起草国际标准。联合技术委员会采纳的国际标准草案分发给国家机构投票表决。作为国际标准公开发表，需要至少75%的国家机构投赞成票。本标准中的某些内容有可能涉及一些专利权问题，对此应引起注意，ISO 不负责识别任何这样的专利权问题。国际标准ISO/IEC 27001 是由联合技术委员会ISO/IEC JTC1（信息技术）的SC27 分会（安全技术）起草的。特别声明：本ISO27001中文版由润成国际标准技术有限公司相关技术专家翻译，仅供阅读和学习之用。未经授权，不得用于任何商业目的。若因阅读、使用本文而给读者造成的任何形式的损失，本公司不承担任何责任。润成国际联系方式：电话：010-51368460 传真：010-81524077 手机：13552775518 刘涛邮箱：liutaom@sohu.com 地址：北京市朝阳区朝阳路71号锐成国际大厦902 电话：010-51368460 II -

北京润成国际标准技术有限公司标准知识引言 0.1 总则本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称 ISMS）提供模型。采用 ISMS 应当是一个组织的一项战略性决策。一个组织的 ISMS 的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。按照组织的需要实施 ISMS，是本标准所期望的，例如，简单的情况可采用简单的 ISMS 解决方案。本标准可被内部和外部相关方用于一致性评估。 0.2 过程方法本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的 ISMS。一个组织必须识别和管理众多活动使之有效运作。通过使用资源和管理，将输入转化为输出的任意活动，可以视为一个过程。通常，一个过程的输出可直接构成下一过程的输入。一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性： a) 理解组织的信息安全要求和建立信息安全方针与目标的需要； b) 从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险； c) 监视和评审 ISMS 的执行情况和有效性； d) 基于客观测量的持续改进。本标准采用了“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”（PDCA）模型，该模型可应用于所有的 ISMS 过程。图 1 说明了 ISMS 如何把相关方的信息安全要求和期望作为输入，并通过必要的行动和过程，产生满足这些要求和期望的信息安全结果。图 1 也描述了 4、5、6、7 和 8 章所提出的过程间的联系。采用 PDCA 模型还反映了治理信息系统和网络安全的 OECD 指南（2002 版）1中所设置的原则。本标准为实施 OECD 指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。例 1：某些信息安全缺陷不至于给组织造成严重的财务损失和/或使组织陷入困境，这可能是一种要求。例 2：如果发生了严重的事件——可能是组织的电子商务网站被黑客入侵——应有经充分培训的员工按照适当的程序，将事件的影响降至最小。这可能是一种期望。 1 OECD 信息系统和网络安全指南——面向安全文化。巴黎：OECD，2002 年 7 月。 www.oecd.org 地址：北京市朝阳区朝阳路71号锐成国际大厦902 电话：010-51368460 1 -

北京润成国际标准技术有限公司标准知识规划 Plan 建立 ISMS 相关方信息安全要求和期望实施和运行 ISMS 实施 Do 保持和改进 ISMS 处置 Act 监视和评审 ISMS 检查 Check 图 1 应用于 ISMS 过程的 PDCA 模型相关方受控的信息安全规划（建立 ISMS）建立与管理风险和改进信息安全有关的 ISMS 方针、目标、过程和程序，以提供与组织总方针和总目标相一致的结果。实施（实施和运行 ISMS）实施和运行 ISMS 方针、控制措施、过程和程序。检查（监视和评审 ISMS）处置（保持和改进 ISMS）对照 ISMS 方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。基于 ISMS 内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进 ISMS。 0.3 与其它管理体系的兼容性本标准与 GB/T 19001-2000 及 GB/T 24001-1996 相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表 C.1 说明了本标准、GB/T 19001-2000（ISO 9001:2000）和 GB/T 24001-1996（ISO 14001:2004）的各条款之间的关系。本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。地址：北京市朝阳区朝阳路71号锐成国际大厦902 电话：010-51368460 2 -

北京润成国际标准技术有限公司标准知识信息技术安全技术信息安全管理体系要求 1 范围 1.1 总则本标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的 ISMS 规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。 ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。注1：本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。注2：ISO/IEC 17799提供了设计控制措施时可使用的实施指南。 1.2 应用本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于 4、5、6、7 和 8 章的要求不能删减。为了满足风险接受准则所必须进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任，否则不能声称符合本标准。注：如果一个组织已经有一个运转着的业务过程管理体系（例如，与 ISO 9001 或者 ISO 14001 相关的），那么在大多数情况下，更可取的是在这个现有的管理体系内满足本标准的要求。 2 规范性引用文件下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。 ISO/IEC 17799:2005，信息技术—安全技术—信息安全管理实用规则。 3 术语和定义本标准采用以下术语和定义。 3.1 资产 asset 任何对组织有价值的东西[ISO/IEC 13335-1:2004]。 3.2 可用性 availability 根据授权实体的要求可访问和利用的特性[ISO/IEC 13335-1:2004]。 3.3 保密性 confidentiality 信息不能被未授权的个人，实体或者过程利用或知悉的特性[ISO/IEC 13335-1:2004]。 3.4 信息安全 information security 保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性[ISO/IEC 17799：2005]。 3.5 信息安全事态 information security event 地址：北京市朝阳区朝阳路71号锐成国际大厦902 电话：010-51368460 3 -

北京润成国际标准技术有限公司标准知识信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态[ISO/IEC TR 18044：2004]。 3.6 信息安全事件 information security incident 一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性[ISO/IEC TR 18044：2004]。 3.7 信息安全管理体系（ISMS） information security management system（ISMS）是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。 3.8 完整性 integrity 保护资产的准确和完整的特性[ISO/IEC 13335-1:2004]。 3.9 残余风险 residual risk 经过风险处理后遗留的风险[ISO/IEC Guide 73:2002]。 3.10 风险接受 risk acceptance 接受风险的决定[ISO/IEC Guide 73：2002]。 3.11 风险分析 risk analysis 系统地使用信息来识别风险来源和估计风险[ISO/IEC Guide 73：2002]。 3.12 风险评估 risk assessment 风险分析和风险评价的整个过程[ISO/IEC Guide 73：2002]。 3.13 风险评价 risk evaluation 将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IEC Guide 73：2002]。 3.14 风险管理 risk management 指导和控制一个组织相关风险的协调活动[ISO/IEC Guide 73：2002]。 3.15 风险处理 risk treatment 选择并且执行措施来更改风险的过程[ISO/IEC Guide 73：2002]。注：在本标准中，术语“控制措施”被用作“措施”的同义词。 3.16 适用性声明 statement of applicability 描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。注：控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。 4 信息安全管理体系（ISMS） 4.1 总要求组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。在本标准中，所使用的过程基于图1所示的PDCA模型。 4.2 建立和管理 ISMS 4.2.1 建立 ISMS 组织要做以下方面的工作： a) 根据业务、组织、位置、资产和技术等方面的特性，确定 ISMS 的范围和边界，包括对范围任何删减的详细说明和正当性理由（见 1.2）。 b) 根据业务、组织、位置、资产和技术等方面的特性，确定 ISMS 方针。ISMS 方针应：地址：北京市朝阳区朝阳路71号锐成国际大厦902 电话：010-51368460 4 -

北京润成国际标准技术有限公司标准知识 1) 包括设定目标的框架和建立信息安全工作的总方向和原则； 2) 考虑业务和法律法规的要求，及合同中的安全义务； 3) 在组织的战略性风险管理环境下，建立和保持 ISMS； 4) 建立风险评价的准则[见 4.2.1 c]]； 5) 获得管理者批准。注：就本标准的目的而言，ISMS 方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行描述。 c) 确定组织的风险评估方法 1）识别适合 ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。 2）制定接受风险的准则，识别可接受的风险级别（见 5.1f）。选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。注：风险评估具有不同的方法。在 ISO/IEC TR 13335-3《信息技术 IT 安全管理指南：IT 安全管理技术》中描述了风险评估方法的例子。 d) 识别风险 1) 识别 ISMS 范围内的资产及其责任人2； 2) 识别资产所面临的威胁； 3) 识别可能被威胁利用的脆弱点； 4) 识别丧失保密性、完整性和可用性可能对资产造成的影响。 e) 分析和评价风险 1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失误可能造成的对组织的影响。 2) 评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。 3) 估计风险的级别。 4) 确定风险是否可接受，或者是否需要使用在 4.2.1 c)2)中所建立的接受风险的准则进行处理。 f) 识别和评价风险处理的可选措施可能的措施包括： 1) 采用适当的控制措施； 2) 在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险[见 4.2.1 c)2)]； 3) 避免风险； 4) 将相关业务风险转移到其他方，如：保险，供应商等。 g) 为处理风险选择控制目标和控制措施控制目标和控制措施应加以选择和实施，以满足风险评估和风险处理过程中所识别的要求。这种选择应考虑接受风险的准则（见 4.2.1c）2））以及法律法规和合同要求。从附录 A 中选择控制目标和控制措施应成为此过程的一部分，该过程适合于满足这些已识别的 2 术语“责任人”标识了已经获得管理者的批准，负责产生、开发、维护、使用和保证资产的安全的个人或实体。术语 “责任人”不是指该人员实际上对资产拥有所有权。地址：北京市朝阳区朝阳路71号锐成国际大厦902 电话：010-51368460 5 -

分享到：

赞收藏

资料库

ISO27001：2005信息安全管理体系.pdf

相关推荐

安全技术

热门标签

最新资料