logo资料库

ISO27001-2013-信息安全管理体系--要求-中文版 .pdf

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.33M 资料格式:pdf 举报 版权申诉
第1页 / 共24页
第2页 / 共24页
第3页 / 共24页
第4页 / 共24页
第5页 / 共24页
第6页 / 共24页
第7页 / 共24页
第8页 / 共24页
资料共24页,剩余部分请下载后查看
    ISO/IE EC 27001:2013 3(CN) 国际 际标准 IS SO/IE EC 270 2第二 2013-10 01 二版 -01 译版 .8版 中文翻译 第0. 术—— 全管理 —安全 理体系 全技术 系—— 术—— — —要求 求 信 信息技 信 信息安                   老李飞刀  V0.8  By 老                                    
    ISO/IEC 27001:2013(CN)   目录   .......................................................................................................................................................... 1  0  介绍 .............................................................................................................................................. 4  1  范围 .............................................................................................................................................. 4  2  引用标准....................................................................................................................................... 5  3  术语与定义 ................................................................................................................................... 5  4  组织的环境 ................................................................................................................................... 5  4.1 理解组织及环境 ................................................................................................................. 5  4.2 理解相关方的需求和期望 ................................................................................................. 5  4.3 明确信息安全管理体系的范围 ......................................................................................... 5  4.4 信息安全管理体系 ............................................................................................................. 6  5 领导层 .......................................................................................................................................... 6  5.1 领导者承诺 ......................................................................................................................... 6  5.2 方针 .................................................................................................................................... 6  5.3 组织角色、职责和权力 ..................................................................................................... 7  6 计划 .............................................................................................................................................. 7  6.1 处置风险和机遇 ................................................................................................................. 7  6.2 信息安全目标的计划和实现 ............................................................................................. 9  7 支持 .............................................................................................................................................. 9  7.1 资源 .................................................................................................................................... 9  7.2 能力 .................................................................................................................................... 9  7.3 意识 .................................................................................................................................. 10  7.4 沟通 .................................................................................................................................. 10  7.5 文档要求 ........................................................................................................................... 10  8 实施 ............................................................................................................................................ 11  8.1 实施规划和控制 ............................................................................................................... 11  8.2 信息安全风险评估 ........................................................................................................... 11  8.3 信息安全风险处置 ........................................................................................................... 12  9 绩效评价 .................................................................................................................................... 12  9.1 监测、测量、分析和评价 ............................................................................................... 12  9.2 内部审核 ........................................................................................................................... 12  9.3 管理评审 ........................................................................................................................... 13  10 改进 .......................................................................................................................................... 13  10.1 不符合项和纠正措施 ..................................................................................................... 13  10.2 持续改进......................................................................................................................... 14  附录 A ............................................................................................................................................. 15  (引用)......................................................................................................................................... 15  参考控制目标和控制措施 ............................................................................................................. 15    By 老李飞刀  V0.8   
    ISO/IEC 27001:2013(CN) 翻译说明: 继ISO/IEC 27000系列标准于2005年发布之后,历经8年的时间,ISO组织终于在20131001发 布了2013新版。信息安全从业人员可及时学习并参阅该标准。 写此文时坊间已有多个标准译本,但老李阅读后发现这些译本错漏较多。想到这不利祖国的 信息安全建设,老李不禁忧心忡忡。为了便于国内读者的学习和使用正规的标准,笔者2014 春节期间翻译了本中文版本。老李实操标准多年,但深知学无止境,追求完美不易。如有错 漏,欢迎各位安全界同仁不吝批评指正。 PS:修订版将不断推出,直至完美。 声明:因翻译时间有限,若因阅读、使用本文而给亲造成任何形式的损失,老李不承担任何 责任。 (若有收益不妨请我喝茶,嘻嘻) 本文仅供网上阅读学习之用,(如亲非要通过电子文件复制、打印的方式进行传播是不妥当 的)。未经授权,不得用于任何商业目的。 翻译团队: 老李飞刀 邮箱:46040336@qq.com。老李近期研究方向为新版标准解读(此文为第一篇)及安全管 理平台化建设。同好者可通过QQ号加我微信共同探讨。 邢晶 老李的部门助理。       By 老李飞刀  V0.8   
    ISO/IEC 27001:2013(CN) 0  介绍    0.1总则 本国际标准为组织建立、实施、维护和持续改进信息安全管理体系(ISMS)提出相关要求。 采用ISMS是组织的战略决策。组织ISMS的设计和实施受组织的战略决策、组织需求、目标、 安全需求以及工作流程和组织规模等因素的影响。这些因素也将会随着时间而发生改变。 信息安全管理体系通过实施风险管理过程来保护组织信息的机密性、完整性和可用性,可对 风险进行充分的管理并为客户及利益相关方信心。 信息安全管理体系是组织整体管理架构和管理流程的组成部分。组织在进行流程、信息系统、 控制措施设计过程中均应考虑信息安全。 本国际标准可以用于内部或外部机构用于对组织的信息安全管理能力进行评估以确认其是 否满足组织自身的信息安全需求。 本标准附录中列举的控制要求的先后顺序不代表其重要程度或实施的先后顺序要求。列表编 号顺序只做参考用途。 ISO/IEC 27000描述了信息安全管理体系的总述和术语,参考了信息安全管理体系标准族(包 括ISO/IEC 27003W, ISO/IEC 27004[3] and ISO/IEC 27005[4])的相关名词解释和定义。 0.2  与其他管理体系的兼容性 本国际标准采用了通用的架构,具备与ISO/IEC标准体系相同的章节、相同的文本、通用的 条款,与附录SL 中定义的ISO/IEC导则的第一部分也保持了一致。因此,本标准保持了与其 他管理体系标准的兼容性。 在附录 SL 中的定义的通用方法,对于某组织只实施某一个管理体系项目而需要参考两个或 更多管理体系标准的情况是非常有用的。 1  范围    本国际标准规定了在组织内部建立、实施、维护和持续改进信息安全管理体系的要求。本国 际标准还包括了组织进行评估和处置信息安全风险的要求。在本国际标准中规定的要求是通 用的,适用于各种类型、规模或性质的所有组织。当组织宣布符合本国际标准,对于4到10 章节的任何条款的删减是不可接受的。 By 老李飞刀  V0.8   
    ISO/IEC 27001:2013(CN) 2  引用标准  下面是本标准的规范性引用文件。凡注明日期的引用文件,仅该引用的版本适用。没有注明 日期的引用文件,则引用文件的最新版本(包括任何修订后的版本)适用。 ISO/IEC 27000,信息技术-安全技术-信息安全管理体系概述和术语 3  术语与定义    ISO/IEC 27000中的术语与定义适用于本标准。 4  组织的环境   4.1 理解组织及环境 组织应明确内、外部环境问题,该问题将会关系到其总体目标,影响其实现预期信息安全管 理体系成果。 注: 明确相关问题可参考ISO 31000:2009 [5] 5.3章节中的建立内、外部组织的环境问题。 4.2 理解相关方的需求和期望 组织应确定: a)  与信息安全管理体系有关的相关方; b)  相关方的信息安全需求 。 注 : 相关方的要求包括法律法规要求和合同规定的义务。 4.3 明确信息安全管理体系的范围 组织应明确信息安全管理体系的边界和适用性,以确定其范围。 确定范围时,组织应考虑: a) 与在4.1章节中有关的内部、外部问题; b) 与在4.2章节中提及的需求; c) 组织自身活动和与其他组织开展活动的接口和依赖关系。 By 老李飞刀  V0.8   
    ISO/IEC 27001:2013(CN) 范围的相关内容应形成文档。 4.4 信息安全管理体系 组织应按照本国际标准要求建立、实施、维护和持续改进信息安全管理体系。 5 领导层  5.1 领导者承诺 高级管理层应通过如下行动证明其实施了与信息安全管理体系有关的领导工作与承诺: a)  确保建立与组织战略目标一致的信息安全方针和信息安全目标; b)  确保信息安全管理体系要求集成到组织的管理流程; c)  确保提供信息安全管理体系需要的各项资源; d)  传达信息安全管理的重要性及信息安全管理体系要求; e)  确保信息安全管理体系实现其预期目标; f)  指导和支持信息安全团队; g)  促使持续改进; h)  支持其他相关的管理者在其职责范围内履行管理职责。 5.2 方针 高级管理层应建立信息安全方针: a) 应适合组织的目标; b) 应包括信息安全目标(见6.2)或者提供建立信息安全目标的框架; c) 应包括承诺满足信息安全的相关要求; d) 应包括承诺持续改进信息安全管理体系。 信息安全管理方针应: e) 形成文档; f) 在组织内部充分沟通; g) 需要时对外部相关方可用。 By 老李飞刀  V0.8   
    ISO/IEC 27001:2013(CN) 5.3 组织角色、职责和权力 高级管理层应确保信息安全管理角色和权力得到分配和沟通。 高级管理层应对以下职责和权力进行分派: a)  确保组织建立的信息安全管理体系符合本国际标准要求;    b)  向高层汇报信息安全管理体系的执行情况。 注: 高级管理层也应被赋予相应的职责和权力,从而向组织内部汇报说明信息安全管理体系的执行情况。 6 计划    6.1 处置风险和机遇 6.1.1总则 当进行信息安全管理体系规划时,组织应参考4.1中的问题和4.2中的需求,来决定需要被处 置的风险和机遇: a)  确保信息安全管理体系可以实现其预期目标; b)  避免或减少不良影响; c)  实现持续改进。 组织应规划: d)  处置风险和机遇的行动; e)  如何 1)  将实施行动整合到信息安全管理体系流程中; 2)  评价行动的有效性。 6.1.2信息安全风险评估 组织应定义和实施信息安全风险评估流程,从而: a)  建立和维护信息安全风险标准,包括: 1)  风险接受标准; 2)  实施信息安全风险评估的标准; b)  确保信息安全风险评估活动产生一致性,产生有效的和可比较的结果; c)  识别信息安全风险: By 老李飞刀  V0.8   
    1)  在一定的信息安全管理体系范围内,通过信息安全风险评估流程,来识别由于信息的机 密性、完整性和可用性的丧失带来的风险; ISO/IEC 27001:2013(CN) 2)  识别风险的属主; d)  分析信息安全风险: 1)  评估在6.1.2 c)1)中识别的风险产生的潜在后果; 2)  评估在6.1.2 c)1)中识别的风险转化为事件的可能性; 3)  确定风险的等级; e)  评价信息安全风险:   1)  将风险分析结果与在6.1.2 a)中所定义的风险标准进行比较; 2)  根据风险等级确定风险处置的优先级。 组织应保留有关信息安全风险评估的过程文档。 6.1.3信息安全风险处置 组织应定义和实施信息安全风险处置流程: a)  考虑到风险评估的结论,选择正确的信息安全风险处置方式; b)  明确对信息安全风险处置有关的各项控制措施; 注: 组织可以根据标准要求来设计控制措施,也可以根据其他方面因素和来源设计控制措施。 c)  比较以上6.1.3 b)中的和附录A的控制措施,确保未遗漏有效的控制措施; 注1: 附录A保留了一个综合的控制对象和控制措施的清单,使用本标准的用户可以直接使用附录A的内容, 并确保没有遗漏、忽视必要的控制措施。 注2:对控制措施的选择无疑涵盖了控制目标。附录A中没有涉及的控制对象和控制措施内容应给予补充和 增加。 d)  制定具备必要控制措施(见6.1.3 b)和c))的适用性声明SOA,来判断包含项是否被有 效纳入实施范围,判断排除内容是否从附录A的控制措施被有效排除; e)  制定信息安全风险处置计划; f)  得到风险属主对信息安全风险处置计划和残余风险接受的审核。 组织应保留信息安全风险处置过程的文档信息。 注:本标准中的信息安全风险评估和处置流程与ISO 31000[5]中的原则和通用指南保持一致。 By 老李飞刀  V0.8   
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料