ISOIEC 27001-2013 信息技术 -- 安全技术 -- 信息安全管理体系 -- 要求--中文版.pdf-资料库

国际标准 ISO/IEC 27001 第二版 2013-10-01 中文翻译版第 0.1 版 2013-10-17 信息技术——安全技术—— 信息安全管理体系——要求参考号 ISO/IEC 27001:2013（E） ©ISO/IEC 2013

受版权保护的文档 ©ISO/IEC 2013 保留所有权利。除非另有说明，未经事先书面许可，不得通过任何形式或手段进行复制或利用本出版物的任何部分内容，包括电子、机械、影印，或张贴在互联网或企业内部网上。可通过下面所列的 ISO 组织地址或 ISO 成员机构获得许可。 ISO 版权办公室 Case postale 56 • CH-1211 Geneva 20 电话：+ 41 22 749 01 11 传真：+ 41 22 749 09 47 电子信箱：copyright@iso.org 网址：www.iso.org 瑞士出版

翻译说明继ISO/IEC 27000系列文件于2005年发布之后，历经8年的时间，ISO组织终于在日前发布了2013新版。关注ISO/IEC 27000系列国际标准的读者可以学习并参阅该标准。为了便于国内读者的阅读和使用，笔者团队利用业余时间自行翻译了本中文版本。因团队水平有限，其中错误和遗漏之处在所难免。欢迎各位安全界同仁批评指正。声明：若因阅读、使用本文而给读者造成的任何形式的损失，本团队不承担任何责任。本中文版文件的著作权归本团队所有。本文仅供网上阅读学习之用，亦可通过电子文件复制的方式进行传播。未经授权，不得用于任何商业目的。翻译团队：齐芳邮箱：qifang@nsfocus.com 陆辉邮箱：luhui@nsfocus.com 刘凯邮箱：liukai@nsfocus.com 蔡昆邮箱：caikun@nsfocus.com 贡献者: 付峥邮箱：fuzheng@nsfocus.com 徐特邮箱：xute@nsfocus.com

目录 0 介绍 ............................................................................... xxxv 1 范围 .................................................................................. 1 2 规范性引用 ............................................................................ 1 3 术语与定义 ............................................................................ 1 4 组织的环境 ............................................................................ 1 4.1 理解组织及环境.................................................................. 1 4.2 理解相关方的需求和期望 .......................................................... 1 4.3 明确信息安全管理体系的范围 ...................................................... 1 4.4 信息安全管理体系 ................................................................ 2 5 领导 .................................................................................. 2 5.1 领导与承诺 ..................................................................... 2 5.2 方针 ........................................................................... 2 5.3 组织角色、职责和权力 ............................................................ 2 6 计划 .................................................................................. 3 6.1 处置风险和机遇的活动 ............................................................ 3 6.2 信息安全目标和实施计划 .......................................................... 4 7 支持 .................................................................................. 5 7.1 资源 ........................................................................... 5 7.2 能力 ........................................................................... 5 7.3 意识 ........................................................................... 5 7.4 沟通 ........................................................................... 5 7.5 文档信息 ....................................................................... 5 8 操作 .................................................................................. 6 8.1 操作规划和控制.................................................................. 6 8.2 信息安全风险评估 ................................................................ 7 8.3 信息安全风险处置 ................................................................ 7 9 绩效评价 .............................................................................. 7 9.1 监测、测量、分析和评价 .......................................................... 7 9.2 内部审核 ....................................................................... 7 9.3 管理评审 ....................................................................... 8 10 改进 ................................................................................. 8 10.1 不符合情况和改正措施 ........................................................... 8 10.2 持续改进 ...................................................................... 9 附录 A（引用）参考控制目标和控制措施 ................................................... 10 参考书目............................................................................... 20

前言国际标准化组织（ISO）是由各国标准化团体（ISO 成员团体）组成的世界性的联合会。制定国际标准工作通常由 ISO 的技术委员会完成。各成员团体若对某技术委员会确定的项目感兴趣，均有权参加该委员会的工作。与 ISO 保持联系的各国际组织（官方的或非官方的）也可参加有关工作。ISO 与国际电工委员会（IEC）在电工技术标准化方面保持密切合作的关系。在信息技术领域，ISO 和 IEC 设立了一个联合技术委员会，ISO/IEC JTC 1。国际标准是根据 ISO／IEC 导则第 2 部分的规则起草。技术委员会的主要任务是制定国际标准。由技术委员会通过的国际标准草案提交各成员团体投票表决。国际标准草案需取得至少 75%参加表决成员团体的同意，才能作为国际标准正式发布。本文件中的某些内容有可能涉及一些专利权问题，对此应引起注意，ISO 不负责识别任何这样的专利权问题。本经过技术修订的第二版将取代（ISO/IEC 27001:2005）第一版。

ISO/IEC 27001:2013(E) 0 介绍 0.1 总则本国际标准为组织建立、实施、维护和持续改进信息安全管理体系提出了要求。一个组织的战略决策、组织需求、目标、安全需求以及工作流程和组织规模等因素将直接影响到组织如何建立和实施信息安全管理体系。以上这些影响因素也将会随着时间而发生改变。信息安全管理体系通过实施风险管理过程控制以及为利益关系方进行可信的充分全面的风险管理，来保护组织的机密性、完整性和可用性。信息安全管理体系是全面管理架构和组织流程的一部分，并且与其紧密结合，这一点非常重要。组织在进行流程、信息系统和控制方面的设计过程中都需要考虑信息安全。本国际标准可以用于组织内部或外部团体对该组织进行管理能力的评估，从而了解组织自身的信息安全需求。本标准附录中列举的控制要求的先后顺序不代表其重要程度或实施的先后顺序要求。列表项顺序只做参考用途。 ISO/IEC 27000 描述了信息安全管理体系的总述和术语，参考了信息安全管理体系标准族（包括 ISO/IEC 27003W, ISO/IEC 27004[3] and ISO/IEC 27005[4])的相关名词解释和定义。 0.2 与其他管理体系的兼容性本国际标准采用了通用的架构，具备与 ISO/IEC 标准体系相同的章节、相同的文本、通用的条款，与附录 SL 中定义的 ISO/IEC 导则的第一部分也保持了一致。因此，本标准保持了与其他管理体系标准的兼容性。这种在附录 SL 中的通用定义方法，对于某组织只实施某一个管理体系项目而需要参考两个或更多管理体系标准的情况是非常有用的。 ISO/IEC 2013 版权所有 xxxv

ISO/IEC 27001:2013(E) 1 范围本国际标准详述了在组织内部建立、实施、维护和持续改进信息安全管理体系的要求。本国际标准还包括了根据组织需求进行评估和处置信息安全风险的要求。在本国际标准中规定的要求是通用的，旨在适用于无论类型，规模或性质的所有组织。一个组织若声称符合本国际标准，不得排除 4 到 10 章节要求中的任何条款。 2 规范性引用下面是本标准的规范性引用文件。凡注明日期的引用文件，仅该引用的版本适用。没有注明日期的引用文件，则引用文件的最新版本（包括任何修订后的版本）适用。 ISO/IEC 27000，信息技术-安全技术-信息安全管理体系概述和术语 3 术语与定义 ISO/IEC 27000 提供了术语与定义。 4 组织的环境 4.1 理解组织及环境组织应首先明确各种内、外部环境问题，该问题将会关系到其总体目标，影响其实现预期信息安全管理体系成果。注：需要明确考虑的问题是指在 ISO 31000:2009 [5] 5.3 章节中的建立内、外部组织的环境问题。 4.2 理解相关方的需求和期望组织应确定： a) 与信息安全管理体系有关的相关方； b) 相关方的信息安全需求。注：相关方的要求包括法律法规要求和合同规定的义务。 4.3 明确信息安全管理体系的范围组织应明确信息安全管理体系的边界和适用性，以明确其范围。确定范围时，组织应考虑： a) 与在4.1 章节中有关的内外部问题； b) 与在 4.2 章节中有关的需求； ISO/IEC 2013 版权所有 1

c) 组织自身活动和与其他组织开展活动所产生的衍生问题和依赖关系。 ISO/IEC 27001:2013(E) 范围的相关内容应形成文档。 4.4 信息安全管理体系组织应按照标准要求建立、实施、维护和持续改进信息安全管理体系。 5 领导 5.1 领导与承诺高级管理层应通过如下行动证明其实施了与信息安全管理体系有关的领导工作与承诺： a) 确保建立与组织战略目标一致的信息安全方针和信息安全目标； b) 确保信息安全管理体系要求与组织的管理流程一体化； c) 确保提供必要的信息安全管理体系需要的各项资源； d) 信息安全管理有效性和遵守信息安全管理体系要求有效性的重要沟通； e) 确保信息安全管理体系实现其预期目标； f) 指导和支持能够有助于实现信息安全管理体系的人员； g) 促进实施的持续性； h) 支持其他相关的管理角色，使其在其相应的职责范围内能够很好的履行领导力。 5.2 方针高级管理层应建立信息安全方针： a) 应适合组织的信息安全目标和要求； b) 应包括信息安全目标（见 6.2）或者提供建立信息安全目标的框架； c) 应包括承诺满足信息安全的相关要求； d) 应包括承诺持续改进信息安全管理体系。信息安全管理策略应： e) 应形成可用的文档； f) 应与组织内部充分沟通； g) 应适用于外部相关方。 5.3 组织角色、职责和权力高级管理层应确保被赋予了与其信息安全管理角色相关的职责和权力。高级管理层应被赋予的职责和权力包括： a) 确保组织建立的信息安全管理体系符合本国际标准要求； ISO/IEC 2013 版权所有 2

资料库

ISOIEC 27001-2013 信息技术 -- 安全技术 -- 信息安全管理体系 -- 要求--中文版.pdf

相关推荐

课程资源

热门标签

最新资料