《信息安全管理体系要求》ISOIEC 27001 2013(E).pdfVIP

ISO/IEC 27001:2013(E) 目录 前言 3 0 引言 4 0.1 总则4 0.2 与其他管理系统标准的兼容性4 1. 范围 5 2 规范性引用文件5 3 术语和定义5 4 组织景况5 4.1 了解组织及其景况5 4.2 了解相关利益方的需求和期望5 4.3 确立信息安全管理体系的范围6 4.4 信息安全管理体系6 5 领导 6 5.1 领导和承诺6 5.2 方针6 5.3 组织的角色，职责和权限7 6. 计划 7 6.1 应对风险和机遇的行为7 6.2 信息安全目标及达成目标的计划 9 7 支持 9 7.1 资源9 7.2 权限9 7.3 意识10 7.4 沟通10 7.5 记录信息10 8 操作 11 8.1 操作的计划和控制措施11 8.2 信息安全风险评估11 8.3 信息安全风险处置11 9 性能评价12 9.1 监测、测量、分析和评价12 9.2 内部审核12 9.3 管理评审12 10 改进 13 10.1 不符合和纠正措施13 10.2 持续改进14 附录A(规范)参考控制目标和控制措施 15 参考文献 28 © ISO/IEC 2013 –保留所有权利 ISO/IEC 27001:2013(E) © ISO/IEC 2013 –保留所有权利 ISO/IEC 27001:2013(E) 前言 © ISO/IEC 2013 –保留所有权利 ISO/IEC 27001:2013(E) 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理 体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、 安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并给 相关方建立风险得到充分管理的信心。 重要的是，信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中，并 且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与 组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000 参考信息安全管理体系标准族（包括ISO/IEC 27003[2] 、ISO/IEC 27004[3] 、 ISO/IEC 27005[4] ）及相关术语和定义，给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性 本标准应用了ISO/IEC 导则第一部分的ISO 补充部分附录SL 中定义的高层结构、同一子 条款标题、同一文本、通用术语和核心定义，因此保持了与其它采用附录SL 的管理体系标 准的兼容性。 附录SL 定义的通用方法有助于组织选择实施单一管理体系来满足两个或多个管理体系 标准要求。 © ISO/IEC 2013 –保留所有权利