ISO27001信息安全管理体系要求.docVIP

ISO27001:2005 信息技术 安全技术 信息安全管理体系 要求 Information technology-Security techniques-Information security management systems Requirements 目 次 TOC \o 1-3 \h \z \u 前 言 3 引 言 4 0.1 总则 4 0.2 过程方法 4 0.3 与其它管理体系的兼容性 5 1 范围 5 1.1 总则 5 1.2 应用 5 2 规范性引用文件 5 3 术语和定义 6 3.1 资产 asset 6 3.2 可用性 availability 6 3.3 保密性confidentiality 6 3.4 信息安全information security 6 3.5 信息安全事件 information security event 6 3.6 信息安全事故 information security incident 6 3.7 信息安全管理体系（ISMS） information security management system（ISMS） 6 3.8 完整性integrity 6 3.9 残余风险 residual risk 6 3.10 风险接受risk acceptance 7 3.11 风险分析risk analysis 7 3.12 风险评估risk assessment 7 3.13 风险评价risk evaluation 7 3.14 风险管理risk management 7 3.15 风险处理risk treatment 7 3.16 适用性声明statement of applicability 7 4 信息安全管理体系（ISMS） 7 4.1 总要求 7 4.2 建立和管理ISMS 7 4.2.1 建立ISMS 7 4.2.2 实施和运行ISMS 9 4.2.3 监视和评审ISMS 9 4.2.4 保持和改进ISMS 10 4.3 文件要求 10 4.3.1 总则 10 4.3.2 文件控制 11 4.3.3 记录控制 11 5 管理职责 11 5.1 管理承诺 11 5.2 资源管理 12 5.2.1 资源提供 12 5.2.2 培训、意识和能力 12 6 内部ISMS审核 12 7 ISMS的管理评审 12 7.1 总则 12 7.2 评审输入 13 7.3 评审输出 13 8 ISMS改进 13 8.1 持续改进 13 8.2 纠正措施 13 8.3 预防措施 14 注释 14 附 录 A 15 附 录 B 25 附 录 C 26 参考书目 28 前 言 为贯彻落实中办发【2003】27号文提出的信息安全保障管理与技术并重的原则，全国信息安全标准化技术委员会信息安全管理工作组（TC260/WG7）积极组织开展了信息安全管理相关国家标准的研制工作，并持续跟踪着国际及相关国家信息安全管理标准化的技术发展。目的在于为我国信息安全管理标准的研制深入开展理论研究和多方积累实践经验，有利于下一步结合我国具体情况和相应的政策法规要求，以及面向电子政务的信息安全管理需求，及时制定相应国家系列标准。 信息安全管理体系（Information security management systems，简称ISMS）（即ISO/IEC 27000系列）是目前国际信息安全管理标准研究的重点。27000系列共包括10个标准，当前已经发布和在研的有6个，分别为： ??ISO/IEC 27000《信息安全管理体系 基础和词汇》 ??ISO/IEC 27001：2005《信息安全管理体系 要求》 ??ISO/IEC 17799：2005《信息安全管理实用规则》（2007年4月后，编号将改为27002） ??ISO/IEC 27003《信息安全管理体系实施指南》 ??ISO/IEC 27004《信息安全管理测量》 ??ISO/IEC 27005《信息安全风险管理》 近两年来，WG7工作组在对该系列标准跟踪研究的过程中，对其中相对成熟的、已经正式发布的两个基础标准ISO/IEC 27001：2005《信息安全管理体系 要求》和ISO/IEC 17799：2005《信息安全管理实用规则》进行了翻译转化，形成了等同于国际标准的汉化版本。进行此项工作的主要目的是学习和研究其先进