（管理体系培训）ISO信息安全管理体系培训要求.pdfVIP

（管理体系培训）ISO 信 息安全管理体系培训要求 ISO27001:2005 信息技术 安全技术 信息安全管理体系 要求 Information technology-Security techniques-Information security management systems Requirements 目 次 前 言3 引 言4 0.1 总则4 0.2 过程方法 4 0.3 与其它管理体系的兼容性5 1 范围5 1.1 总则5 1.2 应用5 2 规范性引用文件5 3 术语和定义6 3.1 资产 asset6 3.2 可用性 availability6 3.3 保密性 confidentiality 6 3.4 信息安全 information security 6 3.5 信息安全事件 information security event6 3.6 信息安全事故 information security incident6 3.7 信息安全管理体系（ISMS） information security management system （ISMS） 6 3.8 完整性 integrity 6 3.9 残余风险 residual risk6 3.10 风险接受 risk acceptance 7 3.11 风险分析 risk analysis 7 3.12 风险评估 risk assessment 7 3.13 风险评价 risk evaluation 7 3.14 风险管理 risk management 7 3.15 风险处理 risk treatment 7 3.16 适用性声明 statement of applicability 7 4 信息安全管理体系（ISMS）7 4.1 总要求7 4.2 建立和管理 ISMS 7 4.2.1 建立 ISMS 7 4.2.2 实施和运行 ISMS 9 4.2.3 监视和评审 ISMS 9 4.2.4 保持和改进 ISMS 10 4.3 文件要求10 4.3.1 总则10 4.3.2 文件控制11 4.3.3 记录控制11 5 管理职责11 5.1 管理承诺11 5.2 资源管理12 5.2.1 资源提供12 5.2.2 培训、意识和能力12 6 内部 ISMS 审核12 7 ISMS 的管理评审 12 7.1 总则12 7.2 评审输入13 7.3 评审输出13 8 ISMS 改进 13 8.1 持续改进13 8.2 纠正措施13 8.3 预防措施 14 注释14 附 录 A 15 附 录 B 25 附 录 C26 参考书目28 前 言 为贯彻落实中办发【2003】27号文提出的信息安全保障管理与技术 并重的原则，全国信息安全标准化技术委员会信息安全管理工作组 （TC260/WG7）积极组织开展了信息安全管理相关国家标准的研制工 作，并持续跟踪着国际及相关国家信息安全管理标准化的技术发 展。目的在于为我国信息安全管理标准的研制深入开展理论研究和 多方积累实践经验，有利于下一步结合我国具体情况和相应的政策 法规要求，以及面向电子政务的信息安全管理需求，及时制定相应 国家系列标准。 信息安全管理体系（Information security management systems， 简称ISMS）（即ISO/IEC 27000系列）是目前国际信息安全管理标准 研究的重点。27000系列共包括10个标准，当前已经发布和在研的有 6个，分别为： −−ISO/IEC 27000 《信息安全管理体系基础和词汇》 −−ISO/IEC 27001：2005 《信息安全管理体系要求》 −−ISO/IEC 17799：2005 《信息安全管理实用规则》（2007年4月 后，编号将改为27002）