信息技术安全技术.docxVIP

信息技术 安全技术 信息安全管理体系 要求 （ ） （征求意见稿， 年 月 日） 1 / 44 目 次 前 言 ............................................................................. 引 言 ............................................................................ 范围 ................................................................................ 规范性引用文件 ...................................................................... 术语和定义 .......................................................................... 信息安全管理体系（） ............................................................ 管理职责 ............................................................................ 内部 审核 ...................................................................... 的管理评审 ...................................................................... 改进 ........................................................................... 附 录 （规范性附录） 控制目标和控制措施 ........................................... 附 录 （资料性附录） 原则和本标准 .......................................... 附 录 （资料性附录） , 和本标准之间的对照 ............... 2 / 44 前 言 3 / 44 引 言 总则 本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（ ，简称 ）提供模型。采用 应当是一个组织的一项战略性决策。一个组织 的 的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述 因素及其支持系统会不断发生变化。按照组织的需要实施 ，是本标准所期望的，例如，简单的情 况可采用简单的 解决方案。 本标准可被内部和外部相关方用于一致性评估。 过程方法 本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的 。 一个组织必须识别和管理众多活动使之有效运作。通过使用资源和管理，将输入转化为输出的任意活动，可以视为一个过程。通常，一个过程的输出可直接构成下一过程的输入。 一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为 “过程方法 ”。 本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性： ) 理解组织的信息安全要求和建立信息安全方针与目标的需要； ) 从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险； ) 监视和评审 的执行情况和有效性； ) 基于客观测量的持续改进。 本标准采用了 “规划（）实施（）检查（）处置（） ”（） 模型，该模型 可应用于所有的 过程。图 说明了 如何把相关方的信息安全要求和期望作为输入，并通过 必要的行动和过程，产生满足这些要求和期望的信息安全结果。图 也描述了 、、、 和 章所提 出的过程间的联系。 采用 模型还反映了治理信息系统和网络安全的 指南（ 版）中所设置的原则。本 标准为实施 指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强 健的模型。 例 ：某些信息安全缺陷不至于给组织造成严重的财务损失和或使组织陷入困境，这可能是一种要 求。 例 ：如果发生了严重的事故 —— 可能是组织的电子商务网站被黑客入侵 —— 应有经充分培训的员 工按照适当的程序，将事件的影响降至最小。这可能是一种期望。 信息系统和网络安全指南——面向安全文化。 巴黎：， 年 月。 4 / 44 规划 建立 相关方 相关方 实施 实施和 保持和 处置 运行 改进 受控的 信息安全 监视和 信息安全 要求和期望 评审 检查 图 应用于