安全合规ISO--2--ISO 27001介绍.pdf

安全合规ISO--2--ISO 27001介绍 本简介主体部分来自官方文档，同时做了适用于本文档的修改，全文均经过仔细阅读 和揣摩，确保文档的适用性与了解ISO 27001文件精神 一 总则 本标准用于为组织建立、实施、保持和持续改进信息安全管理体系提供要求。采用信 息安全管理体系是组织的一项战略性决策。一个组织信息安全管理体系的建立和实施 受其战略决策、组织需求、目标、安全要求、所采用的过程以及组织的规模和结构的 影响。上述这些影响因素会不断发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，以 充分管理风险并给予相关方信心。 信息安全管理体系是组织过程和整体管理结构的一部分，同时将其整合在一起是非常 重要的。信息安全在设计过程、信息系统、控制措施时就要考虑信息安全。按照组织 的需要实施信息安全管理体系，是本标准所期望的。 标准可被内部和外部相关方使用，评估组织的能力是否满足组织自身信息安全要求。 1 本标准中要求的顺序并不能反映他们的重要性或意味着他们的实施顺序。列举的条目 仅用于参考目的。 ISO/IEC27000描述了信息安全管理体系的概述和词汇，参考了信息安全管理体系标 准族(包括 ISO/IEC 27003 、ISO/IEC 27004和 ISO/IEC 27005) 以及相关的术语和定 义。 二 范围 本标准从组织环境的角度，为建立、实施、运行、保持和持续改进信息安全管理体系 规定了要求。本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要 求。本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。 三 规范性引用文件 下列文件的全部或部分内容在本文件中进行了规范引用，对于其应用是必不可少的。 凡是注日期的引用文件，只有引用的版本适用于本标准;凡是不注日期的引用文件，其 最新版本(包括任何修改)适用于本标准。 ISO/IEC 27000，信息技术 — 安全技术 — 信息安全管理体系 — 概述和词汇 四 术语和定义 ISO/IEC 27000中的术语和定义适用于本标准。 五 组织环境 理解组织及其环境 组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内 部问题。 理解相关方的需求和期望 组织应确定: a) 与信息安全管理体系有关的相关方。 b) 这些相关方与信息安全有关的要求。 注:相关方的要求可能包括法律法规要求和合同义务。 确定信息安全管理体系的范围 组织应确定信息安全管理体系的边界和适用性，以建立其范围。当确定该范围时，组 织应考虑: a) 在5.1-理解组织及其环境中提及的外部和内部问题; b) 在 5.2-理解相关方的需求和期望中提及的要求; c) 组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性范围应文件化并 保持可用性。 2 信息安全管理体系 组织应按照本标准的要求建立、实施、保持和持续改进信息安全管理体系。 六 领导 领导和承诺 高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺: a) 确保建立信息安全方针和信息安全目标，并与组织的战略方向保持一致; b) 确保将信息安全管理体系要求整合到组织的业务过程中; c) 确保信息安全管理体系所需资源可用; d) 传达信息安全管理的重要性，并符合信息安全管理体系的要求; e) 确保信息安全管理体系实现其预期结果; f) 指导并支持人员为信息安全管理体系的有效实施作出贡献; g) 促进持续改进; h) 支持其他相关管理角色在其职责范围内展示他们的领导力。 方针 高层管理者应建立信息安全方针，以: a) 与组织的宗旨相适用; b) 包含信息安全目标7.2-信息安全目标和规划实现或为信息安全目标提供框架; c) 包含满足适用的信息安全相关要求的承诺; d) 包含信息安全管理体系持续改进的承诺。 信息安全方针应: e) 文件化并保持可用性; f) 在组织内部进行传达; g) 适当时提供给相关方。 组织角色、职责和权限 高层管理者应确保分配并传达了信息安全相关角色的职责和权限。 高层管理者应分配下列职责和权限: a) 确保信息安全管理体系符合本标准的要求; b) 将信息安全管理体系的绩效报告给高层管理者。 注:高层管理者可能还要分配在组织内部报告信息安全管