信息技术安全技术.docxVIP

信息技术安全技术 信息安全管理体系要求 矚慫润厲钐瘗睞枥庑赖賃軔朧。Information technology- Security techniques -Information security management systems-requirements (IDT ISO/IEC 27001:20XX) 矚慫润厲钐瘗睞枥庑赖賃軔朧。 (征求意见稿， 20XX 年 3 月 27 日) 目 次 前 言 II聞創沟燴鐺險爱氇谴净祸測樅。 弓丨 言 III残骛楼諍锩瀨濟溆塹籟婭骤東。 1范围 1酽锕极額閉镇桧猪訣锥顧荭钯。 2规范性引用文件 1彈贸摄尔霁毙攬砖卤庑诒尔肤。 3术语和定义 1謀荞抟箧飆鐸怼类蒋薔點鉍杂。 4信息安全管理体系（ISMS） 4信息安全管理体系（ISMS） 3厦礴恳蹒骈時盡继價骚卺癩龔。 5管理职责 6茕桢广鳓鯡选块网羈泪镀齐鈞 6内部ISMS审核 6内部ISMS审核 7 ISMS的管理评审 7籟丛妈羥为贍债蛏练淨槠挞曉。 8 ISMS改进 8預頌圣鉉儐歲龈讶骅籴買闥龅。 附录 附录 附录 A （规范性附录）控制目 标和 控 制 措 施 .……9渗釤呛俨匀谔鱉调硯錦 鋇絨钞。 B （资料性附录） OECD 原则 和 本标 准 ……20铙誅卧泻噦圣骋贶頂廡 缝勵罴。 C （资料性附录）ISO 9001:20XX, ISO 14001:20XX和本标准之 间的对照 21擁 締凤袜备訊顎轮烂蔷報赢无。 I 刖 言_:言 II 引 言 0.1总则 本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（ In formation Security贓熱俣阃歲匱阊邺镓騷鯛汉鼉。 Management System,简称ISMS）提供模型。采用 ISMS应当是一个组织的一项战略性决策。一个组织 坛搏乡囂忏蒌鍥铃氈淚跻馱釣 的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述 因素及其支持系统会不断发生变化。按照组织的需要实施 ISMS,是本标准所期望的，例如，简单的情 况可采用简单的ISMS解决方案。 本标准可被内部和外部相关方用于一致性评估。 0.2过程方法 本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的 ISMS 一个组织必须识别和管理众多活动使之有效运作。通过使用资源和管理，将输入转化为输出的任意 活动，可以视为一个过程。通常，一个过程的输出可直接构成下一过程的输入。 一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为 过程方法”。 本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性： a） 理解组织的信息安全要求和建立信息安全方针与目标的需要； b） 从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险； c） 监视和评审ISMS的执行情况和有效性； d） 基于客观测量的持续改进。 本标准采用了 规划（Plan）-实施（Do）-检查（Check）-处置（Act） ” （PDCA）模型，该模型蜡變黲癟報伥铉锚鈰赘籜葦繯。 可应用于所有的ISMS过程。图1说明了 ISMS如何把相关方的信息安全要求和期望作为输入，并通过 必要的行动和过程，产生满足这些要求和期望的信息安全结果。图 1也描述了 4、5、6、7和8章所提 出的过程间的联系。 采用PDCA模型还反映了治理信息系统和网络安全的 OECD指南（20XX版）1中所设置的原则。本 标准为实施 OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强 健的模型。 例1 :某些信息安全缺陷不至于给组织造成严重的财务损失和 /或使组织陷入困境，这可能是一种要 求。 例2:如果发生了严重的事故 一一可能是组织的电子商务网站被黑客入侵 一一应有经充分培训的员 工按照适当的程序，将事件的影响降至最小。这可能是一种期望。 1 OECD信息系统 和网络安全指南 ——面向安全文 化。巴黎：OECD 20XX年7月。 買 鯛鴯譖昙膚遙闫撷凄 届嬌擻。 III 规划Plan 建立ISMS 相关方 实施 Do运行ISMS 改进ISMS 信息安全 要求和期望 检查Check 图1应用于I 0.3与其它管理体系的 本标准与 GB/T 19001-20XX 及 GB/T 24001-1996 相 施和运行。因此，一个 19001-20XX（ ISO 9（ 本标准的设计能够使- IV猫虿驢绘燈鮒诛髅貺庑献鵬缩。 ISMS过程的PDCA模 兼容性 设计恰当的管理 01:20XX）和 「个组织将其 相关方 实施和 监视和 评审.ISMS 保持和 Act 受控的 处置 信息安全 ，以支持与相关 这些标准的要