- 1、本文档共15页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
信息技术安全技术 信息安全管理体系要求
矚慫润厲钐瘗睞枥庑赖賃軔朧。Information technology- Security techniques -Information security management systems-requirements (IDT ISO/IEC 27001:20XX)
矚慫润厲钐瘗睞枥庑赖賃軔朧。
(征求意见稿, 20XX 年 3 月 27 日)
目 次
前 言 II聞創沟燴鐺險爱氇谴净祸測樅。
弓丨 言 III残骛楼諍锩瀨濟溆塹籟婭骤東。
1范围 1酽锕极額閉镇桧猪訣锥顧荭钯。
2规范性引用文件 1彈贸摄尔霁毙攬砖卤庑诒尔肤。
3术语和定义 1謀荞抟箧飆鐸怼类蒋薔點鉍杂。
4信息安全管理体系(ISMS)
4信息安全管理体系(ISMS)
3厦礴恳蹒骈時盡继價骚卺癩龔。
5管理职责
6茕桢广鳓鯡选块网羈泪镀齐鈞
6内部ISMS审核
6内部ISMS审核
7 ISMS的管理评审
7籟丛妈羥为贍债蛏练淨槠挞曉。
8 ISMS改进 8預頌圣鉉儐歲龈讶骅籴買闥龅。
附录 附录
附录
A (规范性附录)控制目 标和 控 制 措 施
.……9渗釤呛俨匀谔鱉调硯錦 鋇絨钞。
B (资料性附录) OECD 原则 和 本标 准
……20铙誅卧泻噦圣骋贶頂廡 缝勵罴。
C (资料性附录)ISO
9001:20XX, ISO
14001:20XX和本标准之 间的对照 21擁
締凤袜备訊顎轮烂蔷報赢无。
I
刖
言_:言
II
引 言
0.1总则
本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系( In formation Security贓熱俣阃歲匱阊邺镓騷鯛汉鼉。
Management System,简称ISMS)提供模型。采用 ISMS应当是一个组织的一项战略性决策。一个组织 坛搏乡囂忏蒌鍥铃氈淚跻馱釣
的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述
因素及其支持系统会不断发生变化。按照组织的需要实施 ISMS,是本标准所期望的,例如,简单的情
况可采用简单的ISMS解决方案。
本标准可被内部和外部相关方用于一致性评估。
0.2过程方法
本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的 ISMS
一个组织必须识别和管理众多活动使之有效运作。通过使用资源和管理,将输入转化为输出的任意
活动,可以视为一个过程。通常,一个过程的输出可直接构成下一过程的输入。
一个组织内诸过程的系统的运用,连同这些过程的识别和相互作用及其管理,可称之为 过程方法”。
本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性:
a) 理解组织的信息安全要求和建立信息安全方针与目标的需要;
b) 从组织整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险;
c) 监视和评审ISMS的执行情况和有效性;
d) 基于客观测量的持续改进。
本标准采用了 规划(Plan)-实施(Do)-检查(Check)-处置(Act) ” (PDCA)模型,该模型蜡變黲癟報伥铉锚鈰赘籜葦繯。
可应用于所有的ISMS过程。图1说明了 ISMS如何把相关方的信息安全要求和期望作为输入,并通过
必要的行动和过程,产生满足这些要求和期望的信息安全结果。图 1也描述了 4、5、6、7和8章所提
出的过程间的联系。
采用PDCA模型还反映了治理信息系统和网络安全的 OECD指南(20XX版)1中所设置的原则。本
标准为实施 OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强
健的模型。
例1 :某些信息安全缺陷不至于给组织造成严重的财务损失和 /或使组织陷入困境,这可能是一种要
求。
例2:如果发生了严重的事故 一一可能是组织的电子商务网站被黑客入侵 一一应有经充分培训的员
工按照适当的程序,将事件的影响降至最小。这可能是一种期望。
1
OECD信息系统
和网络安全指南
——面向安全文
化。巴黎:OECD
20XX年7月。
買
鯛鴯譖昙膚遙闫撷凄
届嬌擻。
III
规划Plan 建立ISMS
相关方
实施
Do运行ISMS 改进ISMS
信息安全
要求和期望
检查Check
图1应用于I
0.3与其它管理体系的
本标准与 GB/T 19001-20XX 及 GB/T 24001-1996 相 施和运行。因此,一个
19001-20XX( ISO 9(
本标准的设计能够使-
IV猫虿驢绘燈鮒诛髅貺庑献鵬缩。
ISMS过程的PDCA模
兼容性
设计恰当的管理
01:20XX)和 「个组织将其
相关方
实施和
监视和 评审.ISMS
保持和
Act
受控的
处置
信息安全
,以支持与相关 这些标准的要
您可能关注的文档
最近下载
- 《小学四年级期末家长会》课件模板(五套).pptx
- SY∕T 4204-2019 石油天然气建设工程施工质量验收规范 油气田集输管道工程.pdf
- 国开开放系统22422《汽车发动机构造与维修》期末机考真题及答案(第101套).pdf
- 河南中宜创芯发展有限公司年产1000吨电子级高纯碳化硅粉体项目(一期)环境影响报告书.pdf
- 缓速器电控系统培训0413.ppt VIP
- 2024年“七一”专题党课讲稿:做一名合格共产党员.docx VIP
- 大厦加装电梯项目工程钢结构吊装专项施工方案.doc VIP
- 降低老年患者功能性便秘发生率.pptx
- 红星照耀中国阅读计划.docx
- 2024年党纪学习教育ppt(党课).pptx VIP
文档评论(0)