《信息安全技术 信息安全管理体系 要求》.docxVIP

《信息安全技术 信息安全管理体系 要求》.docx

  1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

Q/LB.□XXXXX-XXXX

PAGE2

ICS

FORMTEXT35.030

CCS

FORMTEXTL80

中华人民共和国国家标准

FORMTEXTGB/T22080—FORMTEXTXXXX/ISO/IEC27001:2022

代替GB/T22080-2016

FORMTEXT信息安全技术信息安全管理体系要求

FORMTEXTInformationsecuritytechnology—Informationsecurity

managementsystems—Requirements

FORMTEXT(ISO/IEC27001:2022,Informationsecurity,cybersecurityandprivacyprotection—Informationsecuritymanagementsystem—Requirements,IDT)

FORMDROPDOWN

FORMTEXT(本稿完成日期:2023/12/12)

FORMDROPDOWN

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

`

STYLEREF标准文件_文件编号GB/T22080—XXXX/ISO/IEC27001:2022

PAGE1

STYLEREF标准文件_文件编号GB/T22080—XXXX/ISO/IEC27001:2022

PAGE4

信息安全技术信息安全管理体系要求

范围

本文件规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。本文件还包括了根据组织需求所剪裁的信息安全风险评估和处置的要求。本文件规定的要求是通用的,适用于各种类型、规模或性质的组织。当组织声称符合本文件时,第4章到第10章中规定的任何要求都是不能排除的。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

ISO/IEC27000信息技术安全技术信息安全管理体系概述和词汇(Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary)

注:GB/T29246—202X信息安全技术信息安全管理体系概述和词汇(ISO/IEC27000:2018,IDT)

术语和定义

ISO/IEC27000界定的术语和定义适用于本文件。

ISO和IEC维护用于标准化的术语数据库,地址如下:

——ISO在线浏览平台:/obp

——IEC电子百科:

组织环境

理解组织及其环境

组织应确定与其宗旨相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

注:对这些事项的确定,见GB/T24353-2022[2]中5.4.1建立外部和内部环境的内容。

理解相关方的需求和期望

组织应确定:

信息安全管理体系的相关方;

这些相关方的有关要求;

哪些要求将通过信息安全管理体系予以解决。

注:相关方的要求包括法律、法规和合同义务。

确定信息安全管理体系范围

组织应确定信息安全管理体系的边界及其适用性,以建立其范围。

组织应根据以下内容确定信息安全管理体系范围:

4.1中提到的外部和内部事项;

4.2中提到的要求;

组织实施的活动与其他组织实施的活动之间的接口和依赖关系。

范围应形成文件化信息并可用。

信息安全管理体系

组织应按照本文件的要求,建立、实现、维护和持续改进信息安全管理体系,包括所需的过程及其相互作用。

领导

领导和承诺

最高管理层应通过以下活动,证实其对信息安全管理体系的领导和承诺:

确保建立了信息安全方针和信息安全目标,并与组织战略方向一致;

确保将信息安全管理体系要求整合到组织过程中;

确保信息安全管理体系所需资源可用;

沟通有效的信息安全管理和符合信息安全管理体系要求的重要性;

确保信息安全管理体系达到预期结果;

指导并支持相关人员为信息安全管理体系的有效性做出贡献;

促进持续改进;

支持其他相关管理角色,以证实其在职责范围内的领导。

注:本文件中提及的“业务”能广义地理解为涉及组织宗旨的那些核心活动。

方针

最高管理层应建立信息安全方针,该方针应:

与组织的宗旨相适宜;

包括信息安全目标(见6.2)或为设定信息安全目标提供框架;

包括对满足适用的信息安全相关要求

您可能关注的文档

文档评论(0)

***** + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

版权声明书
用户编号:8135026137000003

1亿VIP精品文档

相关文档