原创力文档- 1、本文档共67页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
`
信息技术安全技术信息安全管理体系指南
Informationtechnology-Securitytechniques-
Informationsecuritymanagementsystem-Guidance
((ISO/IEC27003:2017,IDT))
征求意见稿
2020-01-07
在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上。
XXXX-XX-XX发布
XXXX-XX-XX实施
I
GB/T31496—XXXX/ISO/IEC27003:2017
目次
前言 III
引言 IV
1范围 1
2规范性引用文件 1
3术语和定义 1
4组织环境 1
4.1理解组织及其环境 1
4.2理解相关方的需求和期望 3
4.3确定信息安全管理体系范围 4
4.4信息安全管理体系 4
5领导 5
5.1领导和承诺 5
5.2方针 6
5.3组织的角色,责任和权限 7
6规划 7
6.1应对风险和机会的措施 7
6.1.1总则 7
6.1.2信息安全风险评估 9
6.1.3信息安全风险处置 11
6.2信息安全目标及其实现规划 13
7支持 15
7.1资源 15
7.2能力 16
7.3意识 17
7.4沟通 17
7.5文件化信息 18
7.5.1总则 18
7.5.2创建和更新 19
7.5.3文件化信息的控制 20
8运行 21
8.1运行规划和控制 21
8.2信息安全风险评估 22
8.3信息安全风险处置 22
9绩效评价 23
9.1监视、测量、分析和评价 23
9.2内部审核 24
9.3管理评审 26
II
GB/T31496—XXXX/ISO/IEC27003:2017
10改进 27
10.1不符合及纠正措施 27
10.2持续改进 28
附录A(资料性)方针的框架 30
参考文献 32
1
GB/T31496—XXXX/ISO/IEC27003:2017
信息技术安全技术信息安全管理体系指南
1范围
本文件为GB/T22080—2016提供了解释说明和指南。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T22080—2016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013,IDT)
GB/T29246—2017信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC27000:2016,IDT)
3术语和定义
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T29246—2017界定的术语和定义适用于本文件。
4组织环境
4.1理解组织及其环境
要求的活动
组织确定与其意图相关的,且影响其实现信息安全管理体系(ISMS)预期结果能力的外部和内部事项。
解释
作为ISMS的一项必需功能,组织要持续分析自身及其所处环境。这些分析关注内部和外部事项,这些事项会以某种方式影响信息安全以及如何管理信息安全,并与组织的目标有关。
分析这些事项有三个目的:
——理解环境以决定ISMS的范围;
——分析环境,以确定风险和机会;
——确保ISMS适应不断变化的外部和内部事项。
外部事项超出组织的控制范围,通常称为组织的环境。环境分析可包括以下方面:a)社会和文化;
2
GB/T31496—XXXX/ISO/IEC27003:2017
b)政治、法律、法规和规范;
c)
文档评论(0)