信息安全-网络安全和隐私保护-信息安全管理体系-要求和使用指南.pdfVIP

国际标准

ISO/IEC

27001

第3版

2022-10

(ISO/IEC27001:2022+IS0/lEC27003:2017)

信息安全-网络安全和隐私保护-信息安全管

理体系-求和使用指南

（整合版）

ISO/IEC27001

©ISO/IEC2022

雷泽佳编制

目次

前言11

引言Ill

1范围4

2规范性引用文件4

3术语和定义4

4组织环境4

4.1理解组织及其环境4

4.2理解相关方的需求和期望6

4.3定信息安全管理体系的范围7

4.4信息安全管理体系8

5领导作用8

5.1领导作用和承诺8

5.2方针9

5.3组织的岗位、职责和权限10

6策划11

6.1应对风险和机遇的措施11

6.2信息安全目标及其实现的策划18

6.3变更的策划20

7支持20

7.1资源20

7.2能力21

7.3意识21

7.4沟通22

7.5成文信息23

8运彳亍26

8.1运行的策划和控制26

8.2信息安全风险评估28

8.3信息安全风险处置28

9绩效评价28

9.1监视、测量、分析和评价29

9.2内部审核30

9.3管理评审32

10改进33

10.1不符合及纠正措施33

10.2持续改进35

附录A规（范性附录）信息安全控制参考37

附录B：（资料性）方针的框架42

参考文献44

刖百

国际标准化组织（ISO）是由各国标准化团体（ISO成员团体）组成的世界性的联合会。制定国际标准

工作通常由ISO的技术委员会完成。各成员团体若对某技术委员会定的项目感兴趣，均有权参加该委员

会的工作。与ISO保持联系的各国际组织（官方的或非官方的）也可参加有关工作。ISO与国际电工委员

会（IEC）在电工技术标准化方面保持密切合作的关系。

制定本标准及其后续标准维护的程序在ISO/IEC指引第1部分均有描述。应特别注意用于各不同类别

ISC文件批准准则。本标准根据ISO/IEC导则第2部分的规则起草（见WWW.iso.org/directives或www.

iec.ch/menibers_experts/refdocs）。

本标准中的某些内容有可能涉及一些专利权问题，对此应引起注意。ISO不负责识别任何这样的专利权

问题。在标准制定期间识别的专