ISO 27001介绍 _原创文档.pdfVIP

一、ISO27001是什么？

ISO27001是有关信息安全管理的国际标准。最初源于英国标准

BS7799，经过十年的不断改版，终于在2005年被国际标准化组织

（ISO）转化为正式的国际标准，于2005年10月15日发布为ISO/IEC

27001:2005。该标准可用于组织的信息安全管理体系的建立和实施，

保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管

理理念，全面系统地持续改进组织的安全管理。其正式名称为：

《ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系-要

求》

二、ISO27001有何用途？

ISO27001用于为建立、实施、运行、监视、评审、保持和改进

信息安全管理体系（InformationSecurityManagementSystem，简

称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。

一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采

用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不

断发生变化。期望信息安全管理体系可以根据组织的需求而测量，例

如简单的情形可采用简单的ISMS解决方案。

ISO27001标准可以作为评估组织满足顾客、组织本身及法律法

规的信息安全要求的能力的依据，无论是组织自我评估还是评估供方

能力，都可以采用，也可以用作独立第三方认证的依据。

三、ISO27001的详细目录

0简介

0.1总则

0.2过程方法

0.3与其它管理体系的兼容性

1范围

2引用标准

3术语和定义

4信息安全管理体系

4.1总要求

4.2.1建立ISMS

4.2.2实施并运作ISMS

4.2.3监控并评审ISMS

4.2.4保持并持续改进ISMS

4.3.1文件要求-总则

4.3.2文件控制

4.3.3记录控制

5管理职责

5.1管理承诺

5.2.1资源管理-资源提供

5.2.2培训、意识和能力

6内部信息安全管理体系审核

7信息安全管理体系管理评审

7.1总则

7.2评审输入

7.3评审输出

8信息安全管理体系改进

8.1持续改进

8.2纠正措施

8.3预防措施