信息技术安全技术信息安全管理体系要求

信息技术安全技术信息安全管理体系要求

ID:13804602

大小:87.79 KB

页数:25页

时间:2018-07-24

信息技术安全技术信息安全管理体系要求_第1页
信息技术安全技术信息安全管理体系要求_第2页
信息技术安全技术信息安全管理体系要求_第3页
信息技术安全技术信息安全管理体系要求_第4页
信息技术安全技术信息安全管理体系要求_第5页
资源描述:

《信息技术安全技术信息安全管理体系要求》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、ICS35.040L80中华人民共和国国家标准GB/T22080—XXXX/ISO/IEC27001:2013代替GB/T22080-2008信息技术安全技术信息安全管理体系要求Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Requirements(ISO/IEC27001:2013,IDT)(征求意见稿)(本稿完成日期:2015/1/16)在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上。XXXX-XX-XX发布XXXX-XX-实施GB/T22080-XXX

2、X/ISO/IEC27001:2013前  言本标准照GB/T1.1-2009和GB/T20000.2-2009给出的规则起草。本标准使用翻译法等同采用国际标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》(英文版)。本部分自发布之日起代替GB/T22080-2008《信息技术安全技术信息安全管理体系要求》。本部分与GB/T22080-2008的主要差异如下:1、control“控制措施”改为“控制”2、implement“实施”改为“实现”3、maintain“保持”改为“维护”4、objective“目标”改为“目的”5、assetowner“资产

3、责任人”改为“资产拥有者”本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。本标准起草单位:本标准主要起草人:GB/T22080-XXXX/ISO/IEC27001:2013引  言0.1总则本标准提供建立、实现、维护和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实现受组织的需要和目的、安全要求、组织所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。信息安全管理体系通过应用风险管理过程来保持信息的保密性、完

4、整性和可用性,并为相关方树立风险得到充分管理的信心。重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制的设计中要考虑到信息安全。期望的是,信息安全管理体系的实现程度要与组织的需要相符合。本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。本标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予实现的顺序。条款编号仅为方便引用。ISO/IEC27000描述了信息安全管理体系的概要和词汇,引用了信息安全管理体系标准族(包括ISO/IEC27003[2]、ISO/IEC27004[3]、ISO/IEC27005[

5、4]),以及相关术语和定义。0.2与其他管理体系标准的兼容性本标准应用ISO/IEC 合并导则附录SL中定义的高层结构、相同条款标题、相同文本、通用术语和核心定义,因此保持了与其他采用附录SL的管理体系的标准具有兼容性。附录SL中定义的通用途径对于选择运行单一管理体系来满足两个或更多管理体系标准要求的组织是有用的。GB/T22080-XXXX/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求1 范围本标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。本标准还包括了根据组织需求所剪裁的信息安全风险评估和处置的要求。本标准规定的要求是通用的

6、,适用于各种类型、规模或性质的组织。当组织声称符合本标准时,不能排除第4章到第10章中所规定的任何要求。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。ISO/IEC27000信息技术安全技术信息安全管理体系概述和词汇。3 术语和定义ISO/IEC27000界定的术语和定义适用于本文件。4 组织环境4.1理解组织及其环境组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。注:对这些事项的确定,参见ISO31000:2009[

7、5],5.3中建立外部和内部环境的内容。4.2理解相关方的需求和期望组织应确定:a)信息安全管理体系相关方;b)这些相关方与信息安全相关的要求。注:相关方的要求可包括法律、法规要求和合同义务。4.3确定信息安全管理体系范围组织应确定信息安全管理体系的边界及其适用性,以建立其范围。在确定范围时,组织应考虑:a)4.1中提到的外部和内部事项;b)4.2中提到的要求;c)组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关系。该范围应形成文件化信息并可用。GB/T22080-

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。