信息安全管理体系要求》(草案)060327sgxl

信息安全管理体系要求》(草案)060327sgxl

ID:22521797

大小:406.00 KB

页数:28页

时间:2018-10-29

信息安全管理体系要求》(草案)060327sgxl_第1页
信息安全管理体系要求》(草案)060327sgxl_第2页
信息安全管理体系要求》(草案)060327sgxl_第3页
信息安全管理体系要求》(草案)060327sgxl_第4页
信息安全管理体系要求》(草案)060327sgxl_第5页
资源描述:

《信息安全管理体系要求》(草案)060327sgxl》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、信息技术安全技术信息安全管理体系要求Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements(IDTISO/IEC27001:2005)(征求意见稿,2006年3月27日)1目次前言II引言III1范围12规范性引用文件13术语和定义14信息安全管理体系(ISMS)35管理职责66内部ISMS审核77ISMS的管理评审78ISMS改进8附 录 A(规范性附录)控制目标和控制措施9附 录 B(资料性附录)OECD原则和本标准20附 录 C(资料性附录)ISO

2、9001:2000,ISO14001:2004和本标准之间的对照2123前言23引言0.1总则本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(InformationSecurityManagementSystem,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。本标准可被内部和外部相关方用于一致性评估。0.2过程方法

3、本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。一个组织必须识别和管理众多活动使之有效运作。通过使用资源和管理,将输入转化为输出的任意活动,可以视为一个过程。通常,一个过程的输出可直接构成下一过程的输入。一个组织内诸过程的系统的运用,连同这些过程的识别和相互作用及其管理,可称之为“过程方法”。本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性:a)理解组织的信息安全要求和建立信息安全方针与目标的需要;b)从组织整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险;c)监视和评审ISMS的执行情况和有效性;d)基

4、于客观测量的持续改进。本标准采用了“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)模型,该模型可应用于所有的ISMS过程。图1说明了ISMS如何把相关方的信息安全要求和期望作为输入,并通过必要的行动和过程,产生满足这些要求和期望的信息安全结果。图1也描述了4、5、6、7和8章所提出的过程间的联系。采用PDCA模型还反映了治理信息系统和网络安全的OECD指南(2002版)OECD信息系统和网络安全指南——面向安全文化。巴黎:OECD,2002年7月。www.oecd.org中所设置的原则。本标准为实施OECD指南中规定的风险评估、安全设计和实施、

5、安全管理和再评估的原则提供了一个强健的模型。例1:某些信息安全缺陷不至于给组织造成严重的财务损失和/或使组织陷入困境,这可能是一种要求。例2:如果发生了严重的事故——可能是组织的电子商务网站被黑客入侵——应有经充分培训的员工按照适当的程序,将事件的影响降至最小。这可能是一种期望。23相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act图1应用于ISMS过程的PDCA模型规划(建立ISMS)建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序,以提供与组织整体方针和目

6、标相一致的结果。实施(实施和运行ISMS)实施和运行ISMS方针、控制措施、过程和程序。检查(监视和评审ISMS)对照ISMS方针、目标和实践经验,评估并在适当时,测量过程的执行情况,并将结果报告管理者以供评审。处置(保持和改进ISMS)基于ISMS内部审核和管理评审的结果或者其他相关信息,采取纠正和预防措施,以持续改进ISMS。0.1与其它管理体系的兼容性本标准与GB/T19001-2000及GB/T24001-1996相结合,以支持与相关管理标准一致的、整合的实施和运行。因此,一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T19001-200

7、0(ISO9001:2000)和GB/T24001-1996(ISO14001:2004)的各条款之间的关系。本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。23信息技术安全技术信息安全管理体系要求重点:本出版物不声称包括一个合同所有必要的规定。用户负责对其进行正确的应用。符合标准本身并不获得法律义务的豁免。1 范围1.1 总则本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。本标准从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。