返回
iso27001-2013信息安全管理体系要求.

iso27001-2013信息安全管理体系要求.

ID:27850237

大小:56.00 KB

页数:38页

时间:2018-12-06

iso27001-2013信息安全管理体系要求._第1页
iso27001-2013信息安全管理体系要求._第2页
iso27001-2013信息安全管理体系要求._第3页
iso27001-2013信息安全管理体系要求._第4页
iso27001-2013信息安全管理体系要求._第5页
资源描述:

《iso27001-2013信息安全管理体系要求.》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、目录前言(30引言(40.1总则(40.2与其他管理系统标准的兼容性(41.范围(52规范性引用文件(53术语和定义(54组织景况(54.1了解组织及其景况(54.2了解相关利益方的需求和期望(54.3确立信息安全管理体系的范围(64.4信息安全管理体系(65领导(65.1领导和承诺(65.2方针(65.3组织的角色,职责和权限(76.计划(76.1应对风险和机遇的行为(76.2信息安全目标及达成目标的计划(97支持(97.1资源(97.2权限(97.3意识(107.4沟通(107.5记录信息(108操作(118.1操作的计划和控制措施(118.2信息安全风险评估(118.3信息安全

2、风险处置(119性能评价(129.1监测、测量、分析和评价(129.2内部审核(129.3管理评审(1210改进(1310.1不符合和纠正措施(1310.2持续改进(14附录A(规范参考控制目标和控制措施(15参考文献(28前言0引言0.1总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。重

3、要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。ISO/IEC27000参考信息安全管理体系标准族(包括ISO/IEC27003[2]、ISO/IEC27004[3]、ISO/IEC27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。0.2与其他管理体系标准的兼容性本标准应用了ISO/IEC导则第一部

4、分的ISO补充部分附录SL中定义的高层结构、同一子条款标题、同一文本、通用术语和核心定义,因此保持了与其它采用附录SL的管理体系标准的兼容性。附录SL定义的通用方法有助于组织选择实施单一管理体系来满足两个或多个管理体系标准要求。信息技术——安全技术——信息安全管理体系——要求1.范围本标准规定了在组织环境(context下建立、实施、运行、保持和持续改进信息安全管理体系的要求。本标准还包括了根据组织需求而进行的信息安全风险评估和处置的要求。本标准规定的要求是通用的,适用于各种类型、规模或性质的组织。组织声称符合本标准时,对于第4章到第10章的要求不能删减。2规范性引用文件下列参考文件

5、的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改适用于本标准。ISO/IEC27000,信息技术——安全技术——信息安全管理体系——概述和词汇。3术语和定义ISO/IEC27000中界定的术语和定义适用于本文件。4组织环境(context4.1理解组织及其环境(context组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部情况(issue。注:对这些情况的确定,参见ISO31000:2009[5],5.3中建立外部和内部环境的内容。4.2理解

6、相关方的需求和期望组织应确定:a信息安全管理体系相关方;b这些相关方的信息安全要求。注:相关方的要求可包括法律法规要求和合同义务。4.3确定信息安全管理体系范围组织应确定信息安全管理体系的边界及其适用性以建立其范围。在确定范围时,组织应考虑:a4.1中提到的外部和内部情况;b4.2中提到的要求;c组织执行活动之间以及与其他组织执行活动之间的接口和依赖关系。该范围应形成文件化信息并可用。4.4信息安全管理体系组织应按照本标准的要求,建立、实施、保持和持续改进信息安全管理体系。5领导力5.1领导力和承诺最高管理者应通过以下方式证明信息安全管理体系的领导力和承诺:a确保信息安全方针和信息安

7、全目标已建立,并与组织战略方向一致;b确保将信息安全管理体系要求整合到组织过程中;c确保信息安全管理体系所需资源可用;d传达有效的信息安全管理及符合信息安全管理体系要求的重要性;e确保信息安全管理体系达到预期结果;f指导并支持相关人员为信息安全管理体系有效性做出贡献;g促进持续改进;h支持其他相关管理者角色,在其职责范围内展现领导力。5.2方针最高管理者应建立信息安全方针,方针应:a与组织意图相适宜;b包括信息安全目标(见6.2或为信息安全目标的设定提供框

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。