ISO／IEC 27001：2013信息安全管理体系要求-20140706

iso27001信息安全管理体系认证的要求ISO 27001信息安全管理体系认证的要求ISO 27001是国际标准化组织（ISO）发布的信息安全管理体系标准，它为组织制定和实施信息安全管理体系提供了指导。

通过ISO 27001认证，组织可以证明其信息安全管理体系符合国际最佳实践，能够保护信息资产的机密性、完整性和可用性。

ISO 27001的认证要求包括以下几个方面：1. 制定信息安全政策：组织应制定一份明确的信息安全政策，描述其对信息安全的承诺和目标。

这份政策应得到高层管理人员的支持，广泛传达给全体员工。

2. 进行风险评估和管理：组织需要进行全面的风险评估，识别并分析可能对信息资产造成威胁的风险。

基于风险评估结果，组织需要制定相应的风险管理计划，采取适当的控制措施来降低风险。

3. 确定信息安全目标和控制措施：基于风险评估和管理结果，组织需要确定信息安全目标，并制定相应的信息安全控制措施。

这些措施包括技术、操作和管理层面上的安全控制，旨在保护信息资产免受威胁和攻击。

4. 实施和操作信息安全管理体系：组织需要制定详细的操作程序和控制措施，以确保信息安全管理体系的有效运行。

这包括培训员工、监督和审查安全措施的执行情况，并建立持续改进的机制。

5. 进行内部审核和管理审查：组织应定期进行内部审核，以评估信息安全管理体系的有效性和符合性。

此外，组织需要定期进行管理审查，以确保信息安全目标的实现，并根据需要进行调整和改进。

6. 与外部实体进行合作和合规：组织需要与外部实体，如供应商、合作伙伴和监管机构进行合作，确保其在信息安全管理方面遵守相关法律法规和合同要求。

ISO 27001认证是一个全面的过程，需要组织全力配合和积极落实相关要求。

通过认证，组织可以提高信息安全管理的水平，增强对信息资产的保护，树立公信力，获得市场竞争优势。

最新ISO27001：2013信息安全管理体系一整套文件（手册+程序）最新ISO27001：2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本：A/0受控状态：XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制：文件编写小组审批： XXX版本：A/0受控状态：受控文件编号：LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页：序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了XXXXXX技术服务有限公司《信息安全管理手册》。

信息安全管理体系概述信息安全是当今社会中不可或缺的重要组成部分，在个人、组织、甚至国家层面，都需要考虑信息安全的问题。

信息安全管理体系是在一定的安全标准要求下，通过安全管理方法和手段，使信息系统和信息资源能够得到全面保护的一种安全管理体制。

国际标准信息安全管理体系有很多国际标准，其中比较知名的是ISO/IEC 27001:2013，这是一个由 ISO（国际标准化组织）和IEC（国际电工委员会）共同制定的信息安全标准体系。

这个标准的主要目的是提供一种管理信息安全的框架，以保护机构内部和与外部之间的信息，这个标准也是被广泛采用的。

根据 ISO/IEC 27001:2013 标准，描述一个信息安全管理体系包含以下几个部分：1. 上下文文件上下文文件主要介绍了组织的背景信息，如组织的经营方式、目标、资金来源等，以及组织所在的社会经济环境和政治环境。

通过这部分信息的描述，方便后面的安全措施的制定和执行。

2. 风险评估风险评估是对组织内部和外部的威胁进行分析和评估。

通过标识和评估组织内部和外部对信息和信息系统的威胁和漏洞，制定相应的控制措施和安全管理策略。

3. 安全控制安全控制包括了一系列的安全管理措施，如物理安全、技术安全、人员安全等，其中包括了如何防范内部和外部的攻击行为、如何记录和报告安全事件、如何追溯安全事件源头等威胁。

4. 性能评价性能评价主要是对整个信息安全管理体系进行评价，评估安全管理措施的有效性和效果，并且需要定期进行监测和审查。

这个过程是一个不断循环的过程，旨在不断改进和完善信息安全管理体系。

实施步骤在全面了解和掌握了 ISO/IEC 27001:2013 标准的要求后，对于组织想要实施信息安全管理体系，应该按照下面步骤进行：1. 确定需要保护信息的范围首先要明确需要保护的信息的范围，包括了组织机构内部和外部的所有需要保护的信息和信息系统，并且对这些信息进行分类、分级和标记。

2. 确定安全目标和安全策略在确定好需要保护的信息和信息系统之后，就可以制定相应的安全目标和安全策略，包括了防范和预防恶意攻击、加强密码管理、规范系统操作等。

版本：A/0受控状态：XXXXX有限公司信息安全管理手册(依据GB/T22080-2016/ISO27001:2013)编制：审批：版本：受控状态：文件编号：2018年4月20日发布 2018年4月20日实施管理手册修改记录页：目录0.1 颁布令 (6)0.2 管理者代表任命书 (7)0.3关于成立管理体系工作小组的决定 (8)0.4 公司简介 (9)0.5 组织结构 (10)0.6 信息安全方针与目标 (11)1.0 信息安全方针 ..................... 错误!未定义书签。

2.0 信息安全目标 ..................... 错误!未定义书签。

1.0 范 围 (14)1.1 总则 (14)1.2 适用范围 (14)1.3 删减说明 (14)2.0规范性引用文件 (15)3.0 术语与定义 (15)3.3计算机病毒 (16)3.15 相关方 (17)3.16本公司 (17)3.17管理体系 (17)4.0 组织环境 ............................. 错误!未定义书签。

4.1理解组织及其环境 ................... 错误!未定义书签。

4.2利益相关方的需求和期望 ............. 错误!未定义书签。

4.3确定信息安全管理体系范围 ........... 错误!未定义书签。

4.4信息安全管理体系 ................... 错误!未定义书签。

5.0 领导力 ............................... 错误!未定义书签。

5.1领导和承诺 ........................ 错误!未定义书签。

5.2方针 (17)5.3组织的角色、责任和权限 (31)6.0 规划 (34)6.1 应对风险和机会的措施 (36)6.2 信息安全目标及其实现规划 (39)7.0 支持 (40)7.1资源 (40)7.2能力 (40)7.3意识 (40)7.4沟通 (41)7.5文件化信息 (42)8.0 运行 (45)8.1 运行规划和控制 (45)8.2 信息安全风险评估 (46)8.3 信息安全风险处置 (46)9.0 绩效评价 (46)9.1 监视、测量、分析和评价 (46)9.2 内部审核 (47)9.3 管理评审 (48)10.0 改进 (50)10.1不符合及纠正措施 (50)10.2 持续改进 (51)附1信息安全管理体系职责对照表 (53)。

ISO标准——IEC 27001:2013信息安全管理体系——要求Reference numberISO/IEC 27001:2013(E1范围 1 Scope本国际标准规定了在组织背景下建立、实施、维护和持续改进信息安全管理体系。

本标准还包括信息安全风险评估和处置要求,可裁剪以适用于组织。

本国际标准的要求是通用的,适用于所有的组织,不考虑类型、规模和特征。

当组织声称符合本国际标准时,任何条款4-10的排除是不可接受的。

This International Standard specifies the requirements for establishing, implementing, maintaining and continually improvingan information security management system within the contextof the organization. This International Standard also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this International Standard are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this International Standard.2 规范性引用文件下列参考文件是本文件的标准参考,也是应用本文件必不可缺的。

什么是 ISO/IEC 27001？ ISO/IEC 27001标准的名称为《信息技术 —安全技术 —信息安全管理体系 —要求》，由国际标准化组织（ ISO ）及国际电工委员会（ IEC ）出版。

ISO/IEC 27001:2013（下称 ISO/IEC 27001）为最新版本的 ISO/IEC 27001标准，修订了 2005年出版的上一个版本（即 ISO/IEC 27001:2005）。

本标准订明有关建立、推行、维护和持续改进信息安全管理体系的各项要求。

信息安全管理体系阐述保护敏感信息安全的系统化方式，通过应用风险管理流程管理人事、工序及信息技术系统。

这套系统不仅适用于大型机构，中小型企业也会合用。

ISO/IEC 27001可以与相关支援控制措施配合使用，例如载列于 ISO/IEC 27002:2013（下称 ISO/IEC 27002）文件的控制措施。

ISO/IEC 27002分为 14节及 35个控制目标，详述 114项安全控制措施。

有关 ISO/IEC 27001及 ISO/IEC 27002的目录载于附录 A 。

机构是否遵行 ISO/IEC 27001标准所定的要求，可由认可认证机构进行正式评估和认证。

若机构的信息安全管理体系获取 ISO/IEC 27001标准的认证，显示机构致力保护信息安全，又可增加客户、合伙人及持份者的信心。

ISO/IEC 27001认证要求为符合 ISO/IEC 27001认证要求，机构的信息安全管理体系必须由国际认可的认证机构进行审计。

ISO/IEC 27001第 4节至 10节所载的要求（见附录 A ）是强制性要求，并没有豁免情况。

若机构的信息安全管理体系通过正式审计，便会获认证机构颁发 ISO/IEC 27001证书。

证书的有效期为三年，期满后，机构需要重新为其信息安全管理体系进行认证。

在三年有效期内，机构必须执行证书维护，以确保信息安全管理体系持续遵行有关要求，按规定运行和不断改进。

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系（ISMS）的要求。

它旨在确保组织合理评估信息安全风险，并采取适当的安全措施来保护机密性、完整性和可用性。

2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术－安全技术－信息安全管理体系－概述和词汇- ISO/IEC 27002.2013 信息技术－安全技术－信息安全管理实施指南- ISO/IEC 27003.2017 信息技术－安全技术－信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准：- 组织：指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。

- 高层管理：按照组织的要求，履行其职权和责任的最高级别管理职位。

- ISMS：信息安全管理体系。

4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望，以及相关方和利益相关者，以确保ISMS的有效性。

5.领导的承诺高层管理应明确表达对ISMS的支持和承诺，确保其适当实施和维护，并提供资源以满足ISMS的要求。

6.政策组织应制定和实施信息安全政策，为ISMS提供框架和方向，并与组织的活动和风险管理策略保持一致。

7.组织内部的风险评估组织应在ISMS实施之前进行风险评估，以确保全面了解和评估信息资产相关的威胁和风险。

8.管理资源组织应为ISMS指定适当的资源，包括人员、设备和财务资源，以确保其有效实施、操作、监控、审查和持续改进。

9.专门支持组织应为ISMS提供必要的支持，包括培训、意识和沟通，以确保员工的积极参与和遵守ISMS的要求。

10.安全风险管理组织应基于风险评估结果，采取适当的措施来管理和缓解信息安全风险，确保信息资产的安全性。

文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。

国际标准 ISO/IEC 27001第二版 2013-10-01中文翻译版 第0.1版 2013-10-17参考号ISO/IEC 27001:2013（E ）©ISO /IEC 2013信息技术——安全技术——信息安全管理体系——要求受版权保护的文档©ISO/IEC 2013保留所有权利。

除非另有说明，未经事先书面许可，不得通过任何形式或手段进行复制或利用本出版物的任何部分内容，包括电子、机械、影印，或张贴在互联网或企业内部网上。

可通过下面所列的ISO组织地址或ISO成员机构获得许可。

ISO版权办公室Case postale 56 • CH-1211 Geneva 20电话：+ 41 22 749 01 11传真：+ 41 22 749 09 47电子信箱：copyright@网址：瑞士出版翻译说明继ISO/IEC 27000系列文件于2005年发布之后，历经8年的时间，ISO组织终于在日前发布了2013新版。

关注ISO/IEC 27000系列国际标准的读者可以学习并参阅该标准。

为了便于国内读者的阅读和使用，笔者团队利用业余时间自行翻译了本中文版本。

因团队水平有限，其中错误和遗漏之处在所难免。

欢迎各位安全界同仁批评指正。

声明：若因阅读、使用本文而给读者造成的任何形式的损失，本团队不承担任何责任。

本中文版文件的著作权归本团队所有。

本文仅供网上阅读学习之用，亦可通过电子文件复制的方式进行传播。

未经授权，不得用于任何商业目的。

翻译团队：齐芳邮箱：qifang@陆辉邮箱：luhui@刘凯邮箱：liukai@蔡昆邮箱：caikun@贡献者:付峥邮箱：fuzheng@徐特邮箱：xute@目录0介绍............................................................................... x xxv 1范围. (1)2规范性引用 (1)3术语与定义 (1)4组织的环境 (1)4.1理解组织及环境 (1)4.2理解相关方的需求和期望 (1)4.3明确信息安全管理体系的范围 (1)4.4信息安全管理体系 (2)5领导 (2)5.1领导与承诺 (2)5.2方针 (2)5.3组织角色、职责和权力 (2)6计划 (3)6.1处置风险和机遇的活动 (3)6.2信息安全目标和实施计划 (4)7支持 (5)7.1资源 (5)7.2能力 (5)7.3意识 (5)7.4沟通 (5)7.5文档信息 (5)8操作 (6)8.1操作规划和控制 (6)8.2信息安全风险评估 (7)8.3信息安全风险处置 (7)9绩效评价 (7)9.1监测、测量、分析和评价 (7)9.2内部审核 (7)9.3管理评审 (8)10改进 (8)10.1不符合情况和改正措施 (8)10.2持续改进 (9)附录A（引用）参考控制目标和控制措施 (10)参考书目 (20)前言国际标准化组织（ISO）是由各国标准化团体（ISO成员团体）组成的世界性的联合会。

Information technology- Security techniques-Information security management systems—Requirements 信息技术-安全技术—信息安全管理体系—要求Foreword前言ISO (the International Organization for Standardization） and IEC （the International Electro technical Commission) form the specialized system for worldwide standardization。

National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest。

Other international organizations， governmental and non—governmental， in liaison with ISO and IEC, also take part in the work。

In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO（国际标准化组织）和IEC(国际电工委员会）是为国际标准化制定专门体制的国际组织。

信息安全管理手册目录1. 概述 (3)1.1 目的 (3)1.2 适用范围 (3)1.3 颁布令 (3)1.4 授权书 (4)2. 依据文件和术语 (5)2.1 依据文件 (5)2.2 术语定义 (5)3. 裁剪说明 (6)4. 组织环境 (7)4.1 组织环境描述 (7)4.2 信息安全相关方的需求和期望 (10)4.3 信息安全管理体系范围的确定 (10)4.4 体系概述 (11)5. 领导力 (13)5.1 领导力和承诺 (13)5.2 信息安全方针和目标 (13)5.3 组织角色、职责和权限 (14)6. 策划 (16)6.1 风险评估和处置............................. 错误！未定义书签。

6.2 目标实现过程 (17)7. 支持 (19)7.1 资源提供 (19)7.2 能力管理 (19)7.3 意识培训 (19)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (20)8. 运行 (23)8.1 体系策划与运行 (23)8.2 风险评估 (23)8.3 风险处置 (23)9. 绩效评价 (25)9.1 监视、测量、分析和评价..................... 错误！未定义书签。

9.2 内部审核 (26)9.3 管理评审 (27)10. 改进........................................ 2910.1 不符合和纠正措施 2710.2 持续改进 (27)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (34)A.8资产管理 (34)A.9访问控制 (34)A.10密码控制 (35)A.11物理和环境安全 (35)A.12操作安全 (35)A.13通信安全 (36)A.14系统获取、开发和维护 (36)A.15供应商关系 (37)A.16信息安全事故 (37)A.17业务连续性管理的信息安全方面 (37)A.18符合性 (37)附件一：信息安全组织架构映射表 (39)附件二：信息安全职责分配表 (40)1.概述为提高服务质量，规范管理活动，保障系统安全运行，提升人员安全意识水平，XXXXXX软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，已建立实施了一套科学有效的信息安全管理体系，并通过体系的有效运行，实现持续改进，达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。

目录前言 (3)0 引言 (4)0.1 总则 (4)0.2 与其他管理系统标准的兼容性 (4)1. 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织景况 (5)4.1 了解组织及其景况 (5)4.2 了解相关利益方的需求和期望 (5)4.3 确立信息安全管理体系的范围 (6)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织的角色，职责和权限 (7)6. 计划 (7)6.1 应对风险和机遇的行为 (7)6.2 信息安全目标及达成目标的计划 (9)7 支持 (9)7.1 资源 (9)7.2 权限 (9)7.3 意识 (10)7.4 沟通 (10)7.5 记录信息 (10)8 操作 (11)8.1 操作的计划和控制措施 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 性能评价 (12)9.1监测、测量、分析和评价 (12)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A(规范)参考控制目标和控制措施 (15)参考文献 (28)前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并给相关方建立风险得到充分管理的信心。

重要的是，信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中，并且在过程、信息系统和控制措施的设计中要考虑到信息安全。

信息安全管理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

Information technology — Security techniques — Information security management systems — RequirementsTechnologies de l’information — Techniques de sécurité — Systèmes de management de la sécurité de l’information — Exigences© ISO/IEC 2013INTERNATIONAL STANDARD ISO/IEC 27001Second edition 2013-10-01Reference number ISO/IEC 27001:2013(E)ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求Information technology- Security techniques-Information security management systems-RequirementsISO/IEC 27001:2013(E)Contents Page Foreword ........................................................................................................................................................................................................................................ͳ0 Introduction ...............................................................................................................................................................................................................͵1 Scope .................................................................................................................................................................................................................................ͷ2 Normative references ......................................................................................................................................................................................ͷ3 Terms and definitions .....................................................................................................................................................................................ͷ4 Context of the organization .......................................................................................................................................................................ͷ4.1 Understanding the organization and its context . (5)4.2 Understanding the needs and expectations of interested parties (5)4.3 Determining the scope of the information security management system (5)4.4 Information security management system (7)5 Leadership (7)5.1 Leadership and commitment (7)5.2 Policy (7)5.3 Organizational roles, responsibilities and authorities (9)6 Planning (9)6.1 Actions to address risks and opportunities (9)6.2 Information security objectives and planning to achieve them (13)7 Support (13)7.1 Resources (13)7.2 Competence (13)7.3 Awareness (13)7.4 Communication (15)7.5 Documented information (15)8 Operation (17)8.1 Operational planning and control (17)8.2 Information security risk assessment (17)8.3 Information security risk treatment (17)9 Performance evaluation (17)9.1 Monitoring, measurement, analysis and evaluation (17)9.2 Internal audit (19)9.3 Management review (19)10 Improvement (21)10.1 Nonconformity and corrective action (21)10.2 Continual improvement (21)Annex A (normative) Reference control objectives and controls (23)Bibliography (49)目次前言 (2)引言 (4)1 范围 (6)2 规范性引用文件 (6)3 术语和定义 (6)4 组织环境 (6)5 领导 (8)6 规划 (10)7 支持 (14)8 运行 (18)9 绩效评价 (18)10 改进 (22)附录 A （规范性附录）参考控制目标和控制措施 (24)参考文献 (50)ISO/IEC 27001:2013(E)ForewordISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2. The main task of the joint technical committee is to prepare International Standards. Draft International Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies casting a vote.Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. ISO/IEC 27001 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.This second edition cancels and replaces the first edition (ISO/IEC 27001:2005), which has been technically revised.1前言ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

[转载]ISO27001：2013新版信息安全管理体系标准变化精解ISO27001关于标准—基本情况ISO27001:2005改版ISO27001:2013改版背景现版的信息安全管理体系ISO27001:2005标准已经使⽤了8年，⽇前ISO组织（国际标准化组织）终于将新版ISO27001:2013DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，预计在今年6-7⽉会发布DIS最终版。

ISO组织公布的正式版本的颁布时间为2013年10⽉19⽇改版影响在新版公布后的18⾄24个⽉内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在2015年10⽉19⽇前转换到新版标准。

ISO27001的历史发展1992年在英国⾸次作为⾏业标准发布，为信息安全管理提供了⼀个依据。

BS7799标准最早是由英国⼯贸部、英国标准化协会（BSI）组织的相关专家共同开发制定的在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999。

2000年4⽉，将BS7799-1：1999提交ISO，同年10⽉获得通过成为ISO/IEC17799：2000版。

2005年对ISO/IEC17799：2000版进⾏了修订，于6⽉15⽇发布了ISO/IEC17799：2005版。

2007年上半年正式更名为ISO27002:2007。

2013年与ISO27001:2013版同步更新为ISO27002:2013.2001年修订BS7799-2：1999，同年BS7799-2：2000发布。

2002年对BS7799-2：2000进⾏了修订发布了BS7799-2：2002版。

ISO于2005年10⽉15采⽤BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。

2013年10⽉19⽇修订原版，正式使⽤ISO/IEC27001:2013版。