《信息安全管理体系要求》ISOIEC 27001 2013(E)
ISO27001-2013 信息安全管理体系要求 中英对照版
ISO标准——IEC 27001:2013信息安全管理体系——要求Reference numberISO/IEC 27001:2013(E1范围 1 Scope本国际标准规定了在组织背景下建立、实施、维护和持续改进信息安全管理体系。
本标准还包括信息安全风险评估和处置要求,可裁剪以适用于组织。
本国际标准的要求是通用的,适用于所有的组织,不考虑类型、规模和特征。
当组织声称符合本国际标准时,任何条款4-10的排除是不可接受的。
This International Standard specifies the requirements for establishing, implementing, maintaining and continually improvingan information security management system within the contextof the organization. This International Standard also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this International Standard are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this International Standard.2 规范性引用文件下列参考文件是本文件的标准参考,也是应用本文件必不可缺的。
ISO IEC 27001-2013信息安全管理体系法律法规要求符合性评价表
2004.03.12
国家知识产权局
符合
26
中华人民共和国著作权法
1990.09.07
1991.06.01
全国人大常委会
符合
27
中华人民共和国著作权法实施条例
2002.08.02
2002.9.15
国务院第359号令
符合
28
科学技术保密规定
1995.01.06
1995.01.06
国家科委、国家保密局
2003.01.07
2003.2.10
国家广播电影电视总局
符合
16
互联网电子公告服务管理规定
2000.10.08
2000.10.08
信息产业部
符合
17
信息系统工程监理工程师资格管理办法
2003年颁布
2003.04.01
信息产业部
符合
18
信息系统工程监理单位资质管理办法
2003年颁布
2003.04.01
2012
2012
符合
43
44
GB/T 12505-1990计算机软件配置管理计划规范
2012
2012
符合
44
45
GB/T 19001-2008质量管理体系 要求
2009
2009
符合
45
46
GB/T 14079-1993软件维护指南
1993
1993
符合
46
47
卫医政发(2010)114号基于Web的嵌入式监控系统
1997.12.12
1997.12.12
公安部第32号令
符合
9
计算机病毒防治管理办法
ISO27001-2013信息安全管理体系风险和机遇识别评价分析及应对措施控制程序
ISO27001-2013信息安全管理体系风险和机遇识别评价分析及应对措施控制程序1.目的和范围为了规定公司所采用的信息安全风险评估方法。
通过识别信息资产、风险等级评估本公司的信息安全风险,选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持业务持续性发展,以满足信息安全管理方针的要求,特制订本制度。
本制度适用信息安全管理体系范围内信息安全风险评估活动。
2.引用文件1)下列文件中的条款通过本制度的引用而成为本制度的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本制度,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本制度。
2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)ISO/IEC 27005:2008《信息技术-安全技术-风险管理》5)《GB/T 20984-2007信息安全风险评估指南》3.职责和权限1)信息安全管理领导小组:负责汇总确认《信息安全风险评估表》,并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。
2)公司全体员工:在信息安全管理领导小组协调下,负责本部门使用或管理的资产的识别和风险评估;负责本部门所涉及的资产的具体安全控制工作。
信息安全管理员在本部门信息资产发生变更时,需要及时清点和评估,并报送信息安全管理领导小组更新《信息安全风险评估表》。
4.风险管理方法通过定义风险管理方法,明确风险接受准则与等级,确保能产生可比较且可重复的风险评估结果。
(如图1)风险管理流程图图1风险管理流程图4.1.风险识别通过进行风险识别活动,识别了以下内容:1)识别了信息安全管理体系范围内的资产及其责任人;2)识别了资产所面临的威胁;3)识别了可能被威胁利用的脆弱点;4)识别了丧失保密性、完整性和可用性可能对资产造成的影响。
ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求 中文版(正式发布版)
ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系(ISMS)的要求。
它旨在确保组织合理评估信息安全风险,并采取适当的安全措施来保护机密性、完整性和可用性。
2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术-安全技术-信息安全管理体系-概述和词汇- ISO/IEC 27002.2013 信息技术-安全技术-信息安全管理实施指南- ISO/IEC 27003.2017 信息技术-安全技术-信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准:- 组织:指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。
- 高层管理:按照组织的要求,履行其职权和责任的最高级别管理职位。
- ISMS:信息安全管理体系。
4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望,以及相关方和利益相关者,以确保ISMS的有效性。
5.领导的承诺高层管理应明确表达对ISMS的支持和承诺,确保其适当实施和维护,并提供资源以满足ISMS的要求。
6.政策组织应制定和实施信息安全政策,为ISMS提供框架和方向,并与组织的活动和风险管理策略保持一致。
7.组织内部的风险评估组织应在ISMS实施之前进行风险评估,以确保全面了解和评估信息资产相关的威胁和风险。
8.管理资源组织应为ISMS指定适当的资源,包括人员、设备和财务资源,以确保其有效实施、操作、监控、审查和持续改进。
9.专门支持组织应为ISMS提供必要的支持,包括培训、意识和沟通,以确保员工的积极参与和遵守ISMS的要求。
10.安全风险管理组织应基于风险评估结果,采取适当的措施来管理和缓解信息安全风险,确保信息资产的安全性。
ISO27001-2013标准
Informationtechnology-Securitytechniques -Informationsecuritymanagementsystems-Requirements信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO(theInternationalOrganizationforStandardization)andIEC(theInternationalElectrote chnicalCommission)formthespecializedsystemforworldwidestandardization.Nationalb odiesthataremembersofISOorIECparticipateinthedevelopmentofInternationalStandard sthroughtechnicalcommitteesestablishedbytherespectiveorganizationtodealwithpartic ularfieldsoftechnicalactivity.ISOandIECtechnicalcommitteescollaborateinfieldsofmutu alinterest.Otherinternationalorganizations,governmentalandnon-governmental,inliaisonwithISOandIEC,alsotakepartinthework.Inthefieldofinformationte chnology,ISOandIEChaveestablishedajointtechnicalcommittee,ISO/IECJTC1.ISO(国际标准化组织)和IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织。
国家机构是ISO或IEC的成员,他们通过各自的组织建立技术委员会参与国际标准的制定,来处理特定领域的技术活动。
ISO270012013实用标准
Information technology- Security techniques-Information security management systems-Requirements信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal withparticular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO(国际标准化组织)和IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织。
ISO27001-2013信息安全管理体系要求
目录前言 (3)0 引言 (4)0.1 总则 (4)0.2 与其他管理系统标准的兼容性 (4)1. 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织景况 (5)4.1 了解组织及其景况 (5)4.2 了解相关利益方的需求和期望 (5)4.3 确立信息安全管理体系的范围 (6)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织的角色,职责和权限 (7)6. 计划 (7)6.1 应对风险和机遇的行为 (7)6.2 信息安全目标及达成目标的计划 (9)7 支持 (9)7.1 资源 (9)7.2 权限 (9)7.3 意识 (10)7.4 沟通 (10)7.5 记录信息 (10)8 操作 (11)8.1 操作的计划和控制措施 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 性能评价 (12)9.1监测、测量、分析和评价 (12)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A(规范)参考控制目标和控制措施 (15)参考文献 (28)前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。
采用信息安全管理体系是组织的一项战略性决策。
组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。
所有这些影响因素可能随时间发生变化。
信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。
重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。
信息安全管理体系的实施要与组织的需要相符合。
本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。
ISO27001-2013标准
Information technology- Security techniques-Information security management systems-Requirements信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO(国际标准化组织)和IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织。
ISO27001:2013信息安全管理体系一整套程序
文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件,对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制,确保部门使用现行的有效版本,特制订本制度。
本制度适用于信息安全管理体系文件的管理。
2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门,负责信息安全有关的所有文件的管理与控制。
2)各部门:负责本部门信息安全管理文件的管理与控制。
4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括:1)第一层:信息安全管理手册、信息安全目标、信息安全适用性声明(SOA)、信息安全策略;2)第二层:制度文件;3)第三层:各管理规定、管理办法、流程、作业指导书(指南)及外来文件等;4)第四层:记录、表单。
记录控制执行《记录控制制度》。
4.2文件编制文件编制要有充分的依据,体现系统协调,可操作、可检查的原则。
1)第一层:信息安全管理手册由体系负责人组织编写,信息安全管理者代表审核,总经理批准发布。
2)第二、三层:由相关责任部门编写,信息安全管理者代表审核,总经理批准发布。
3)第四层:由相关责任部门编写,文档负责人审批,信息安全管理者代表批准发布。
4.3文件标识所有文件必须有明确的标识,包括:文件的名称、编号、版本号、密级标识等。
27001-2013 信息技术 -- 安全技术 -- 信息安全管理体系 -- 要求
国际标准 ISO/IEC 27001第二版 2013-10-01中文翻译版 第0.1版 2013-10-17参考号ISO/IEC 27001:2013(E )©ISO /IEC 2013信息技术——安全技术——信息安全管理体系——要求受版权保护的文档©ISO/IEC 2013保留所有权利。
除非另有说明,未经事先书面许可,不得通过任何形式或手段进行复制或利用本出版物的任何部分内容,包括电子、机械、影印,或张贴在互联网或企业内部网上。
可通过下面所列的ISO组织地址或ISO成员机构获得许可。
ISO版权办公室Case postale 56 • CH-1211 Geneva 20电话:+ 41 22 749 01 11传真:+ 41 22 749 09 47电子信箱:copyright@网址:瑞士出版翻译说明继ISO/IEC 27000系列文件于2005年发布之后,历经8年的时间,ISO组织终于在日前发布了2013新版。
关注ISO/IEC 27000系列国际标准的读者可以学习并参阅该标准。
为了便于国内读者的阅读和使用,笔者团队利用业余时间自行翻译了本中文版本。
因团队水平有限,其中错误和遗漏之处在所难免。
欢迎各位安全界同仁批评指正。
声明:若因阅读、使用本文而给读者造成的任何形式的损失,本团队不承担任何责任。
本中文版文件的著作权归本团队所有。
本文仅供网上阅读学习之用,亦可通过电子文件复制的方式进行传播。
未经授权,不得用于任何商业目的。
翻译团队:齐芳邮箱:qifang@陆辉邮箱:luhui@刘凯邮箱:liukai@蔡昆邮箱:caikun@贡献者:付峥邮箱:fuzheng@徐特邮箱:xute@目录0介绍............................................................................... x xxv 1范围. (1)2规范性引用 (1)3术语与定义 (1)4组织的环境 (1)4.1理解组织及环境 (1)4.2理解相关方的需求和期望 (1)4.3明确信息安全管理体系的范围 (1)4.4信息安全管理体系 (2)5领导 (2)5.1领导与承诺 (2)5.2方针 (2)5.3组织角色、职责和权力 (2)6计划 (3)6.1处置风险和机遇的活动 (3)6.2信息安全目标和实施计划 (4)7支持 (5)7.1资源 (5)7.2能力 (5)7.3意识 (5)7.4沟通 (5)7.5文档信息 (5)8操作 (6)8.1操作规划和控制 (6)8.2信息安全风险评估 (7)8.3信息安全风险处置 (7)9绩效评价 (7)9.1监测、测量、分析和评价 (7)9.2内部审核 (7)9.3管理评审 (8)10改进 (8)10.1不符合情况和改正措施 (8)10.2持续改进 (9)附录A(引用)参考控制目标和控制措施 (10)参考书目 (20)前言国际标准化组织(ISO)是由各国标准化团体(ISO成员团体)组成的世界性的联合会。
信息技术——安全技术——信息安全管理体系——要求
本国际标准采用了通用的架构,具备与 ISO/IEC 标准体系相同的章节、相同的文本、 通用的条款,与附录 SL 中定义的 ISO/IEC 导则的第一部分也保持了一致。因此,本标准保 持了与其他管理体系标准的兼容性。
这种在附录 SL 中的通用定义方法,对于某组织只实施某一个管理体系项目而需要参考 两个或更多管理体系标准的情况是非常有用的。
国际标准是根据 ISO/IEC 导则第 2 部分的规则起草。 技术委员会的主要任务是制定国际标准。由技术委员会通过的国际标准草案提交各成员团 体投票表决。国际标准草案需取得至少 75%参加表决成员团体的同意,才能作为国际标准正式发 布。 本文件中的某些内容有可能涉及一些专利权问题,对此应引起注意,ISO 不负责识别任何这 样的专利权问题。 本经过技术修订的第二版将取代(ISO/IEC 27001:2005)第一版。
4.1 理解组织及环境..................................................................1 4.2 理解相关方的需求和期望..........................................................1 4.3 明确信息安全管理体系的范围......................................................1 4.4 信息安全管理体系................................................................2 5 领导 ..................................................................................2 5.1 领导与承诺 .....................................................................2 5.2 方针 ...........................................................................2 5.3 组织角色、职责和权力............................................................2 6 计划 ..................................................................................3 6.1 处置风险和机遇的活动............................................................3 6.2 信息安全目标和实施计划..........................................................4 7 支持 ..................................................................................5 7.1 资源 ...........................................................................5 7.2 能力 ...........................................................................5 7.3 意识 ...........................................................................5 7.4 沟通 ...........................................................................5 7.5 文档信息 .......................................................................5 8 操作 ..................................................................................6 8.1 操作规划和控制..................................................................6 8.2 信息安全风险评估................................................................7 8.3 信息安全风险处置................................................................7 9 绩效评价 ..............................................................................7 9.1 监测、测量、分析和评价..........................................................7 9.2 内部审核 .......................................................................7 9.3 管理评审 .......................................................................8 10 改进 .................................................................................8 10.1 不符合情况和改正措施...........................................................8 10.2 持续改进 ......................................................................9 附录 A(引用)参考控制目标和控制措施 ...................................................10 参考书目............................................................................... 20
ISO27001-2013 信息技术--安全技术--信息安全管理体系 excel版
A.5.1.1 A.5.1.2
A.6.1.1 A.6.1.2 A.6.1.3 A.6.1.4 A.6.1.5
A.6.2.1 A.6.2.2
A.7.1.1 A.7.1.2
A.7.2.1 A.7.2.2 A.7.2.3
A.7.3.1
A.8.1.1 A.8.1.2 A.8.1.3
A.8.1.4 A.8.1.4 资产的归还
ISO27001:2013 A.5信息安全方针 A.5.1信息安全管理指引 目标:提供符合有关法律法规和业务需求的信息安全管理指引和支持。 应定义信息安全方针,信息安全方针文件应经 A.5.1.1 信息安全方针 过管理层批准,并向所有员工和相关方发布和 沟通。 信息安全方针的评 应定期或在发生重大的变化时评审方针文件, A.5.1.2 审 确保方针的持续性、稳定性、充分性和有效性 。 A.6信息安全组织 A.6.1内部组织 目标:建立信息安全管理框架,在组织内部启动和控制信息安全实施。 信息安全的角色和 A.6.1.1 应定义和分配所有信息安全职责。 职责 有冲突的职责和责任范围应分离,以减少对组 A.6.1.2 职责分离 织资产未经授权访问、无意修改或误用的机会 。 A.6.1.3 与监管机构的联系 应与相关监管机构保持适当联系。 与特殊利益团体的 与特殊利益团体、其他专业安全协会或行业协 A.6.1.4 联系 会应保持适当联系。 项目管理中的信息 A.6.1.5 实施任何项目时应考虑信息安全相关要求。 安全 A.6.2移动设备和远程办公 目标:应确保远程办公和使用移动设备的安全性。 应采取安全策略和配套的安全措施控制使用移 A.6.2.1 移动设备策略 动设备带来的风险。 应实施安全策略和配套的安全措施以保障远程 A.6.2.2 远程办公 办公时信息的访问、处理和存储的安全。 A.7人力资源安全 A.7.1任用前 目标:确保员工、合同方人员理解他们的职责并适合他们所承担的角色。 根据相关法律、法规、道德规范,对员工、合 A.7.1.1 人员筛选 同人员及承包商人员进行背景调查,调查应符 合业务需求、访问的信息类别及已知风险。 与员工和承包商的合同协议应当规定他们对组 A.7.1.2 任用条款和条件 织的信息安全责任。 A.7.2任用中 目标:确保员工和合同方了解并履行他们的信息安全责任。 管理层应要求员工、合同方符合组织建立的信 A.7.2.1 管理职责 息安全策略和程序。 组织内所有员工、相关合同人员及合同方人员 信息安全意识、教 A.7.2.2 应接受适当的意识培训,并定期更新与他们工 育与培训 作相关的组织策略及程序。 应建立并传达正式的惩戒程序,据此对违反安 A.7.2.3 纪律处理过程 全策略的员工进行惩戒。 A.7.3任用终止和变更 任用终止或变更的 应定义信息安全责任和义务在雇用终止或变更 A.7.3.1 责任 后仍然有效,并向员工和合同方传达并执行。 A.8资产管理 A.8.1资产的责任 目标:确定组织资产,并确定适当的保护责任。 应制定和维护信息资产和信息处理设施相关资 A.8.1.1 资产清单 产的资产清单。 资产清单中的资产应指定资产责任人 A.8.1.2 资产责任人 (OWNER)。 应识别信息和信息处理设施相关资产的合理使 A.8.1.3 资产的合理使用 用准则,形成文件并实施。
ISO27001 2013新版解读精要
PDCA 是旧版标准中强调在体系建设及实施过程使用的过程方法,新版标准中已不见旧版 0.2 中大段对过程 方法 PDCA 模型的描述,取而代之的是正文 10.2 中的一句“持续改进”。但从标准编写的目录结构上看,新 版调整为 Planning-Support-Operation-Performance evaluation-Improvement,架构上其实是更趋 PDCA 了。至于为什么在 Planning 与 Operation 间插一个 Support,而不是把 Support 的内容简单纳入到 Leadership 和 Planning 以保持框架的简洁,个人是不大理解。或许这正是 BSI/ISO 的特色吧。
老李解读
新版中明确组织可选择任何 适用的控制,包括但不限于 附录A的内容。 旧版在风险评估条款里谈这 个,有点多余,该删 难以操作/不适当
信息安全管理体系国际标准新版 BS ISO/IEC 27001:2013 与 BS ISO/IEC 27002:2013 在 2013 年 10 月已正式发布。 相关的几个标准,包括 27003,27004,27005 亦正在修订中。
ISO27001:2013 版(以下简称新版)大幅修改了结构,以适应未来管理体系标准中使用的新的架构,简化与 其他管理体系的整合。标准新版删除了旧版中重复、不适用的内容,结构上更清晰,内容上更精炼,逻辑 上更严谨,并且在管理要求的定义上变得更具弹性,给予组织更灵活的实施空间。值得信息安全从业人员 去学习、实践。
对document的要求在以上标准条款中都有重复,个人觉得比较罗嗦,当然也可理解为BSI/ISO比之前更加重 视对管理文档化的要求。
老李点评:除了正文中的Documentation information的(通用)要求外,附录A的多项控制措施中也提到
ISO27001:2013信息安全管理手册
信息安全管理手册目录1. 概述 (3)1.1 目的 (3)1.2 适用范围 (3)1.3 颁布令 (3)1.4 授权书 (4)2. 依据文件和术语 (5)2.1 依据文件 (5)2.2 术语定义 (5)3. 裁剪说明 (6)4. 组织环境 (7)4.1 组织环境描述 (7)4.2 信息安全相关方的需求和期望 (10)4.3 信息安全管理体系范围的确定 (10)4.4 体系概述 (11)5. 领导力 (13)5.1 领导力和承诺 (13)5.2 信息安全方针和目标 (13)5.3 组织角色、职责和权限 (14)6. 策划 (16)6.1 风险评估和处置............................. 错误!未定义书签。
6.2 目标实现过程 (17)7. 支持 (19)7.1 资源提供 (19)7.2 能力管理 (19)7.3 意识培训 (19)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (20)8. 运行 (23)8.1 体系策划与运行 (23)8.2 风险评估 (23)8.3 风险处置 (23)9. 绩效评价 (25)9.1 监视、测量、分析和评价..................... 错误!未定义书签。
9.2 内部审核 (26)9.3 管理评审 (27)10. 改进........................................ 2910.1 不符合和纠正措施 2710.2 持续改进 (27)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (34)A.8资产管理 (34)A.9访问控制 (34)A.10密码控制 (35)A.11物理和环境安全 (35)A.12操作安全 (35)A.13通信安全 (36)A.14系统获取、开发和维护 (36)A.15供应商关系 (37)A.16信息安全事故 (37)A.17业务连续性管理的信息安全方面 (37)A.18符合性 (37)附件一:信息安全组织架构映射表 (39)附件二:信息安全职责分配表 (40)1.概述为提高服务质量,规范管理活动,保障系统安全运行,提升人员安全意识水平,XXXXXX软件有限公司(以下简称“公司”)依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求,结合自身业务系统实际运行安全需求,已建立实施了一套科学有效的信息安全管理体系,并通过体系的有效运行,实现持续改进,达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。
ISO/IEC 27001:2013信息安全管理体系要求-20140706
a) 确保 ISMS 实现预期的效果; b) 防止或减少不良影响;和 c) 实现持续改进。
3
组织应策划: d) 处理这些风险和机遇的行动;和 e) 如何
1) 集成和实施这些行动到 ISMS 过程中;和 2) 评估这些行动的有效性。 6.1.2 信息安全风险评估 组织应定义并应用一个信息安全风险评估过程: a) 建立和维护信息安全风险准则,包括: 1) 风险接受准则; 2) 执行信息安全风险评估准则; b) 确保重复的信息安全风险评估产生一致的、有效的和可比较的结果。 c) 识别信息安全风险: 1) 应用信息安全风险评估过程,识别与 ISMS 范围内信息的保密性、完整性和可
4.3 确定 ISMS 的范围 组织应确定 ISMS 的边界和适用性,以确定其范围。 在确定此范围时,组织应考虑: a) 4.1 提及的外部和内部的问题; b) 4.2 提及的要求;和 c) 接口和执行组织之间活动被执行的依赖关系,以及其他组织的相关活动。 范围应可成为文档化信息。
4.4 ISMS 组织应按照本国际标准的要求建立、实施、保持和持续改进 ISMS。
4 组织背景
4.1 了解组织和它的背景 组织应确定与 ISMS 相关的目的和影响其达到预期效果的能力的内外部问题。 注:确定这些问题参考 ISO 31000 第 5.3 建立组织的外部和内部环境被考虑。
4.2 理解相关方的需求和期望 组织应确定: a) ISMS 的相关方;和 b) 这些相关方有关信息安全的要求。 注:有关各方的要求可能包括法律、监管规定和合同义务。
5 领导力
2
5.1 领导力和承诺 最高管理者应展示关于 ISMS 的领导力和承诺: a) 确保信息安全方针和信息安全目标被建立,并与组织战略方向兼容; b) 确保信息安全管理体系的要求集成到组织的过程中; c) 确保信息安全管理体系所需要的资源是可用的; d) 传达有效的信息安全管理和符合信息安全管理体系要求的重要性; e) 确保信息安全管理体系达到其预期的效果; f) 指导和支持员工,有助于信息安全管理体系的效率; g) 推进持续改进;和 h) 支持其他相关管理角色展示他们的领导力,同样适用于他们的职责范围。
ISO_IEC_27001-2013信息安全管理体系要求
Information technology — Security techniques — Information security management systems — RequirementsTechnologies de l’information — Techniques de sécurité — Systèmes de management de la sécurité de l’information — Exigences© ISO/IEC 2013INTERNATIONAL STANDARD ISO/IEC 27001Second edition 2013-10-01Reference number ISO/IEC 27001:2013(E)ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求Information technology- Security techniques-Information security management systems-RequirementsISO/IEC 27001:2013(E)Contents Page Foreword ........................................................................................................................................................................................................................................ͳ0 Introduction ...............................................................................................................................................................................................................͵1 Scope .................................................................................................................................................................................................................................ͷ2 Normative references ......................................................................................................................................................................................ͷ3 Terms and definitions .....................................................................................................................................................................................ͷ4 Context of the organization .......................................................................................................................................................................ͷ4.1 Understanding the organization and its context . (5)4.2 Understanding the needs and expectations of interested parties (5)4.3 Determining the scope of the information security management system (5)4.4 Information security management system (7)5 Leadership (7)5.1 Leadership and commitment (7)5.2 Policy (7)5.3 Organizational roles, responsibilities and authorities (9)6 Planning (9)6.1 Actions to address risks and opportunities (9)6.2 Information security objectives and planning to achieve them (13)7 Support (13)7.1 Resources (13)7.2 Competence (13)7.3 Awareness (13)7.4 Communication (15)7.5 Documented information (15)8 Operation (17)8.1 Operational planning and control (17)8.2 Information security risk assessment (17)8.3 Information security risk treatment (17)9 Performance evaluation (17)9.1 Monitoring, measurement, analysis and evaluation (17)9.2 Internal audit (19)9.3 Management review (19)10 Improvement (21)10.1 Nonconformity and corrective action (21)10.2 Continual improvement (21)Annex A (normative) Reference control objectives and controls (23)Bibliography (49)目次前言 (2)引言 (4)1 范围 (6)2 规范性引用文件 (6)3 术语和定义 (6)4 组织环境 (6)5 领导 (8)6 规划 (10)7 支持 (14)8 运行 (18)9 绩效评价 (18)10 改进 (22)附录 A (规范性附录)参考控制目标和控制措施 (24)参考文献 (50)ISO/IEC 27001:2013(E)ForewordISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2. The main task of the joint technical committee is to prepare International Standards. Draft International Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies casting a vote.Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. ISO/IEC 27001 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.This second edition cancels and replaces the first edition (ISO/IEC 27001:2005), which has been technically revised.1前言ISO(国际标准化组织)和IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织。
ISO27001-2013信息安全管理体系要求中英对照版v1.7
4-10 的排除是不可接受的。
all organizations, regardless of type, size or nature. Excluding any of the
requirements specified in Clauses 4 to 10 is not acceptable when an
本文件
ISO/IEC 27000 apply.
© ISO/IEC 2013 – All rights reserved
3
ISO/IEC 27001:2013(E)
4பைடு நூலகம் 组织环境
4.1 理解组织及其环境 组织应当确定与信息安全管理体系目的 相关联及影响其实现预期结果能力的外 部及内部环境。
注:确定这些问题参考 ISO31000:2009 中 5.3 条款的建立组织外部和内部环境;
系。本标准还包括信息安全风险评估和 an information security management system within the context
处置要求,可裁剪以适用于组织。本国 of the organization. This International Standard also includes 际标准的要求是通用的,适用于所有的 requirements for the assessment and treatment of information security risks
于不标注日期的引用文件,适用于最新 applies. For undated references, the latest edition of the referenced
版本的引用文件。
document (including any amendments) applies.
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录前言 (3)0 引言 (4)0.1 总则 (4)0.2 与其他管理系统标准的兼容性 (4)1. 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织景况 (5)4.1 了解组织及其景况 (5)4.2 了解相关利益方的需求和期望 (5)4.3 确立信息安全管理体系的范围 (6)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织的角色,职责和权限 (7)6. 计划 (7)6.1 应对风险和机遇的行为 (7)6.2 信息安全目标及达成目标的计划 (9)7 支持 (9)7.1 资源 (9)7.2 权限 (9)7.3 意识 (10)7.4 沟通 (10)7.5 记录信息 (10)8 操作 (11)8.1 操作的计划和控制措施 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 性能评价 (12)9.1监测、测量、分析和评价 (12)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A(规范)参考控制目标和控制措施 (15)参考文献 (28)前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。
采用信息安全管理体系是组织的一项战略性决策。
组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。
所有这些影响因素可能随时间发生变化。
信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。
重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。
信息安全管理体系的实施要与组织的需要相符合。
本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。
本标准中表述要求的顺序不反映各要求的重要性或实施顺序。
条款编号仅为方便引用。
ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4])及相关术语和定义,给出了信息安全管理体系的概述和词汇。
0.2 与其他管理体系标准的兼容性本标准应用了ISO/IEC 导则第一部分的ISO补充部分附录SL中定义的高层结构、同一子条款标题、同一文本、通用术语和核心定义,因此保持了与其它采用附录SL的管理体系标准的兼容性。
附录SL定义的通用方法有助于组织选择实施单一管理体系来满足两个或多个管理体系标准要求。
信息技术——安全技术——信息安全管理体系——要求1. 范围本标准规定了在组织环境(context)下建立、实施、运行、保持和持续改进信息安全管理体系的要求。
本标准还包括了根据组织需求而进行的信息安全风险评估和处置的要求。
本标准规定的要求是通用的,适用于各种类型、规模或性质的组织。
组织声称符合本标准时,对于第4章到第10章的要求不能删减。
2 规范性引用文件下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。
凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。
ISO/IEC 27000,信息技术——安全技术——信息安全管理体系——概述和词汇。
3 术语和定义ISO/IEC 27000中界定的术语和定义适用于本文件。
4 组织环境(context)4.1 理解组织及其环境(context)组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部情况(issue)。
注:对这些情况的确定,参见ISO31000:2009[5],5.3中建立外部和内部环境的内容。
4.2 理解相关方的需求和期望组织应确定:a)信息安全管理体系相关方;b)这些相关方的信息安全要求。
注:相关方的要求可包括法律法规要求和合同义务。
4.3 确定信息安全管理体系范围组织应确定信息安全管理体系的边界及其适用性以建立其范围。
在确定范围时,组织应考虑:a) 4.1中提到的外部和内部情况;b) 4.2中提到的要求;c)组织执行活动之间以及与其他组织执行活动之间的接口和依赖关系。
该范围应形成文件化信息并可用。
4.4 信息安全管理体系组织应按照本标准的要求,建立、实施、保持和持续改进信息安全管理体系。
5 领导力5.1 领导力和承诺最高管理者应通过以下方式证明信息安全管理体系的领导力和承诺:a)确保信息安全方针和信息安全目标已建立,并与组织战略方向一致;b)确保将信息安全管理体系要求整合到组织过程中;c)确保信息安全管理体系所需资源可用;d)传达有效的信息安全管理及符合信息安全管理体系要求的重要性;e)确保信息安全管理体系达到预期结果;f)指导并支持相关人员为信息安全管理体系有效性做出贡献;g)促进持续改进;h)支持其他相关管理者角色,在其职责范围内展现领导力。
5.2 方针最高管理者应建立信息安全方针,方针应:a)与组织意图相适宜;b)包括信息安全目标(见6.2)或为信息安全目标的设定提供框架;c)包括对满足适用的信息安全要求的承诺;d)包括持续改进信息安全管理体系的承诺。
信息安全方针应:e)形成文件化信息并可用;f)在组织内得到沟通;g)适当时,对相关方可用。
5.3 组织的角色,职责和权限最高管理者应确保与信息安全相关角色的职责和权限得到分配和沟通。
最高管理者应分配职责和权限,以:a)确保信息安全管理体系符合本标准的要求;b)向最高管理者报告信息安全管理体系绩效。
注:最高管理者也可为组织内报告信息安全管理体系绩效,分配职责和权限。
6. 规划6.1 应对风险和机会的措施6.1.1 总则当规划信息安全管理体系时,组织应考虑4.1中提到的问题和4.2中提到的要求,确定需要应对的风险和机会,以:a)确保信息安全管理体系能实现预期结果;b)预防或减少意外的影响;c)实现持续改进。
组织应规划:d)应对这些风险和机会的措施;e)如何:1)将这些措施整合到信息安全管理体系过程中,并予以实施;2)评价这些措施的有效性。
6.1.2 信息安全风险评估组织应定义并应用信息安全风险评估过程,以:a)建立和维护信息安全风险准则,包括:1)风险接受准则;2)信息安全风险评估实施准则。
b)确保重复的信息安全风险评估可产生一致的、有效的和可比较的结果;c)识别信息安全风险:1)应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;2)识别风险责任人;d)分析信息安全风险:1)评估6.1.2 c) 1)中所识别的风险发生后,可能导致的潜在后果;2)评估6.1.2 c) 1)中所识别的风险实际发生的可能性;3)确定风险级别;e)评价信息安全风险:1)将风险分析结果与6.1.2 a)中建立的风险准则进行比较;2)排列已分析风险的优先顺序,以便于风险处置。
组织应保留信息安全风险评估过程的文件化信息。
6.1.3 信息安全风险处置组织应定义并应用信息安全风险处置过程,以:a)在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;b)确定实施已选的信息安全风险处置选项所必需的全部控制措施;注:组织可根据需要设计控制措施,或从任何来源识别控制措施。
c)将6.1.3 b)确定的控制措施与附录A中的控制措施进行比较,以核实没有遗漏必要的控制措施;注1:附录A包含了控制目标和控制措施的综合列表。
本标准用户可使用附录A,以确保没有忽略必要的控制措施。
注2:控制目标包含于所选择的控制措施内。
附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。
d)制定适用性声明,包含必要的控制措施(见6.1.3 b)和c))及其选择的合理性说明(无论该控制措施是否已实施),以及对附录A控制措施删减的合理性说明;e)制定信息安全风险处置计划;f)获得风险责任人对信息安全风险处置计划的批准,及对信息安全残余风险的接受。
组织应保留信息安全风险处置过程的文件化信息。
注:本标准中的信息安全风险评估和处置过程与ISO 31000[5]中给出的原则和通用指南6.2 信息安全目标和实现规划组织应在相关职能和层次上建立信息安全目标。
信息安全目标应:a)与信息安全方针一致;b)可测量(如可行);c)考虑适用的信息安全要求,以及风险评估和风险处置的结果;d)得到沟通;e)在适当时更新。
组织应保留信息安全目标的文件化信息。
在规划如何实现信息安全目标时,组织应确定:f)要做什么;g)需要什么资源;h)由谁负责;i)什么时候完成;j)如何评价结果。
7 支持7.1 资源组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。
7.2 能力组织应:a)确定从事在组织控制下且会影响组织的信息安全绩效的工作的人员的必要能力;b)确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;c)适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;d)保留适当的文件化信息作为能力的证据。
注:适用的措施可包括,例如针对现有雇员提供培训、指导或重新分配;雇佣或签约有7.3 意识在组织控制下工作的人员应了解:a)信息安全方针;b)其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;c)不符合信息安全管理体系要求带来的影响。
7.4 沟通组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括:a)沟通内容;b)沟通时间;c)沟通对象;d)谁应负责沟通;e)影响沟通的过程。
7.5 文件化信息7.5.1 总则组织的信息安全管理体系应包括:a)本标准要求的文件化信息;b)组织为有效实施信息安全管理体系所确定的必要的文件化信息。
注:不同组织的信息安全管理体系文件化信息的详略程度取决于:1) 组织的规模及其活动、过程、产品和服务的类型;2) 过程的复杂性及其相互作用;3) 人员的能力。
7.5.2 创建和更新创建和更新文件化信息时,组织应确保适当的:a)标识和描述(例如标题、日期、作者或编号);b)格式(例如语言、软件版本、图表)和介质(例如纸质、电子介质);c)对适宜性和充分性的评审和批准。
7.5.3 文件化信息的控制信息安全管理体系及本标准所要求的文件化信息应予以控制,以确保:a)在需要的地点和时间,是可用和适宜的;b)得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。
为控制文件化信息,适用时,组织应开展以下活动:c)分发,访问,检索和使用;d)存储和保护,包括保持可读性;e)控制变更(例如版本控制);f)保留和处置。