ISO/IEC 27001:2005_信息安全管理体系要求
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
作者
刘青 李鹏飞
日期
2005.11 2005.11
变更内容
初始版本翻译 校对,添加附录
备注
ISO27001:2005 Chs
2005-11-30
第i页
ISO27001:2005
信息安全管理体系要求
文件说明
本文档初始版本为刘青(高级咨询顾问、BS7799LA)翻译,在此特别感谢刘青。本
人学习之后对其中的点滴做了校正,以方便同行更好的学习。因本人水平有限,其
0.1 总则........................................................................................................................................1 0.2 过程方法 ................................................................................................................................1 0.3 与其他管理体系的兼容性 ....................................................................................................3
4.2.1 建立ISMS .......................................................................................................................8 4.2.2 实施和运作ISMS .........................................................................................................10 4.2.3 监视和评审ISMS .........................................................................................................10 4.2.4 保持和改进ISMS .........................................................................................................11 4.3 文件要求 ..............................................................................................................................12 4.3.1 总则...............................................................................................................................12 4.3.2 文件控制.......................................................................................................................13 4.3.3 记录控制.......................................................................................................................13
中难免有不妥之处,如果有疑问可以联系刘青和我。
刘青联系方式:
邮箱:liuq@ MSN:liuq1217@ 电话:010-65541200-163 传真:010-65542918 手机:138 1116 0364
我的联系方式:
邮箱:lipengfei@ MSN:pengfeilee@ 电话:010-82326383-8046 传真:010-82328039 手机:137 1763 0843
2 引用标准.......................................................................................................................................4
3 术语和定义...................................................................................................................................5
1 范围 ..............................................................................................................................................4
1.1 总则........................................................................................................................................4 1.2 应用........................................................................................................................................4
ISO27001:2005 Chs
2005-11-30
第 iii 页
ISO27001:2005
信息安全管理体系要求
目录
0 简介 ..............................................................................................................................................1
Information technology-Security techniques-Information security management systems-Requirements
信息技术 安全技术 信息安全管理体系要求
ISO27001:2005
版本历史
信息安全管理体系要求
版本
1.0 1.1
4 信息安全管理体系.......................................................................................................................8
4.1 总要求....................................................................................................................................8 4.2 建立并管理ISMS...................................................................................................................8
国际标准的起草符合ISO/IEC 导则第2 部分的原则。 联合技术委员会的主要任务是起草国际标准。联合技术委员会采纳的国际标 准草案分发给国家机构投票表决。作为国际标准公开发表,需要至少75%的国家 机构投赞成票。 本标准中的某些内容有可能涉及一些专利权问题,对此应引起注意,ISO 不 负责标识任何这样的专利权问题。 国际标准ISO/IEC 27001 是由联合技术委员会ISO/IEC JTC1(信息技术)的 SC27 分会(安全技术)起草的。
3.1 资产........................................................................................................................................5 3.2 可用性....................................................................................................................................5 3.3 保密性....................................................................................................................................5 3.4 信息安全 ................................................................................................................................5 3.5 信息安全事件(EVENT) .....................................................................................................5 3.6 信息安全事故(INCIDENT).................................................................................................6 3.7 信息安全管理体系(ISMS)...............................................................................................6 3.8 完整性....................................................................................................................................6 3.9 残余风险 ................................................................................................................................6 3.10 风险接受 ..............................................................................................................................6 3.11 风险分析 ..............................................................................................................................6 3.12 风险评估 ..............................................................................................................................7 3.13 风险评价 ..............................................................................................................................7 3.14 风险管理 ..............................................................................................................................7 3.15 风险处置 ..............................................................................................................................7 3.16 适用性声明 ..........................................................................................................................7
再次感谢刘青所做的工作。
李鹏飞 2005 年 11 月
ISO27001ii 页
ISO27001:2005
前言
信息安全管理体系要求
ISO(国际标准化组织)和IEC(国际电工委员会)形成了全世界标准化的专门 体系。作为ISO 或IEC 成员的国家机构,通过相应组织所建立的涉及技术活动特 定领域的委员会参加国际标准的制定。ISO 和IEC 技术委员会在共同关心的领域 里合作,其它与ISO 和IEC 有联系的政府和非政府的国际组织也参加了该项工 作。在信息安全领域,ISO 和IEC 已经建立了一个联合技术委员会-ISO/IEC JTC 1。