ISO新27001信息安全管理体系要求

信息安全管理体系要求

1. 前言 (2)

2. 引言 (3)

2.1. 总则 (3)

2.2. 过程方法 (3)

2.3. 与其它管理体系的兼容性 (4)

3. 范围 (6)

3.1. 总则 (6)

3.2. 应用 (6)

4. 规范性引用文件 (7)

5. 术语和定义 (8)

6. 信息安全管理体系 (10)

6.1. 总要求 (10)

6.2. 建立和管理ISMS (10)

6.2.1. 建立ISMS (10)

6.2.2. 实施和运行ISMS (12)

6.2.3. 监视和评审ISMS (12)

6.2.4. 保持和改进ISMS (13)

6.3. 文件要求 (14)

6.3.1. 总则 (14)

6.3.2. 文件控制 (15)

6.3.3. 记录控制 (15)

7. 管理职责 (16)

7.1. 管理承诺 (16)

7.2. 资源管理 (16)

7.2.1. 资源提供 (16)

7.2.2. 培训、意识和能力 (17)

8. 内部ISMS审核 (18)

9. ISMS的管理评审 (19)

9.1. 总则 (19)

9.2. 评审输入 (19)

9.3. 评审输出 (19)

10. ISMS改进 (21)

10.1. 持续改进 (21)

10.2. 纠正措施 (21)

10.3. 预防措施 (21)

11. 附录A （规范性附录）控制目标和控制措施 (22)

12. 附录B （资料性附录）OECD原则和本标准 (38)

13. 附录C （资料性附录）ISO 9001:2000，ISO 14001:2004和本标准之间的对照.40

1.前言

ISO（国际标准化组织）和IEC（国际电子技术委员会）形成了全世界标准化的专门体系。作为ISO或IEC成员的国家机构，通过相应组织所建立的涉及技术活动特定领域的委员会参与国际标准的制定。ISO和IEC技术委员会在共同关心的领域里进行合作。其它与ISO和IEC有联系的政府和非政府的国际组织也参与到此项工作中。在信息技术领域，ISO 和IEC已经建立了一个联合技术委员会－ISO/IEC JTC 1。

国际标准的起草符合ISO/IEC导则第2部分中的原则。

联合技术委员会的主要任务是起草国际标准。联合技术委员会采纳的国际标准草案会分发给各国家机构进行投票表决。作为国际标准公开发布，需要至少75%的国家机构投票通过。

本标准中的某些内容可能会涉及到专利权问题，对此应引起注意。ISO和IEC不负责标识任何这样的专利权问题。

ISO/IEC 27001是由联合技术委员会ISO/IEC JTC 1，信息技术，SC 27分会，IT安全技术起草的。

注：本文件的第3章对应国际标准文件的第1章，以此类推；在本文件中出现的引用章节号将对应国际标准文件中的章节号。

2.引言

2.1. 总则

本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS，是本标准所期望的，例如，简单的情况可采用简单的ISMS解决方案。

本标准可被内部和外部相关方用于一致性评估。

2.2. 过程方法

本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。

一个组织必须识别和管理众多活动使之有效运作。通过使用资源和管理，将输入转化为输出的任意活动，可以视为一个过程。通常，一个过程的输出可直接构成下一过程的输入。

一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。

本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性：

a)理解组织的信息安全要求和建立信息安全方针与目标的需要；

b)从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险；

c)监视和评审ISMS的执行情况和有效性；

d)基于客观测量的持续改进。

本标准采用了“规划（Plan）－实施（Do）－检查（Check）－处置（Act）”（PDCA）模型，该模型可应用于所有的ISMS过程。图1说明了ISMS如何把相关方的信息安全要求和期望作为输入，并通过必要的行动和过程，产生满足这些要求和期望的信息安全结果。图1也描述了4、5、6、7和8章所提出的过程间的联系。

采用PDCA模型还反映了治理信息系统和网络安全的OECD指南（2002版）（OECD 信

息系统和网络安全指南—面向安全文化。巴黎：OECD ，2002年7月。 ）中所设置的原则。本标准为实施OECD 指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。

例1：某些信息安全缺陷不至于给组织造成严重的财务损失和/或使组织陷入困境，这可能是一种要求。

例2：如果发生了严重的事故——可能是组织的电子商务网站被黑客入侵——应有经充分培训的员工按照适当的程序，将事件的影响降至最小。这可能是一种期望。

图1 应用于ISMS 过程的PDCA 模型 规划（建立ISMS ） 建立与管理风险和改进信息安全有关的ISMS 方针、目标、过

程和程序，以提供与组织整体方针和目标相一致的结果。

实施（实施和运行ISMS ）

实施和运行ISMS 方针、控制措施、过程和程序。 检查（监视和评审ISMS ） 对照ISMS 方针、目标和实践经验，评估并在适当时

，测量过

程的执行情况，并将结果报告管理者以供评审。

处置（保持和改进ISMS ） 基于ISMS 内部审核和管理评审的结果或者其他相关信息，采

取纠正和预防措施，以持续改进ISMS 。

2.3. 与其它管理体系的兼容性

本标准与ISO 9001:2000及ISO 14001:2004相结合，以支持与相关管理标准一致的、整