ISO27001-2013标准 下载本文

【MeiWei_81-优质适用文档】

Informationtechnology-Securitytechniques

-Informationsecuritymanagementsystems-Requirements

信息技术-安全技术-信息安全管理体系-要求

Foreword 前言

ISO(theInternationalOrganizationforStandardization)andIEC(theInternationalElectrotechnicalCommission)formthespecializedsystemforworldwidestandardization.NationalbodiesthataremembersofISOorIECparticipateinthedevelopmentofInternationalStandardsthroughtechnicalcommitteesestablishedbytherespectiveorganizationtodealwithparticularfieldsoftechnicalactivity.ISOandIECtechnicalcommitteescollaborateinfieldsofmutualinterest.Otherinternationalorganizations,governmentalandnon-governmental,inliaisonwithISOandIEC,alsotakepartinthework.Inthefieldofinformationtechnology,ISOandIEChaveestablishedajointtechnicalcommittee,ISO/IECJTC1.

ISO(国际标准化组织)和IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织。国家机构是ISO或IEC的成员,他们通过各自的组织建立技术委员会参与国际标准的制定,来处理特定领域的技术活动。ISO和IEC技术委员会在共同感兴趣的领域合作。其他国际组织、政府和非政府等机构,通过联络ISO和IEC参与这项工作。ISO和IEC已经在信息技术领域建立了一个联合技术委员会ISO/IECJTC1。 InternationalStandardsaredraftedinaccordancewiththerulesgivenintheISO/IEC Directives,Part2.

国际标准的制定遵循ISO/IEC导则第2部分的规则。

ThemaintaskofthejointtechnicalcommitteeistoprepareInternationalStandards.DraftInternationalStandardsadoptedbythejointtechnicalcommitteearecirculatedtonationalbodiesforvoting.PublicationasanInternationalStandardrequiresapprovalbyatleast75%ofthenationalbodiescastingavote.

联合技术委员会的主要任务是起草国际标准,并将国际标准草案提交给国家机构投票表决。国际标准的出版发行必须至少75%以上的成员投票通过。

Attentionisdrawntothepossibilitythatsomeoftheelementsofthisdocumentmaybethesubjectofpatentrights.ISOandIECshallnotbeheldresponsibleforidentifyinganyorallsuchpatentrights.

本文件中的某些内容有可能涉及一些专利权问题,这一点应该引起注意。ISO和IEC不负责识别任何这样的专利权问题。

ISO/IEC27001waspreparedbyJointTechnicalCommitteeISO/IECJTC1,Informationtechnology,SubcommitteeSC27,ITSecuritytechniques.

【MeiWei_81-优质适用文档】

【MeiWei_81-优质适用文档】

ISO/IEC27001由联合技术委员会ISO/IECJTC1(信息技术)分委员会SC27(安全技术)起草。

Thissecondeditioncancelsandreplacesthefirstedition(ISO/IEC27001:20KK),whichhasbeentechnicallyrevised.

第二版进行了技术上的修订,并取消和替代第一版(ISO/IEC27001:20KK)。 0Introduction 引言

0.1General 0.1总则

ThisInternationalStandardhasbeenpreparedtoproviderequirementsforestablishing,implementing,maintainingandcontinuallyimprovinganinformationsecuritymanagementsystem.Theadoptionofaninformationsecuritymanagementsystemisastrategicdecisionforanorganization.Theestablishmentandimplementationofanorganization’sinformationsecuritymanagementsystemisinfluencedbytheorganization’sneedsandobjectives,securityrequirements,theorganizationalprocessesusedandthesizeandstructureoftheorganization.Alloftheseinfluencingfactorsareexpectedtochangeovertime.

本标准用于为建立、实施、保持和持续改进信息安全管理体系提供要求。采用信息安全管理体系是组织的一项战略性决策。一个组织信息安全管理体系的建立和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响。所有这些影响因素会不断发生变化。

Theinformationsecuritymanagementsystempreservestheconfidentiality,integrityandavailabilityofinformationbyapplyingariskmanagementprocessandgivesconfidencetointerestedpartiesthatrisksareadequatelymanaged.

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,以充分管理风险并给予相关方信心。

Itisimportantthattheinformationsecuritymanagementsystemispartofandintegratedwiththeorganization’sprocessesandoverallmanagementstructureandthatinformationsecurityisconsideredinthedesignofprocesses,informationsystems,andcontrols.Itisexpectedthataninformationsecuritymanagementsystemimplementationwillbescaledinaccordancewiththeneedsoftheorganization.

信息安全管理体系是组织过程和整体管理结构的一部分并与其整合在一起是非常重要的。信息安全在设计过程、信息系统、控制措施时就要考虑信息安全。按照组织的需要实施信息安全管理体系,是本标准所期望的。

ThisInternationalStandardcanbeusedbyinternalandexternalpartiestoassesstheorganization’sabilitytomeettheorganization’sowninformationsecurityrequirements.

本标准可被内部和外部相关方使用,评估组织的能力是否满足组织自身信息安全要求。 TheorderinwhichrequirementsarepresentedinthisInternationalStandarddoesnotreflecttheirimportanceorimplytheorderinwhichtheyaretobeimplemented.Thelistitemsareenumeratedforreferencepurposeonly.

本标准中要求的顺序并不能反映他们的重要性或意味着他们的实施顺序。列举的条目仅用于参考目的。

ISO/IEC27000describestheoverviewandthevocabularyofinformationsecuritymanagementsystems,referencingtheinformationsecuritymanagementsystemfamilyofstandards(includingISO/IEC27003[2],ISO/IEC27004[3]andISO/IEC27005[4]),withrelatedtermsanddefinitions.

【MeiWei_81-优质适用文档】

【MeiWei_81-优质适用文档】

ISO/IEC27000描述了信息安全管理体系的概述和词汇,参考了信息安全管理体系标准族(包括ISO/IEC27003、ISO/IEC27004和ISO/IEC27005)以及相关的术语和定义。 0.2Compatibilitywithothermanagementsystemstandards 0.2与其他管理体系的兼容性

ThisInternationalStandardappliesthehigh-levelstructure,identicalsub-clausetitles,identicaltext,commonterms,andcoredefinitionsdefinedinAnnexSLofISO/IECDirectives,Part1,ConsolidatedISOSupplement,andthereforemaintainscompatibilitywithothermanagementsystemstandardsthathaveadoptedtheAnnexSL.

本标准应用了ISO/IEC导则第一部分ISO补充部分附录SL中定义的高层结构、相同的子章节标题、相同文本、通用术语和核心定义。因此保持了与其它采用附录SL的管理体系标准的兼容性。

ThiscommonapproachdefinedintheAnnexSLwillbeusefulforthoseorganizationsthatchoosetooperateasinglemanagementsystemthatmeetstherequirementsoftwoormoremanagementsystemstandards.

附录SL定义的通用方法对那些选择运作单一管理体系(可同时满足两个或多个管理体系标准要求)的组织来说是十分有益的。

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystems—Requirements 信息技术-安全技术-信息安全管理体系-要求 1Scope 1范围

ThisInternationalStandardspecifiestherequirementsforestablishing,implementing,maintainingandcontinuallyimprovinganinformationsecuritymanagementsystemwithinthecontextoftheorganization.

本标准从组织环境的角度,为建立、实施、运行、保持和持续改进信息安全管理体系规定了要求。

ThisInternationalStandardalsoincludesrequirementsfortheassessmentandtreatmentofinformationsecurityriskstailoredtotheneedsoftheorganization.TherequirementssetoutinthisInternationalStandardaregenericandareintendedtobeapplicabletoallorganizations,regardlessoftype,sizeornature.ExcludinganyoftherequirementsspecifiedinClauses4to10isnotacceptablewhenanorganizationclaimsconformitytothisInternationalStandard. 本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求。本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。组织声称符合本标准时,对于第4章到第10章的要求不能删减。 2Normativereferences 2规范性引用文件

Thefollowingdocuments,inwholeorinpart,arenormativelyreferencedinthisdocumentandareindispensableforitsapplication.Fordatedreferences,onlytheeditioncitedapplies.Forundatedreferences,thelatesteditionofthereferenceddocument(includinganyamendments)applies.

【MeiWei_81-优质适用文档】

【MeiWei_81-优质适用文档】

下列文件的全部或部分内容在本文件中进行了规范引用,对于其应用是必不可少的。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。

ISO/IEC27000,Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystems—Overviewandvocabulary ISO/IEC27000,信息技术—安全技术—信息安全管理体系—概述和词汇 3Termsanddefinitions 3术语和定义

Forthepurposesofthisdocument,thetermsanddefinitionsgiveninISO/IEC27000apply. ISO/IEC27000中的术语和定义适用于本标准。

4Contextoftheorganization 4组织环境

4.1Understandingtheorganizationanditscontext 4.1理解组织及其环境

Theorganizationshalldetermineexternalandinternalissuesthatarerelevanttoitspurposeandthataffectitsabilitytoachievetheintendedoutcome(s)ofitsinformationsecuritymanagementsystem.

组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。

NOTEDeterminingtheseissuesreferstoestablishingtheexternalandinternalcontextoftheorganizationconsideredinClause5.3ofISO31000:20KK[5].

注:确定这些问题涉及到建立组织的外部和内部环境,在ISO31000:20KK[5]的5.3节考虑了这一事项。

4.2Understandingtheneedsandexpectationsofinterestedparties 4.2理解相关方的需求和期望 Theorganizationshalldetermine: 组织应确定:

a)interestedpartiesthatarerelevanttotheinformationsecuritymanagementsystem;and b)therequirementsoftheseinterestedpartiesrelevanttoinformationsecurity. a)与信息安全管理体系有关的相关方; b)这些相关方与信息安全有关的要求

NOTETherequirementsofinterestedpartiesmayincludelegalandregulatoryrequirementsandcontractualobligations.

注:相关方的要求可能包括法律法规要求和合同义务。

4.3Determiningthescopeoftheinformationsecuritymanagementsystem 4.3确定信息安全管理体系的范围

Theorganizationshalldeterminetheboundariesandapplicabilityoftheinformationsecuritymanagementsystemtoestablishitsscope.

组织应确定信息安全管理体系的边界和适用性,以建立其范围。 Whendeterminingthisscope,theorganizationshallconsider: 当确定该范围时,组织应考虑:

a)theexternalandinternalissuesreferredtoin4.1; b)therequirementsreferredtoin4.2;and

【MeiWei_81-优质适用文档】