目录 前言 (3 0 引言 (4 0.1 总则 (4
0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5
2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5
4.1 了解组织及其景况 (5
4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6
5.3 组织的角色,职责和权限 (7 6. 计划 (7
6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11
8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12
9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13
10.1 不符合和纠正措施 (13 10.2 持续改进 (14
附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则
本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。
信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。
重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。
本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。
本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。
ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。
0.2 与其他管理体系标准的兼容性