ISO27001标准.docx

ISO27001标准.docx

《ISO27001标准.docx》由会员分享，可在线阅读，更多相关《ISO27001标准.docx（51页珍藏版）》请在冰豆网上搜索。

ISO27001标准

ISO27001-2013标准

Informationtechnology-Securitytechniques

-Informationsecuritymanagementsystems-Requirements

信息技术-安全技术-信息安全管理体系-要求

Foreword

前言

ISO（theInternationalOrganizationforStandardization）andIEC（theInternationalElectrotechnicalCommission）formthespecializedsystemforworldwidestandardization.NationalbodiesthataremembersofISOorIECparticipateinthedevelopmentofInternationalStandardsthroughtechnicalcommitteesestablishedbytherespectiveorganizationtodealwithparticularfieldsoftechnicalactivity.ISOandIECtechnicalcommitteescollaborateinfieldsofmutualinterest.Otherinternationalorganizations,governmentalandnon-governmental,inliaisonwithISOandIEC,alsotakepartinthework.Inthefieldofinformationtechnology,ISOandIEChaveestablishedajointtechnicalcommittee,ISO/IECJTC1.

ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

国家机构是ISO或IEC的成员，他们通过各自的组织建立技术委员会参与国际标准的制定，来处理特定领域的技术活动。

ISO和IEC技术委员会在共同感兴趣的领域合作。

其他国际组织、政府和非政府等机构，通过联络ISO和IEC参与这项工作。

ISO和IEC已经在信息技术领域建立了一个联合技术委员会ISO/IECJTC1。

InternationalStandardsaredraftedinaccordancewiththerulesgivenintheISO/IEC

Directives,Part2.

国际标准的制定遵循ISO/IEC导则第2部分的规则。

ThemaintaskofthejointtechnicalcommitteeistoprepareInternationalStandards.DraftInternationalStandardsadoptedbythejointtechnicalcommitteearecirculatedtonationalbodiesforvoting.PublicationasanInternationalStandardrequiresapprovalbyatleast75%ofthenationalbodiescastingavote.

联合技术委员会的主要任务是起草国际标准，并将国际标准草案提交给国家机构投票表决。

国际标准的出版发行必须至少75%以上的成员投票通过。

Attentionisdrawntothepossibilitythatsomeoftheelementsofthisdocumentmaybethesubjectofpatentrights.ISOandIECshallnotbeheldresponsibleforidentifyinganyorallsuchpatentrights.

本文件中的某些内容有可能涉及一些专利权问题，这一点应该引起注意。

ISO和IEC不负责识别任何这样的专利权问题。

ISO/IEC27001waspreparedbyJointTechnicalCommitteeISO/IECJTC1,Informationtechnology,SubcommitteeSC27,ITSecuritytechniques.

ISO/IEC27001由联合技术委员会ISO/IECJTC1（信息技术）分委员会SC27（安全技术）起草。

Thissecondeditioncancelsandreplacesthefirstedition（ISO/IEC27001:

2005）,whichhasbeentechnicallyrevised.

第二版进行了技术上的修订，并取消和替代第一版（ISO/IEC27001:

2005）。

Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Requirements

信息技术-安全技术-信息安全管理体系-要求

1Scope

1范围

ThisInternationalStandardspecifiestherequirementsforestablishing,implementing,maintainingandcontinuallyimprovinganinformationsecuritymanagementsystemwithinthecontextoftheorganization.

本标准从组织环境的角度，为建立、实施、运行、保持和持续改进信息安全管理体系规定了要求。

ThisInternationalStandardalsoincludesrequirementsfortheassessmentandtreatmentofinformationsecurityriskstailoredtotheneedsoftheorganization.TherequirementssetoutinthisInternationalStandardaregenericandareintendedtobeapplicabletoallorganizations,regardlessoftype,sizeornature.ExcludinganyoftherequirementsspecifiedinClauses4to10isnotacceptablewhenanorganizationclaimsconformitytothisInternationalStandard.

本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求。

本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。

组织声称符合本标准时，对于第4章到第10章的要求不能删减。

2Normativereferences

2规范性引用文件

Thefollowingdocuments,inwholeorinpart,arenormativelyreferencedinthisdocumentandareindispensableforitsapplication.Fordatedreferences,onlytheeditioncitedapplies.Forundatedreferences,thelatesteditionofthereferenceddocument（includinganyamendments）applies.

下列文件的全部或部分内容在本文件中进行了规范引用，对于其应用是必不可少的。

凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。

ISO/IEC27000,Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary

ISO/IEC27000，信息技术—安全技术—信息安全管理体系—概述和词汇

3Termsanddefinitions

3术语和定义

Forthepurposesofthisdocument,thetermsanddefinitionsgiveninISO/IEC27000apply.

ISO/IEC27000中的术语和定义适用于本标准。

4Contextoftheorganization

4组织环境

4.1Understandingtheorganizationanditscontext

4.1理解组织及其环境

Theorganizationshalldetermineexternalandinternalissuesthatarerelevanttoitspurposeandthataffectitsabilitytoachievetheintendedoutcome（s）ofitsinformationsecuritymanagementsystem.

组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。

NOTEDeterminingtheseissuesreferstoestablishingtheexternalandinternalcontextoftheorganizationconsideredinClause5.3ofISO31000:

2009[5].

注：

确定这些问题涉及到建立组织的外部和内部环境，在ISO31000:

2009[5]的5.3节考虑了这一事项。

4.2Understandingtheneedsandexpectationsofinterestedparties

4.2理解相关方的需求和期望

Theorganizationshalldetermine:

组织应确定：

a）interestedpartiesthatarerelevanttotheinformationsecuritymanagementsystem;and

b）therequirementsoftheseinterestedpartiesrelevanttoinformationsecurity.

a）与信息安全管理体系有关的相关方；

b）这些相关方与信息安全有关的要求

NOTETherequirementsofinterestedpartiesmayincludelegalandregulatoryrequirementsandcontractualobligations.

注：

相关方的