目 录 前 言 (3 0 引 言 (4 0
1 总 则 (4 0
2 与其他管理系统标准的兼容性 (4 1
范围 (5 2 规范性引 用文件 (5 3 术语和定义 (5 4 组织景况 (5 4
1 了解组织及其景况 (5 4
2 了解相关利益方的需求和期望 (5 4
3 确立信息安全管理体系的范围 (6 4
4 信息安全管理体系 (6 5 领导 (6 5
1 领导和承诺 (6 5
2 方针 (6 5
3 组织的角色,职责和权限 (7 6
计划 (7 6
1 应对风险和机遇的行为 (7 6
2 信 息 安 全 目 标 及 达 成 目 标 的 计 划 (9 7 支 持 (9 7
1 资 源 (9 7
2 权 限 (9 7
3 意 识 (10 7
4 沟 通 (10 7
5 记 录 信 息 (10 8 操 作 (11 8
1 操 作 的 计 划 和 控 制 措 施 (11 8
2 信 息 安 全 风 险 评 估 (11 8
3 信 息 安 全 风 险 处 置 (11 9 性 能 评 价 (12 9
1 监 测 、测 量、分析和 评 价 (12 9
2 内部审核 (12 9
3 管理评 审 (12 10 改进 (13 10
1 不符合和 纠正措 施 (13 10
2 持 续改进 (14 附录 A (规范参考控 制 目 标 和 控 制 措 施 (15 参 考 文 献 (28 前 言 0 引 言 0
1 总 则 本 标 准 提 供 建 立 、实施、保持和持续改进信息安全管理体系的要求
采用信息安全管理体系是组织的一项战略性决策
组织信息安全管理体系的建 立 和实施受组织的需要和目标 、安全要求、所采用的过程、规模和结构的影响
所有这些影响因素可能随时间发生变化
信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建 立 风险得
