目 录 前 言 (3 0 引 言 (4 0 .1 总 则 (4 0 .2 与其他管理系统标准的兼容性 (4 1 . 范围 (5 2 规范性引 用文件 (5 3 术语和定义 (5 4 组织景况 (5 4 .1 了解组织及其景况 (5 4 .2 了解相关利益方的需求和期望 (5 4 .3 确立信息安全管理体系的范围 (6 4 .4 信息安全管理体系 (6 5 领导 (6 5 .1 领导和承诺 (6 5 .2 方针 (6 5 .3 组织的角色,职责和权限 (7 6 . 计划 (7 6 .1 应对风险和机遇的行为 (7 6.2 信 息 安 全 目 标 及 达 成 目 标 的 计 划 (9 7 支 持 (9 7.1 资 源 (9 7.2 权 限 (9 7.3 意 识 (10 7.4 沟 通 (10 7.5 记 录 信 息 (10 8 操 作 (11 8.1 操 作 的 计 划 和 控 制 措 施 (11 8.2 信 息 安 全 风 险 评 估 (11 8.3 信 息 安 全 风 险 处 置 (11 9 性 能 评 价 (12 9.1 监 测 、测 量、分析和 评 价 (12 9.2 内部审核 (12 9.3 管理评 审 (12 10 改进 (13 10.1 不符合和 纠正措 施 (13 10.2 持 续改进 (14 附录 A (规范参考控 制 目 标 和 控 制 措 施 (15 参 考 文 献 (28 前 言 0 引 言 0.1 总 则 本 标 准 提 供 建 立 、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建 立 和实施受组织的需要和目标 、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建 立 风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考 虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本 标 准 可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本 标 准 中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引 用。 ISO/IEC 27000 参 考 信息安全管理体系标 准 族(包括 ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标 准 的兼容性 本 标 准 应 用 ...
