1 ISO/IEC 27001:2005(E) ISO 标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference nu mber ISO/IEC 27001:2005(E) © ISO/IEC 2005 – All rights reserved 2 ISO/IEC 27001:2005(E) 0 简介 0.1 总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用 ISMS 应是一个组织的战略决定。组织 ISMS 的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充 ISMS 的实施,如,简单的环境是用简单的 ISMS 解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2 过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的 ISMS 的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a) 了解组织信息安全需求和建立信息安全策略和目标的需求; b) 在组织的整体业务风险框架下,通过实施及运作控制措施管理组织的信息安全风险; c) 监控和评审 ISMS 的执行和有效性; d) 基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部 ISMS 流程。图 1显示 ISMS 如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图 1 阐明与条款4、5、6、7、8 相关。 采用 PDCA 模型将影响 OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introdu ction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced ...
