27001安全标准

信息技术安全技术信息安全管理体系要求Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements（IDTISO/IEC27001:2005）（草案，2005年11月29日）PDF文件使用pdfFactory试用版本创建信息安全管理体系（ISMS）............................................................35管理职责.............................................................................66内部ISMS审核.......................................................................77ISMS的管理评审......................................................................78ISMS改进............................................................................8附录A（规范性附录）控制目标和控制措施...........................................9附录B（资料性附录）OECD原则和本标准..........................................20附录C（资料性附录）ISO9001:2000,ISO14001:2004和本标准之间的对照...............21PDF文件使用pdfFactory试用版本创建总则本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（InformationSecurityManagementSystem，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS，是本标准所期望的，例如，简单的情况可采用简单的ISMS解决方案。本标准可被内部和外部相关方用于一致性评估。0.2过程方法本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。一个组织必须识别和管理众多活动使之有效运作。通过使用资源和管理，将输入转化为输出的任意活动，可以视为一个过程。通常，一个过程的输出可直接构成下一过程的输入。一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性：a)理解组织的信息安全要求和建立信息安全方针与目标的需要；b)从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险；c)监视和评审ISMS的执行情况和有效性；d)基于客观测量的持续改进。本标准采用了“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”（PDCA）模型，该模型可应用于所有的ISMS过程。图1说明了ISMS如何把相关方的信息安全要求和期望作为输入，并通过必要的行动和过程，产生满足这些要求和期望的信息安全结果。图1也描述了4、5、6、7和8章所提出的过程间的联系。采用PDCA模型还反映了治理信息系统和网络安全的OECD指南（2002版）1中所设置的原则。本标准为实施OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。例1：某些信息安全缺陷不至于给组织造成严重的财务损失和/或使组织陷入困境，这可能是一种要求。例2：如果发生了严重的事故——可能是组织的电子商务网站被黑客入侵——应有经充分培训的员工按照适当的程序，将事件的影响降至最小。这可能是一种期望。1OECD信息系统和网络安全指南——面向安全文化。巴黎：OECD，2002年7月。规划（建立ISMS）建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。实施（实施和运行ISMS）实施和运行ISMS方针、控制措施、过程和程序。检查（监视和评审ISMS）对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。处置（保持和改进ISMS）基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。0.3与其它管理体系的兼容性本标准与GB/T19001-2000及GB/T24001-1996相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T19001-2000（ISO9001:2000）和GB/T24001-1996（ISO14001:2004）的各条款之间的关系。本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act图1应用于ISMS过程的PDCA模型PDF文件使用pdfFactory试用版本创建信息技术安全技术信息安全管理体系要求重点：本出版物不声称包括一个合同所有必要的规定。用户负责对其进行正确的应用。符合标准本身并不获得法律义务的豁免。1范围1.1总则本标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。注1：本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。注2：ISO/IEC17799提供了设计控制措施时可使用的实施指南。1.2应用本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于4、5、6、7和8章的要求不能删减。为了满足风险接受准则所必须进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任，否则不能声称符合本标准。注：如果一个组织已经有一个运转着的业务过程管理体系（例如，与ISO9001或者ISO14001相关的），那么在大多数情况下，更可取的是在这个现有的管理体系内满足本标准的要求。2规范性引用文件下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。ISO/IEC17799:2005，信息技术—安全技术—信息安全管理实用规则。3术语和定义本标准采用以下术语和定义。3.1资产asset任何对组织有价值的东西[ISO/IEC13335-1:2004]。3.2可用性availability根据授权实体的要求可访问和利用的特性[ISO/IEC13335-1:2004]。3.3保密性confidentiality信息不能被未授权的个人，实体或者过程利用或知悉的特性[ISO/IEC13335-1:2004]。PDF文件使用pdfFactory试用版本创建保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性[ISO/IEC17799：2005]。3.5信息安全事件informationsecurityevent信息安全事件是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态[ISO/IECTR18044：2004]。3.6信息安全事故informationsecurityincident一个信息安全事故由单个的或一系列的有害或意外信息安全事件组成，它们具有损害业务运作和威胁信息安全的极大的可能性[ISO/IECTR18044：2004]。3.7信息安全管理体系（ISMS）informationsecuritymanagementsystem（ISMS）是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。3.8完整性integrity保护资产的准确和完整的特性[ISO/IEC13335-1:2004]。3.9残余风险residualrisk经过风险处理后遗留的风险[ISO/IECGuide73:2002]。3.10风险接受riskacceptance接受风险的决定[ISO/IECGuide73：2002]。3.11风险分析riskanalysis系统地使用信息来识别风险来源和估计风险[ISO/IECGuide73：2002]。3.12风险评估riskassessment风险分析和风险评价的整个过程[ISO/IECGuide73：2002]。3.13风险评价riskevaluation将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IECGuide73：2002]。3.14风险管理riskmanagement指导和控制一个组织相关风险的协调活动[ISO/IECGuide73：2002]。3.15风险处理risktreatment选择并且执行措施来更改风险的过程[ISO/IECGuide73：2002]。注：在本标准中，术语“控制措施”被用作“措施”的同义词。3.16PDF文件使用pdfFactory试用版本创建描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。注：控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。4信息安全管理体系（ISMS）4.1总要求一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、