ISO／IEC-27001：2013信息安全管理体系要求-20140706

信息技术安全技术信息安全管理体系要求Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements（ISO/IEC27001：2013）目录前言...............................................................................................................................................................I0引言.....................................................................................................................................................11适用范围...................................................................................................................................................22规范性引用文件......................................................................................................................................23术语和定义..............................................................................................................................................24组织背景...................................................................................................................................................25领导力.......................................................................................................................................................26计划...........................................................................................................................................................37支持...........................................................................................................................................................58运行...........................................................................................................................................................79绩效评价...................................................................................................................................................710改进.........................................................................................................................................................8附录A（规范性附录）参考控制目标和控制措施.................................................................10I前言ISO和IEC形成全球标准专业系统。通过技术委员会建立的参与开发国际标准的ISO或IEC的成员国，由各自的组织处理特定的技术活动的领域。ISO和IEC技术委员会协调共同感兴趣的领域。与ISO和IEC联络的其它国际组织、政府和非政府的组织也参与了这个工作。在信息技术领域，ISO的IEC已经建立了一个联合技术委员会，ISO/IECJTC1。国际标准被起草与ISO/IEC导则，Part2给出的规则一致。联合技术委员会的主要任务是制定国际标准。联合技术委员会将起草的国际标准发给国家机构投票出版，作为国际标准发布至少需要75%的国家机构投赞成票。注意，本文档可能是专利权主体的某些元素的可能性是存在的。ISO将不负责识别任何或所有这样的专利权问题。ISO/IEC27001已拟定联合技术委员会ISO/IECJTC1，信息技术，小组委员会SC27，IT安全技术。本第二版抵消并替代了第一版(ISO/IEC27001:2005)，已在技术和结构上进行了修订。文件说明本标准是笔者利用业余时间自行翻译。因笔者水平有限，错误和疏漏之处再所难免。欢迎各位批评指正。特别声明：a)若因阅读和使用本翻译标准给读者造成的任何损失，本人一概不承担任何责任；b)本翻译标准著作权归本人所有，仅供阅读学习之用，未经许可，不得用于任何商业目的。笔者联系方式：邮箱：lzh900@163.comＱＱ：605577186李振华QMS/ISMS/SMS/ITSS/COBIT/CISP/R&S/SercityCCIE2014年7月于北京10引言0.1总则本国际标准准备提供建立、实施、保持和持续改进信息安全管理体系（ISMS）的要求。ISMS的采用是一个组织的战略决策。组织的ISMS的建立和实施受组织的需求和目标、安全需求、组织的过程、规模和结构的影响。上述因素预计会随时间而变化。信息安全管理体系通过使用风险管理过程来保护信息的保密性、完整性和可用性，给相关方风险被适当管理的信心。重要的是，信息安全管理体系是与组织过程和整体管理体系相结合的一部分，信息安全考虑过程的设计、信息系统和控制措施。信息安全管理体系的规模与组织需求保持一致。本国际标准可被用于内部和外部团体，评价组织有能力满足组织自己的信息安全要求。本国际标准中要求的顺序并不反映他们的重要性或暗示他们实施的顺序。列表中的列举项仅供参考。ISO/IEC27000描述了信息安全管理体系的概述和词汇表。参考ISMS标准簇（包括ISO/IEC27003、ISO/IEC27004和ISO/IEC27005）与相关术语和定义。0.2与其它管理体系的兼容性本国际标准适用于高层结构、相同的子标题、相同的文本、常用术语和核心定义被定义在ISO/IEC导则，Part1，合并的ISO附件，维护与其他管理体系标准的兼容性，采用附录SL。附录SL中定义的这种常见方法是有用的，组织选择运行一个单个的管理体系，满足两个或多个管理体系标准的要求。信息技术安全技术信息安全管理体系要求21适用范围本国际标准规定了在组织的背景下建立、实施、维护和持续改进信息安全管理体系的要求。本标准还包括根据组织的需要来调整信息安全风险的评估和处置的要求。这个要求安排在本国际标准中通常并有意应用到所有组织，不论组织类型、规模或性质。当一个组织声称其符合此国际标准但没有达到4到10章规定的要求，是不可接受的。2规范性引用文件以下文档全部或部分被本文档规范的引用，对于它的应用是必不可少的。凡是注日期的引用文件，仅引用的版本适用。凡是不注日期的引用文件，其最新版本的参考文件（包括任何的修订）适用。ISO/IEC27000，信息技术-安全技术-信息安全管理体系-概述和词汇表。3术语和定义ISO/IEC27000给出的术语和定义适用于本文档的目的。4组织背景4.1了解组织和它的背景组织应确定与ISMS相关的目的和影响其达到预期效果的能力的内外部问题。注：确定这些问题参考ISO31000第5.3建立组织的外部和内部环境被考虑。4.2理解相关方的需求和期望组织应确定：a)ISMS的相关方；和b)这些相关方有关信息安全的要求。注：有关各方的要求可能包括法律、监管规定和合同义务。4.3确定ISMS的范围组织应确定ISMS的边界和适用性，以确定其范围。在确定此范围时，组织应考虑：a)4.1提及的外部和内部的问题；b)4.2提及的要求；和c)接口和执行组织之间活动被执行的依赖关系，以及其他组织的相关活动。范围应可成为文档化信息。4.4ISMS组织应按照本国际标准的要求建立、实施、保持和持续改进ISMS。5领导力35.1领导力和承诺最高管理者应展示关于ISMS的领导力和承诺：a)确保信息安全方针和信息安全目标被建立，并与组织战略方向兼容;b)确保信息安全管理体系的要求集成到组织的过程中;c)确保信息安全管理体系所需要的资源是可用的;d)传达有效的信息安全管理和符合信息安全管理体系要求的重要性;e)确保信息安全管理体系达到其预期的效果;f)指导和支持员工，有助于信息安全管理体系的效率;g)推进持续改进;和h)支持其他相关管理角色展示他们的领导力，同样适用于他们的职责范围。5.2方针最高管理者应建立信息安全方针：a)适合组织的宗旨;b)包括信息安全目标（见6.2），或为建立信息安全目标提供框架;c)包括满足有关信息安全适当要求的承诺;和d)包括ISMS持续改进的承诺。信息安全方针应：e)是以文档化的身份可用的;f)在组织内传达;和g)适当时，对相关方是可用的。5.3组织的角色、职责和权限最高管理者应确保与信息安全相关角色的职责和权限被分配和传达。最高管理者应分配职责和权限：a)确保ISMS符合本国际标准的要求;和b)将ISMS绩效报告给最高管理者。注：最高管理者也可以分配组织内ISMS绩效报告的职责和权限。6计划6.1处理风险和机遇的行动6.1.1总则当规划ISMS时，组织应当考虑4.1提到的问题和4.2中所提到的要求，并确定需要处理的风险和机遇：a)确保ISMS实现预期的效果;b)防止或减少不良影响;和c)实现持续改进。4组织应策划：d)处理这些风险和机遇的行动；和e)如何1)集成和实施这些行动到ISMS过程中;和2)评估这些行动的有效性。6.1.2信息安全风险评估组织应定义并应用一个信息安全风险评估过程：a)建立和维护信息安全风险准则，包括：1)风险接受准则;2)执行信息安全风险评估准则;b)确保重复的信息安全风险评估产生一致的、有效的和可比较的结果。c)识别信息安全风险：1)应用信息安全风险评估过程，识别与ISMS范围内信息的保密性、完整性和可用性丢失相关的风险；和2)识别风险所有人。d)分析信息安全风险：1)确定在6.1.2c）1）中识别的风险发生后会产生的潜在的后果；2)确定在6.1.2c）1）中识别的风险发生的现实的可能性；和3)确定风险等级。e)评价信息安全风险：1)风险分析的结果与6.1.2a）建立的风险准则进行比较；和2)对分析后的风险确定风险处理的优先级。组织应保留信息安全风险评估过程中的文档化信