《《ISO27001-精华》.doc

信息技术 安全技术 信息安全管理体系 要求 Information technology- Security techniques -Information security management systems-requirements （IDT ISO/IEC 27001:2005） 目 次 前 言 II 引 言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 信息安全管理体系（ISMS） 3 5 管理职责 6 6 内部ISMS审核 7 7 ISMS的管理评审 7 8 ISMS改进 8 附　录　A （规范性附录） 控制目标和控制措施 9 附　录　B （资料性附录） OECD原则和本标准 20 附　录　C （资料性附录） ISO 9001:2000, ISO 14001:2004 和本标准之间的对照 21 前 言 引 言 总则 本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全、所采用的过程以及组织的规模和结构的影响上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS，是本标准所期望的，例如，简单的情况可采用简单的ISMS解决方案。 本标准可被内部和外部相关方用于一致性评估。 过程方法 本标准建立、实施、运行、监视、评审、保持和改进ISMS。 一个组织必须识别和管理众多活动使之有效运作。通过使用资源和管理，将输入转化为输出的任意活动，可以视为一个过程。通常，一个过程的输出可直接构成过程的输入。 一个组织内，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。 本标准中提出的信息安全管理的过程方法鼓励其用户强调以下方面的重要性： 理解组织的信息安全要求和建立信息安全方针与目标的需要； 从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险； 监视和评审ISMS的和有效性； 基于客观测量的持续改进。 本标准采用了“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”（PDCA） 模型，该模型可应用于所有的ISMS过程。图1说明了ISMS如何把相关方的信息安全要求和期望作为输入，并通过必要的行动和过程，产生满足这些要求和期望的信息安全结果。图1也描述了4、5、6、7和8章所提出的过程间的联系。 采用PDCA模型还反映了治理信息系统和网络安全的OECD指南（2002版）中所设置的原则。本标准为实施风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。 例1：信息安全不给组织造成严重的财务损失和/或使组织陷入困境。 例2：如果发生了严重的——可能是组织的电子商务网站被黑客入侵——应有经充分培训的员工按照适当的程序，将事件的影响降至最小。。  划（建立ISMS） 建立与管理风险和改进信息安全有关的ISMS、目 标、过程和程序，以提供与组织和目标相一致的结果。 实施（实施和运行ISMS） 实施和运行ISMS、控制措施、过程和程序。 检查（监视和评审ISMS） 对照ISMS、目标和实践经验，评估并在适当时，测量过程，并将结果报告管理者以供评审。 处置（保持和改进ISMS） 基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防，以持续改进ISMS。 与其它管理体系的兼容性 本标准与GB/T 19001-2000及GB/T 24001-1996相结合，以支持相关管理标准一致合的实施和运。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T 19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO 14001:2004）的各条款之间的关系。 本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。 信息技术 安全技术 信息安全管理体系 要求 重点：本出版物不声称包括一个合同所有必要的规定。用户负责对其进行正确的应用。符合标准本身并不获得法律义务的豁免。 范围 总则 本标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。 ISMS的设计应确保适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。 注1：本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。 注2：ISO/IEC 17799提供