ISO27001:2013中英文對照_第1頁
ISO27001:2013中英文對照_第2頁
ISO27001:2013中英文對照_第3頁
已閱讀5頁,還剩34頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements信息技術(shù)-安全技術(shù)-信息安全管理體系-要求Foreword刖言ISO(theInternationalOrganizationforStandardization)andIEC(theInternationalElectrotechnicalCommission)formthespecializedsystemforworldwidestandardization.Nationalbodiesthataremembe

2、rsofISOorIECparticipateinthedevelopmentofInternationalStandardsthroughtechnicalcommitteesestablishedbytherespectiveorganizationtodealwithparticularfieldsoftechnicalactivity.ISOandIECtechnicalcommitteescollaborateinfieldsofmutualinterest.Otherinternationalorganizations,governmentalandnon-governmental

3、,inliaisonwithISOandIEC,alsotakepartinthework.Inthefieldofinformationtechnology,ISOandIEChaveestablishedajointtechnicalcommittee,ISO/IECJTC1.ISO(國際標(biāo)準(zhǔn)化組織)和IEC(國際電工委員會)是為國際標(biāo)準(zhǔn)化制定專門體制的國際組織。國家機構(gòu)是ISO或IEC的成員,他們通過各自的組織建立技術(shù)委員會參與國際標(biāo)準(zhǔn)的制定,來處理特定領(lǐng)域的技術(shù)活動。ISO和IEC技術(shù)委員會在共同感興趣的領(lǐng)域合作。其他國際組織、政府和非政府等機構(gòu),通過聯(lián)絡(luò)ISO和IEC參與這項工作。I

4、SO和IEC已經(jīng)在信息技術(shù)領(lǐng)域建立了一個聯(lián)合技術(shù)委員會ISO/IECJTC1。InternationalStandardsaredraftedinaccordancewiththerulesgivenintheISO/IECDirectives,Part2.國際標(biāo)準(zhǔn)的制定遵循ISO/IEC導(dǎo)則第2部分的規(guī)則。ThemaintaskofthejointtechnicalcommitteeistoprepareInternationalStandards.DraftInternationalStandardsadoptedbythejointtechnicalcommitteearecircula

5、tedtonationalbodiesforvoting.PublicationasanInternationalStandardrequiresapprovalbyatleast75%ofthenationalbodiescastingavote.聯(lián)合技術(shù)委員會的主要任務(wù)是起草國際標(biāo)準(zhǔn),并將國際標(biāo)準(zhǔn)草案提交給國家機構(gòu)投票表決。國際標(biāo)準(zhǔn)的出版發(fā)行必須至少75%以上的成員投票通過。Attentionisdrawntothepossibilitythatsomeoftheelementsofthisdocumentmaybethesubjectofpatentrights.ISOandIECsha

6、llnotbeheldresponsibleforidentifyinganyorallsuchpatentrights.本文件中的某些內(nèi)容有可能涉及一些專利權(quán)問題,這一點應(yīng)該引起注意。ISO和IEC不負(fù)責(zé)識別任何這樣的專利權(quán)問題。ISO/IEC27001waspreparedbyJointTechnicalCommitteeISO/IECJTC1,Informationtechnology,SubcommitteeSC27,ITSecuritytechniques.ISO/IEC27001由聯(lián)合技術(shù)委員會ISO/IECJTC1(信息技術(shù))分委員會SC27(安全技術(shù))起草。Thissecond

7、editioncancelsandreplacesthefirstedition(ISO/IEC27001:2005),whichhasbeentechnicallyrevised.第二版進(jìn)行了技術(shù)上的修訂,并取消和替代第一版(ISO/IEC27001:2005)。0Introduction引言General0.1總則ThisInternationalStandardhasbeenpreparedtoproviderequirementsforestablishing,implementing,maintainingandcontinuallyimprovinganinformationsec

8、uritymanagementsystem.Theadoptionofaninformationsecuritymanagementsystemisastrategicdecisionforanorganization.Theestablishmentandimplementationofanorganization'sinformationsecuritymanagementsystemisinfluencedbytheorganization'needsandobjectives,securityrequirements,theorganizationalprocesses

9、usedandthesizeandstructureoftheorganization.Alloftheseinfluencingfactorsareexpectedtochangeovertime.本標(biāo)準(zhǔn)用于為建立、實施、保持和持續(xù)改進(jìn)信息安全管理體系提供要求。采用信息安全管理體系是組織的一項戰(zhàn)略性決策。一個組織信息安全管理體系的建立和實施受其需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響。所有這些影響因素會不斷發(fā)生變化。Theinformationsecuritymanagementsystempreservestheconfidentiality,integrityanda

10、vailabilityofinformationbyapplyingariskmanagementprocessandgivesconfidencetointerestedpartiesthatrisksareadequatelymanaged.信息安全管理體系通過應(yīng)用風(fēng)險管理過程來保持信息的保密性、完整性和可用性,以充分管理風(fēng)險并給予相關(guān)方信心。Itisimportantthattheinformationsecuritymanagementsystemispartofandintegratedwiththeorganization"processesandoverallmanag

11、ementstructureandthatinformationsecurityisconsideredinthedesignofprocesses,informationsystems,andcontrols.Itisexpectedthataninformationsecuritymanagementsystemimplementationwillbescaledinaccordancewiththeneedsoftheorganization.信息安全管理體系是組織過程和整體管理結(jié)構(gòu)的一部分并與其整合在一起是非常重要的。信息安全在設(shè)計過程、信息系統(tǒng)、控制措施時就要考慮信息安全。按照組織的

12、需要實施信息安全管理體系,是本標(biāo)準(zhǔn)所期望的。ThisInternationalStandardcanbeusedbyinternalandexternalpartiestoassesstheorganization'sabilitymeettheorganization'sdWiormationsecurityrequirements.本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方使用,評估組織的能力是否滿足組織自身信息安全要求。TheorderinwhichrequirementsarepresentedinthisInternationalStandarddoesnotreflecttheir

13、importanceorimplytheorderinwhichtheyaretobeimplemented.Thelistitemsareenumeratedforreferencepurposeonly.本標(biāo)準(zhǔn)中要求的順序并不能反映他們的重要性或意味著他們的實施順序。列舉的條目僅用于參考目的。ISO/IEC27000describestheoverviewandthevocabularyofinformationsecuritymanagementsystems,referencingtheinformationsecuritymanagementsystemfamilyofstandar

14、ds(includingISO/IEC270032,ISO/IEC270043andISO/IEC270054),withrelatedtermsanddefinitions.ISO/IEC27000描述了信息安全管理體系的概述和詞匯,參考了信息安全管理體系標(biāo)準(zhǔn)族(包括ISO/IEC27003、ISO/IEC27004和ISO/IEC27005)以及相關(guān)的術(shù)語和定義。Compatibilitywithothermanagementsystemstandards0.2與其他管理體系的兼容性ThisInternationalStandardappliesthehigh-levelstructure

15、,identicalsub-clausetitles,identicaltext,commonterms,andcoredefinitionsdefinedinAnnexSLofISO/IECDirectives,Part1,ConsolidatedISOSupplement,andthereforemaintainscompatibilitywithothermanagementsystemstandardsthathaveadoptedtheAnnexSL.本標(biāo)準(zhǔn)應(yīng)用了ISO/IEC導(dǎo)則第一部分ISO補充部分附錄SL中定義的高層結(jié)構(gòu)、相同的子章節(jié)標(biāo)題、相同文本、通用術(shù)語和核心定義。因此保持

16、了與其它采用附錄SL的管理體系標(biāo)準(zhǔn)的兼容性。ThiscommonapproachdefinedintheAnnexSLwillbeusefulforthoseorganizationsthatchoosetooperateasinglemanagementsystemthatmeetstherequirementsoftwoormoremanagementsystemstandards.附錄SL定義的通用方法對那些選擇運作單一管理體系(可同時滿足兩個或多個管理體系標(biāo)準(zhǔn)要求)的組織來說是十分有益的。InformationtechnologySecuritytechniquesInformatio

17、nsecuritymanagementsystemsRequirements信息技術(shù)-安全技術(shù)-信息安全管理體系敏求Scope1范圍ThisInternationalStandardspecifiestherequirementsforestablishing,implementing,maintainingandcontinuallyimprovinganinformationsecuritymanagementsystemwithinthecontextoftheorganization.本標(biāo)準(zhǔn)從組織環(huán)境的角度,為建立、實施、運行、保持和持續(xù)改進(jìn)信息安全管理體系規(guī)定了要求。ThisInte

18、rnationalStandardalsoincludesrequirementsfortheassessmentandtreatmentofinformationsecurityriskstailoredtotheneedsoftheorganization.TherequirementssetoutinthisInternationalStandardaregenericandareintendedtobeapplicabletoallorganizations,regardlessoftype,sizeornature.Excludinganyoftherequirementsspeci

19、fiedinClauses4to10isnotacceptablewhenanorganizationclaimsconformitytothisInternationalStandard.本標(biāo)準(zhǔn)還規(guī)定了為適應(yīng)組織需要而定制的信息安全風(fēng)險評估和處置的要求。本標(biāo)準(zhǔn)規(guī)定的要求是通用的,適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標(biāo)準(zhǔn)時,對于第4章到第10章的要求不能刪減。Normativereferences2規(guī)范性引用文件Thefollowingdocuments,inwholeorinpart,arenormativelyreferencedinthisdocumentandareindi

20、spensableforitsapplication.Fordatedreferences,onlytheeditioncitedapplies.Forundatedreferences,thelatesteditionofthereferenceddocument(includinganyamendments)applies.下列文件的全部或部分內(nèi)容在本文件中進(jìn)行了規(guī)范引用,對于其應(yīng)用是必不可少的。凡是注日期的引用文件,只有引用的版本適用于本標(biāo)準(zhǔn);凡是不注日期的引用文件,其最新版本(包括任何修改)適用于本標(biāo)準(zhǔn)。ISO/IEC27000,InformationtechnologySecurit

21、ytechniquesInformationsecuritymanagementsystemsOverviewandvocabularyISO/IEC27000,信息技術(shù)一安全技術(shù)一信息安全管理體系一概述和詞匯Termsanddefinitions3術(shù)語和定義Forthepurposesofthisdocument,thetermsanddefinitionsgiveninISO/IEC27000apply.ISO/IEC27000中的術(shù)語和定義適用于本標(biāo)準(zhǔn)。Contextoftheorganization4組織環(huán)境Understandingtheorganizationanditsconte

22、xt4.1理解組織及其環(huán)境Theorganizationshalldetermineexternalandinternalissuesthatarerelevanttoitspurposeandthataffectitsabilitytoachievetheintendedoutcome(s)ofitsinformationsecuritymanagementsystem.組織應(yīng)確定與其目標(biāo)相關(guān)并影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問題。NOTEDeterminingtheseissuesreferstoestablishingtheexternalandinternalcon

23、textoftheorganizationconsideredinClause5.3ofISO31000:20095.注:確定這些問題涉及到建立組織的外部和內(nèi)部環(huán)境,在ISO31000:20095的5.3節(jié)考慮了這一事項。Understandingtheneedsandexpectationsofinterestedparties4.2理解相關(guān)方的需求和期望Theorganizationshalldetermine:組織應(yīng)確定:a) interestedpartiesthatarerelevanttotheinformationsecuritymanagementsystem;andthere

24、quirementsoftheseinterestedpartiesrelevanttoinformationsecurity.與信息安全管理體系有關(guān)的相關(guān)方;這些相關(guān)方與信息安全有關(guān)的要求NOTETherequirementsofinterestedpartiesmayincludelegalandregulatoryrequirementsandcontractualobligations.注:相關(guān)方的要求可能包括法律法規(guī)要求和合同義務(wù)。Determiningthescopeoftheinformationsecuritymanagementsystem4.3確定信息安全管理體系的范圍Th

25、eorganizationshalldeterminetheboundariesandapplicabilityoftheinformationsecuritymanagementsystemtoestablishitsscope.組織應(yīng)確定信息安全管理體系的邊界和適用性,以建立其范圍。Whendeterminingthisscope,theorganizationshallconsider:當(dāng)確定該范圍時,組織應(yīng)考慮:a) theexternalandinternalissuesreferredtoin4.1;therequirementsreferredtoin4.2;andinterfa

26、cesanddependenciesbetweenactivitiesperformedbytheorganization,andthosethatareperformedbyotherorganizations.Thescopeshallbeavailableasdocumentedinformation.a)在4.1中提及的外部和內(nèi)部問題;b)在4.2中提及的要求;c)組織所執(zhí)行的活動之間以及與其它組織的活動之間的接口和依賴性范圍應(yīng)文件化并保持可用性。Informationsecuritymanagementsystem4.4信息安全管理體系Theorganizationshallesta

27、blish,implement,maintainandcontinuallyimproveaninformationsecuritymanagementsystem,inaccordancewiththerequirementsofthisInternationalStandard.組織應(yīng)按照本標(biāo)準(zhǔn)的要求建立、實施、保持和持續(xù)改進(jìn)信息安全管理體系。Leadership5領(lǐng)導(dǎo)Leadershipandcommitment5.1領(lǐng)導(dǎo)和承諾Topmanagementshalldemonstrateleadershipandcommitmentwithrespecttotheinformationse

28、curitymanagementsystemby:高層管理者應(yīng)通過下歹U方式展示其關(guān)于信息安全管理體系的領(lǐng)導(dǎo)力和承諾:a) ensuringtheinformationsecuritypolicyandtheinformationsecurityobjectivesareestablishedandarecompatiblewiththestrategicdirectionoftheorganization;ensuringtheintegrationoftheinformationsecuritymanagementsystemrequirementsintotheorganization&

29、#39;sprocesses;ensuringthattheresourcesneededfortheinformationsecuritymanagementsystemareavailable;communicatingtheimportanceofeffectiveinformationsecuritymanagementandofconformingtotheinformationsecuritymanagementsystemrequirements;ensuringthattheinformationsecuritymanagementsystemachievesitsintend

30、edoutcome(s);directingandsupportingpersonstocontributetotheeffectivenessoftheinformationsecuritymanagementsystem;promotingcontinualimprovement;andsupportingotherrelevantmanagementrolestodemonstratetheirleadershipasitappliestotheirareasofresponsibility.a) 確保建立信息安全方針和信息安全目標(biāo),并與組織的戰(zhàn)略方向保持一致;確保將信息安全管理體系要求

31、整合到組織的業(yè)務(wù)過程中;確保信息安全管理體系所需資源可用;傳達(dá)信息安全管理有效實施、符合信息安全管理體系要求的重要性;確保信息安全管理體系實現(xiàn)其預(yù)期結(jié)果;指揮并支持人員為信息安全管理體系的有效實施作出貢獻(xiàn);促進(jìn)持續(xù)改進(jìn);支持其他相關(guān)管理角色在其職責(zé)范圍內(nèi)展示他們的領(lǐng)導(dǎo)力。Policy5.2方針Topmanagementshallestablishaninformationsecuritypolicythat:高層管理者應(yīng)建立信息安全方針,以:isappropriatetothepurposeoftheorganization;includesinformationsecurityobjecti

32、ves(see6.2)orprovidestheframeworkforsettinginformationsecurityobjectives;includesacommitmenttosatisfyapplicablerequirementsrelatedtoinformationsecurity;d)includesacommitmenttocontinualimprovementoftheinformationsecuritymanagementsystem.Theinformationsecuritypolicyshall:e)beavailableasdocumentedinfor

33、mation;f)becommunicatedwithintheorganization;andg)beavailabletointerestedparties,asappropriate.a)適于組織的目標(biāo);b)包含信息安全目標(biāo)(見6.2)或設(shè)置信息安全目標(biāo)提供框架;c)包含滿足適用的信息安全相關(guān)要求的承諾;d)包含信息安全管理體系持續(xù)改進(jìn)的承諾。信息安全方針應(yīng):e)文件化并保持可用性;f)在組織內(nèi)部進(jìn)行傳達(dá);g)適當(dāng)時,對相關(guān)方可用。Organizationalroles,responsibilitiesandauthorities5.3組織角色、職責(zé)和權(quán)限Topmanagementsha

34、llensurethattheresponsibilitiesandauthoritiesforrolesrelevanttoinformationsecurityareassignedandcommunicated.高層管理者應(yīng)確保分酉己并傳達(dá)了信息安全相關(guān)角色的職責(zé)和權(quán)限。Topmanagementshallassigntheresponsibilityandauthorityfor:高層管理者應(yīng)分配下列職責(zé)和權(quán)限:a)ensuringthattheinformationsecuritymanagementsystemconformstotherequirementsofthisInter

35、nationalStandard;andb)reportingontheperformanceoftheinformationsecuritymanagementsystemtotopmanagement.a)確保信息安全管理體系符合本標(biāo)準(zhǔn)的要求;b)將信息安全管理體系的績效報告給高層管理者。NOTETopmanagementmayalsoassignresponsibilitiesandauthoritiesforreportingperformanceoftheinformationsecuritymanagementsystemwithintheorganization.注:高層管理者可

36、能還要分配在組織內(nèi)部報告信息安全管理體系績效的職責(zé)和權(quán)限。Planning6規(guī)劃Actionstoaddressrisksandopportunities6.1應(yīng)對風(fēng)險和機會的措施General6.1.1總則Whenplanningfortheinformationsecuritymanagementsystem,theorganizationshallconsidertheissuesreferredtoin4.1andtherequirementsreferredtoin4.2anddeterminetherisksandopportunitiesthatneedtobeaddressed

37、to:當(dāng)規(guī)劃信息安全管理體系時,組織應(yīng)考慮4.1中提及的問題和4.2中提及的要求,確定需要應(yīng)對的風(fēng)險和機會,以:a) ensuretheinformationsecuritymanagementsystemcanachieveitsintendedoutcome(s);prevent,orreduce,undesiredeffects;andachievecontinualimprovement.Theorganizationshallplan:1) actionstoaddresstheserisksandopportunities;andhowtointegrateandimplement

38、theactionsintoitsinformationsecuritymanagementsystemprocesses;2) evaluatetheeffectivenessoftheseactions.確保信息安全管理體系能實現(xiàn)其預(yù)期結(jié)果;防止或減少意外的影響;實現(xiàn)持續(xù)改進(jìn)。組織應(yīng)規(guī)劃:a) 應(yīng)對這些風(fēng)險和機會的措施;如何1) 整合和實施這些措施并將其納入信息安全管理體系過程;2) 評價這些措施的有效性。Informationsecurityriskassessment6.1.2信息安全風(fēng)險評估Theorganizationshalldefineandapplyaninformation

39、securityriskassessmentprocessthat:組織應(yīng)定義并應(yīng)用風(fēng)險評估過程,以:a) establishesandmaintainsinformationsecurityriskcriteriathatinclude:1) theriskacceptancecriteria;andb) criteriaforperforminginformationsecurityriskassessments;ensuresthatrepeatedinformationsecurityriskassessmentsproduceconsistent,validandcomparable

40、results;identifiestheinformationsecurityrisks:1) applytheinformationsecurityriskassessmentprocesstoidentifyrisksassociatedwiththelossofconfidentiality,integrityandavailabilityforinformationwithinthescopeoftheinformationsecuritymanagementsystem;andc) identifytheriskowners;analysestheinformationsecuri

41、tyrisks:1) assessthepotentialconsequencesthatwouldresultiftherisksidentifiedin6.1.2c)1)weretomaterialize;2) assesstherealisticlikelihoodoftheoccurrenceoftherisksidentifiedin6.1.2c)1);andd) determinethelevelsofrisk;evaluatestheinformationsecurityrisks:1) comparetheresultsofriskanalysiswiththeriskcrit

42、eriaestablishedin6.1.2a);and2) prioritizetheanalysedrisksforrisktreatment.Theorganizationshallretaindocumentedinformationabouttheinformationsecurityriskassessmentprocess.a) 建立并保持信息安全風(fēng)險準(zhǔn)則,包括:1) 風(fēng)險接受準(zhǔn)則;b) 執(zhí)行信息安全風(fēng)險評估的準(zhǔn)則;確保重復(fù)性的信息安全風(fēng)險評估可產(chǎn)生一致的、有效的和可比較的結(jié)果;識別信息安全風(fēng)險:1) 應(yīng)用信息安全風(fēng)險評估過程來識別信息安全管理體系范圍內(nèi)的信息喪失保密性、完整性和

43、可用性的相關(guān)風(fēng)險;c) 識別風(fēng)險負(fù)責(zé)人;分析信息安全風(fēng)險:1) 評估6.1.2c)1)中所識別風(fēng)險發(fā)生后將導(dǎo)致的潛在影響;2) 評估6.1.2c)1)中所識別風(fēng)險發(fā)生的現(xiàn)實可能性;d) 確定風(fēng)險級別;評價信息安全風(fēng)險;1) 將風(fēng)險分析結(jié)果同6.1.2a)建立的風(fēng)險準(zhǔn)則進(jìn)行比較;為實施風(fēng)險處置確定已分析風(fēng)險的優(yōu)先級。組織應(yīng)定義并應(yīng)用風(fēng)險評估過程,以:組織應(yīng)保留信息安全風(fēng)險評估過程的文件記錄信息。Informationsecurityrisktreatment6.1.3信息安全風(fēng)險處置Theorganizationshalldefineandapplyaninformationsecurityri

44、sktreatmentprocessto:selectappropriateinformationsecurityrisktreatmentoptions,takingaccountoftheriskassessmentresults;determineallcontrolsthatarenecessarytoimplementtheinformationsecurityrisktreatmentoption(s)chosen;組織應(yīng)定義并應(yīng)用信息安全風(fēng)險處置過程,以:a) 在考慮風(fēng)險評估結(jié)果的前提下,選擇適當(dāng)?shù)男畔踩L(fēng)險處置選項:b)為實施所選擇的信息安全風(fēng)險處置選項,確定所有必需的控制措

45、施;NOTEOrganizationscandesigncontrolsasrequired,oridentifythemfromanysource.注:組織可按要求設(shè)計控制措施,或從其他來源識別控制措施。c)comparethecontrolsdeterminedin6.1.3b)abovewiththoseinAnnexAandverifythatnonecessarycontrolshavebeenomitted;c)將6.1.3b)所確定的控制措施與附錄A的控制措施進(jìn)行比較,以核實沒有遺漏必要的控制措施;NOTE1AnnexAcontainsacomprehensivelistofco

46、ntrolobjectivesandcontrols.UsersofthisInternationalStandardaredirectedtoAnnexAtoensurethatnonecessarycontrolsareoverlooked.NOTE2Controlobjectivesareimplicitlyincludedinthecontrolschosen.ThecontrolobjectivesandcontrolslistedinAnnexAarenotexhaustiveandadditionalcontrolobjectivesandcontrolsmaybeneeded.

47、注1:附錄A包含了一份全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可利用附錄A以確不會遺漏必要的控制措施。注2:控制目標(biāo)包含于所選擇的控制措施內(nèi)。附錄A所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施,組織也可能需要另外的控制目標(biāo)和控制措施。d)produceaStatementofApplicabilitythatcontainsthenecessarycontrols(see6.1.3b)andc)andjustificationforinclusions,whethertheyareimplementedornot,andthejustificationforexclusionsof

48、controlsfromAnnexA;e)formulateaninformationsecurityrisktreatmentplan;andf)obtainriskowners'approvaloftheinformationsecurityrisktreatmentplanandacceptanceoftheresidualinformationsecurityrisks.Theorganizationshallretaindocumentedinformationabouttheinformationsecurityrisktreatmentprocess.d)產(chǎn)生適用性聲明。

49、適用性聲明要包含必要的控制措施(見6.1.3b)和c)、對包含的合理性說明(無論是否已實施)以及對附錄A控制措施刪減的合理性說明;e)制定信息安全風(fēng)險處置計劃;f)獲得風(fēng)險負(fù)責(zé)人對信息安全風(fēng)險處置計劃以及接受信息安全殘余風(fēng)險的批準(zhǔn)。組織應(yīng)保留信息安全風(fēng)險處置過程的文件記錄信息。NOTETheinformationsecurityriskassessmentandtreatmentprocessinthisInternationalStandardalignswiththeprinciplesandgenericguidelinesprovidedinISO310005.注:本標(biāo)準(zhǔn)中的信息安全風(fēng)

50、險評估和處置過程可與ISO310005中規(guī)定的原則和通用指南相結(jié)合。Informationsecurityobjectivesandplanningtoachievethem6.2信息安全目標(biāo)和規(guī)劃實現(xiàn)Theorganizationshallestablishinformationsecurityobjectivesatrelevantfunctionsandlevels.Theinformationsecurityobjectivesshall:組織應(yīng)在相關(guān)職能和層次上建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng):a) beconsistentwiththeinformationsecuritypoli

51、cy;bemeasurable(ifpracticable);takeintoaccountapplicableinformationsecurityrequirements,andresultsfromriskassessmentandrisktreatment;becommunicated;andbeupdatedasappropriate.Theorganizationshallretaindocumentedinformationontheinformationsecurityobjectives.Whenplanninghowtoachieveitsinformationsecuri

52、tyobjectives,theorganizationshalldetermine:b) whatwillbedone;whatresourceswillberequired;whowillberesponsible;whenitwillbecompleted;andhowtheresultswillbeevaluated.g) 與信息安全方針一致;可測量(如可行);考慮適用的信息安全要求以及風(fēng)險評估和風(fēng)險處置結(jié)果;被傳達(dá);適當(dāng)時進(jìn)行更新。組織應(yīng)保留關(guān)于信息安全目標(biāo)的文件記錄信息。當(dāng)規(guī)劃如何實現(xiàn)其信息安全目標(biāo)時,組織應(yīng)確定:f)要做什么;需要什么資源;由誰負(fù)責(zé);什么時候完成;如何評價結(jié)果。S

53、upport7支持Resources7.1資源Theorganizationshalldetermineandprovidetheresourcesneededfortheestablishment,implementation,maintenanceandcontinualimprovementoftheinformationsecuritymanagementsystem.組織應(yīng)確定并提供建立、實施、保持和持續(xù)改進(jìn)信息安全管理體系所需的資源。Competence7.2能力Theorganizationshall:a) determinethenecessarycompetenceofper

54、son(s)doingworkunderitscontrolthataffectsitsinformationsecurityperformance;ensurethatthesepersonsarecompetentonthebasisofappropriateeducation,training,orexperience;whereapplicable,takeactionstoacquirethenecessarycompetence,andevaluatetheeffectivenessoftheactionstaken;andretainappropriatedocumentedin

55、formationasevidenceofcompetence.組織應(yīng):a) 確定從事影響信息安全執(zhí)行工作的人員在組織的控制下從事其工作的必要能力;確保人員在適當(dāng)教育,培訓(xùn)和經(jīng)驗的基礎(chǔ)上能夠勝任工作;適用時,采取措施來獲得必要的能力,并評價所采取措施的有效性;保留適當(dāng)?shù)奈募涗浶畔⒆鳛槟芰Ψ矫娴淖C據(jù)。NOTEApplicableactionsmayinclude,forexample:theprovisionoftrainingto,thementoringof,orthereassignmentofcurrentemployees;orthehiringorcontractingofcomp

56、etentpersons.注:例如適當(dāng)措施可能包括為現(xiàn)有員工提供培訓(xùn)、對其進(jìn)行指導(dǎo)或重新分配工作;雇用或簽約有能力的人員。Awareness7.3意識Personsdoingworkundertheorganization'scontroallbeawareof:a) theinformationsecuritypolicy;theircontributiontotheeffectivenessoftheinformationsecuritymanagementsystem,includingthebenefitsofimprovedinformationsecurityperform

57、ance;andtheimplicationsofnotconformingwiththeinformationsecuritymanagementsystemrequirements.人員在組織的控制下從事其工作時應(yīng)意識到:信息安全方針;b)他們對有效實施信息安全管理體系的貢獻(xiàn),包括信息安全績效改進(jìn)后的益處;c)不符合信息安全管理體系要求可能的影響。CommunicationTheorganizationshalldeterminetheneedforinternalandexternalcommunicationsrelevanttotheinformationsecuritymanage

58、mentsystemincluding:a)onwhattocommunicate;b)whentocommunicate;c)withwhomtocommunicate;d)whoshallcommunicate;ande)theprocessesbywhichcommunicationshallbeeffected.組織應(yīng)確定有關(guān)信息安全管理體系在內(nèi)部和外部進(jìn)行溝通的需求,包括:a)什么需要溝通;b)什么時候溝通;c)跟誰進(jìn)行溝通;d)由誰負(fù)責(zé)溝通;e)影響溝通的過程。Documentedinformation7.5文件記錄信息General7.5.1總則Theorganization&#

59、39;sinformationsecuritymanagementsystemshallinclude:a)documentedinformationrequiredbythisInternationalStandard;andb)documentedinformationdeterminedbytheorganizationasbeingnecessaryfortheeffectivenessoftheinformationsecuritymanagementsystem.組織的信息安全管理體系應(yīng)包括:a)本標(biāo)準(zhǔn)要求的文件記錄信息;b)組織為有效實施信息安全管理體系確定的必要的文件記錄信息。NOTETheextentofdocumentedinfor

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論