《信息安全管理体系要求》ISOIEC270012013(E)

ISO/IEC 270012013E 目录 前言 . 3 0 引言 . 4 0.1 总则 . 4 0.2 与其他管理系统标准的兼容性 . 4 1. 范围 5 2 规范性引用文件 5 3 术语和定义 5 4 组织景况 5 4.1 了解组织及其景况 . 5 4.2 了解相关利益方的需求和期望 . 5 4.3 确立信息安全管理体系的范围 . 6 4.4 信息安全管理体系 . 6 5 领导 . 6 5.1 领导和承诺 . 6 5.2 方针 . 6 5.3 组织的角色，职责和权限 . 7 6. 计划 7 6.1 应对风险和机遇的行为 . 7 6.2 信息安全目标及达成目标的计划 . 9 7 支持 . 9 7.1 资源 . 9 7.2 权限 . 9 7.3 意识 . 10 7.4 沟通 . 10 7.5 记录信息 . 10 8 操作 . 11 8.1 操作的计划和控制措施 . 11 8.2 信息安全风险评估 . 11 8.3 信息安全风险处置 . 11 9 性能评价 12 9.1 监测、测量、分析和评价 12 9.2 内部审核 . 12 9.3 管理评审 . 12 10 改进 . 13 10.1 不符合和纠正措施 . 13 10.2 持续改进 . 14 附录 A规范参考控制目标和控制措施 15 参考文献 . 28 ISO/IEC 2013 –保留所有权利 ISO/IEC 270012013E ISO/IEC 2013 –保留所有权利 ISO/IEC 270012013E 前言 ISO/IEC 2013 – 保留所有权利 ISO/IEC 270012013E 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理 体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、 安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、 完整性和可用性， 并给 相关方建立风险得到充分管理的信心。 重要的是， 信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中， 并 且在过程、 信息系统和控制措施的设计中要考虑到信息安全。 信息安全管理体系的实施要与 组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000 参考信息安全管理体系标准族（包括 ISO/IEC 27003[2]、ISO/IEC 27004[3]、 ISO/IEC 27005[4]）及相关术语和定义，给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性 本标准应用了 ISO/IEC 导则第一部分的 ISO 补充部分附录 SL 中定义的高层结构、 同一子 条款标题、同一文本、通用术语和核心定义，因此保持了与其它采用附录 SL 的管理体系标 准的兼容性。 附录 SL 定义的通用方法有助于组织选择实施单一管理体系来满足两个或多个管理体系 标准要求。 ISO/IEC 2013 –保留所有权利 ISO/IEC 270012013E 信息技术安全技术信息安全管理体系要求 1. 范围 本标准规定了在组织环境（context）下建立、实施、运行、保持和持续改进信息安全管 理体系的要求。 本标准还包括了根据组织需求而进行的信息安全风险评估和处置的要求。 本 标准规定的要求是通用的，适用于各种类型、规模或性质的组织。组织声称符合本标准时， 对于第 4 章到第 10 章的要求不能删减。 2 规范性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用，对于本文件的应用必不可少。 凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新 版本（包括任何修改）适用于本标准。 ISO/IEC 27000，信息技术安全技术信息安全管理体系概述和词汇。 3 术语和定义 ISO/IEC 27000 中界定的术语和定义适用于本文件。 4 组织环境（context） 4.1 理解组织及其环境（context） 组织应确定与其意图相关的， 且影响其实现信息安全管理体系预期结果能力的外部和内 部情况（issue） 。 注对这些情况的确定，参见 ISO310002009[5]，5.3 中建立外部和内部环境的内容。 4.2 理解相关方的需求和期望 组织应确定 a 信息安全管理体系相关方； ISO/IEC 2013 –保留所有权利 ISO/IEC 270012013E b 这些相关方的信息安全要求。 注相关方的要求可包括法律法规要求和合同义务。 4.3 确定信息安全管理体系范围 组织应确定信息安全管理体系的边界及其适用性以建立其范围。 在确定范围时，组织应考虑 a 4.1 中提到的外部和内部情况； b 4.2 中提到的要求； c 组织执行活动之间以及与其他组织执行活动之间的接口和依赖关系。 该范围应形成文件化信息并可用。 4.4 信息安全管理体系 组织应按照本标准的要求，建立、实施、保持和持续改进信息安全管理体系。 5 领导力 5.1 领导力和承诺 最高管理者应通过以下方式证明信息安全管理体系的领导力和承诺 a 确保信息安全方针和信息安全目标已建立，并与组织战略方向一致； b 确保将信息安全管理体系要求整合到组织过程中； c 确保信息安全管理体系所需资源可用； d 传达有效的信息安全管理及符合信息安全管理体系要求的重要性； e 确保信息安全管理体系达到预期结果； f 指导并支持相关人员为信息安全管理体系有效性做出贡献； g 促进持续改进； h 支持其他相关管理者角色，在其职责范围内展现领导力。 5.2 方针 最高管理者应建立信息安全方针，方针应 a 与组织意图相适宜； ISO/IEC 2013 –保留所有权利 ISO/IEC 270012013E b 包括信息安全目标（见 6.2）或为信息安全目标的设定提供框架； c 包括对满足适用的信息安全要求的承诺； d 包括持续改进信息安全管理体系的承诺。 信息安全方针应 e 形成文件化信息并可用； f 在组织内得到沟通； g 适当时，对相关方可用。 5.3 组织的角色，职责和权限 最高管理者应确保与信息安全相关角色的职责和权限得到分配和沟通。 最高管理者应分配职责和权限，以 a 确保信息安全管理体系符合本标准的要求； b 向最高管理者报告信息安全管理体系绩效。 注最高管理者也可为组织内报告信息安全管理体系绩效，分配职责和权限。 6. 规划 6.1 应对风险和机会的措施 6.1.1 总则 当规划信息安全管理体系时，组织应考虑 4.1 中提到的问题和 4.2 中提到的要求，确定 需要应对的风险和机会，以 a 确保信息安全管理体系能实现预期结果； b 预防或减少意外的影响； c 实现持续改进。 组织应规划 d 应对这些风险和机会的措施； e