iso 27001-2016

所需积分/C币:50 2018-03-02 16:32:28 4.79MB PDF
18
收藏 收藏
举报

01 GBT 22080-2016 ISO IEC 27001:2013 信息安全管理体系 要求
GB/T22080-2016/IsO/IEC27001:2013 附录NA(资料性附录)GB/T22080-2016与GB/T22080—2008版对比…………………18 附录NB(资料性附录)GB/T220802016与GB/T220802008主要关键词变化 20 参考文献 21 GB/22080-2016/IsO/IEC27001:2013 前言 本标准按照GB/T1.1—2009给出的规则起草。 本标准代替GB/T220802008《信息技术安全技术信息安全管理体系要求》。 与GB/T22080-2008相比,主要技术变化如下: 结构变化见附录NA; 术语变化见附录NB。 本标准使用翻译法等同采用IsO/IEC27001:2013《信息技术安全技术信息安全管理体系要 求》。 与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下: GB/T292462012信息技术安全技术信息安全管理体系概述和词汇 (ISO/IEC27000:2009,IDT) 本标准做了下列编辑性修改: 增加了资料性附录NA —增加了资料性附录NB。 请注意本文件的某些内容可能涉及专利。木文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国电子技术标准化研究院、中电长城网际系统应用有限公司、中国信息安全认 证中心、山东省标准化研究院、广州赛宝认证中心服务有限公司、北京江南天安科技有限公司、上海三零 卫土信息安全有限公司、中国合格评定国家认可中心、北京时代新威信息技术有限公司、黑龙江电子信 息产品监督检验院、浙江远望电子有限公司、杭州在信科技有限公司。 本标准主要起草人:上官晓丽、许玉娜、闵京华、尤其、公伟、卢列文、倪文静、王连强、陈冠直 于惊涛、付志高、赵英庆、卢普明、王曙光、虞仲华、韩硕祥、魏军、程瑜琦、孔祥林、邬敏华、李华、李阳 本标准所代替标准的历次版本发布情况为 GB/T22080-2008。 GB/T22080-2016/IsO/IEC27001:2013 引言 0.1总则 本标准提供建立、实现、维护和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织 的一项战略性决策。组织信息安全管理体系的建立和实现受组织的需要和目标、安全要求、组织所采用 的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并为相关方树立 风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部处并集成在其中,并且在过程、 信息系统和控制的设计中要考虑到信息安全。期望的是,信息安全管理体泉的实现程度要与组织的需 要相符合。 本标准被内部和部各方用于评估组织的能力是否满足自身的信息安全裹求。 本标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予实现的顺序。条款编号仅 为方便引用 如soC0述信息零全管理体赛的概要和词汇,用〔信息安全管理体系标准族(包括 EC2700421、sO/IEC2031、Iso/C270058以及相关本语和定义。 0.2与其他管理体系标准的兼容性 本标准应用SOEC合导则附录SL中是义的高层结梅相同条款标题、相文本、通用术语和 核心定义,因此维护了与其他来用附录SL的管理体系的标准具有兼容性 附录S中定以的通用途径对于选择运行单一管理体系来满足两个或更多管理体系标准要求的组 织是有用的。 GB/T22080—2016/ISO/IEC27001:2013 信息技术安全技术 信息安全管理体系要求 1范围 本标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。本标准还包括 了根据组织需求所剪裁的信息安全风险评估和处置的要求。 本标准规定的要求是通用的,适用于各种类型、规模或性质的组织。当组织声称符合本标准时,不 能排除第4章到第10章中所规定的任何要求 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 ISO/IEC27000信息技术安全技术信息安全管理体系概述和词汇( Information tech gy Security techniques Information security management systems-Overview and voca bulary) 3术语和定义 ISO/IEC27000界定的术语和定义适用于本文件 4组织环境 4.1理解组织及其环境 组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。 注:对这些事项的确定,参见ISO31000:20095,5.3中建立外部和内部环境的内容 4.2理解相关方的需求和期望 组织应确定 )信息安全管理体系相关方; b)这些相关方与信息安全相关的要求。 注:相关方的要求可包括法律、法规要求和合同义务 43确定信息安全管理体系范围 组织应确定信息安全管理体系的边界及其适用性,以建立其范围 在确定范围时,组织应考虑 a)4.1中提到的外部和内部事项; b)4.2中提到的要求; )组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关系 该范围应形成文件化信息并可用 GB/T22080-2016/ISO/IEC27001:2013 4.4信息安全管理体系 组织应按照本标准的要求,建立实现、维护和持续改进信息安全管理体系。 5领导 5.1领导和承诺 最高管理层应通过以下活动,证实对信息安全管理体系的领导和承诺: a)确保建立了信息安全策略和信息安全目标,并与组织战略方向一致; b)确保将信息安全管理体系要求整合到组织过程中 确保信息安全管理体系所需资源可用 d)沟通有效的信息安全管理及符合信息安全管理体系要求的重要性 e)确保信息安全管理体系达到预期结果; f)指导并支持相为人员为信息安全管理体系的有效性做出贡献; g)促进持续改进; h)支持其他相关管理角色以证实他们的领导按角色应用于其责任范围 5.2方针 最高管理层应建立信息全方针,该方针应 a)与组意图相适 b)括信息安全目标免2或为设定信息安全目标提供框 c)包括对满足适用的信息安全相关要求的承诺 d)包括对持续改进信意安全智理体系的承诺。 信息全方针应: e)形成文件化信息并可用 f)在组织内得到海通; g)适当断,对相关方可用。 53组织的角色,责任和权限 最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通 最高管理层应分配责住和权限,以: a)确保信息安全管理体系符合本标准的要求; b)向最高管理者报告信息安全管理体系绩效 注:最高管理层也可为组织内报告信息安全管理体系绩效,分配责任和权限。 6规划 6.1应对风险和机会的措施 6.1.1总则 当规划信息安全管理体系时,组织应考虑4.1中提到的事项和42中提到的要求,并确定需要应对 的风险和机会,以: a)确保信息安全管理体系可达到预期结果; GB/T22080-2016/ISO/IEC27001:2013 b)预防或减少不良影响; 达到持续改进 组织应规划: d)应对这些风险和机会的措施; 如何 1)将这些措施整合到信息安全管理体系过程中,并予以实现; 2)评价这些措施的有效性。 6.1.2信息安全风险评估 组织应定义并应用信息安全风险评估过程,以 a)建立并维护信息安全风险准则,包括: 1)风险接受准则; 2)信息安全风险评估实施准则。 b)确保反复的信息安全风险评估产生一致的、有效的和可比较的结果。 识别信息安全风险: 1)应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可 用性损失有关的风险; 2)识别风险责任人 分析信息安全风险 1)评估6.1.2c)1)中所识别的风险发生后,可能导致的潜在后果; 2)评估6.1.2c)1)中所识别的风险实际发生的可能性; 3)确定风险级别 e)评价信息安全风险: 1)将风险分析结果与6.1.2a)中建立的风险准则进行比较; 2)为风险处置排序已分析风险的优先级。 组织应保留有关信息安全风险评估过程的文件化信息 6.1.3信息安全风险处置 组织应定义并应用信息安全风险处置过程,以: a)在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项; b)确定实现已选的信息安全风险处置选项所必需的所有控制; 注1:当需要时,组织可设计控制,或识别来自任何来源的控制。 c)将6.1.3b)确定的控制与附录A中的控制进行比较,并验证没有忽略必要的控制; 注2:附录A包含了控制目标和控制的综合列表。本标准用户可在附录A的指导下,确保没有遗漏必要的控制。 注3:控制目标隐含在所选择的控制内。附录A所列的控制目标和控制并不是完备的,可能需要额外的控制目标 和控制。 d)制定一个适用性声明,包含必要的控制[见6.13b)和c)及其选择的合理性说明(无论该控制 是否已实现),以及对附录A控制删减的合理性说明 )制定正式的信息安全风险处置计划 )获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准 组织应保留有关信息安全风险处置过程的文件化信息。 注4:本标准中的信息安全风险评估和处置过程与ISO310005中给出的原则和通用指南相匹配。 GB/T22080-2016/ISO/IEC27001:2013 62信息安全目标及其实现规划 组织应在相关职能和层级上建立信息安全目标。 信息安全目标应: a)与信息安全方针一致; b)可测量(如可行); c)考虑适用的信息安全要求,以及风险评估和风险处置的结果; d)得到沟通; )适当时更新 组织应保留有关信息安全目标的文件化信息。 在规划如何达到信息安全目标时,组织应确定 f)要做什么; g)需要什么资源 h)由谁负责; i)什么时候完成; j)如何评价结果。 7支持 7.1资源 组织应确定并提供建立、实现维护和持续改进信息安全管理体系所需的资源。 7.2能力 组织应 a)确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力; b)确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作; c)适用时,采取措施以获得必要的能力,并评估所采取措施的有效性; d)保留适当的文件化信息作为能力的证据。 注:适用的措施可包括,例如针对现有雇员提供培训、指导或重新分配;雇佣或签约有能力的人员 7.3意识 在组织控制下工作的人员应了解: a)信息安全方针; b)其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处; c)不符合信息安全管理体系要求带来的影响 7.4沟通 组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括: a)沟通什么 何时沟通 c)与谁沟通; d)谁来沟通; e)影响沟通的过程。 GB/T22080-2016/ISO/IEC27001:2013 7.5文件化信息 7.5.1总则 组织的信息安全管理体系应包括: a)本标准要求的文件化信息; b)为信息安全管理体系的有效性,组织所确定的必要的文件化信息。 注:不同组织有关信息安全管理体系文件化信息的详略程度可以是不同的,这是由于 1)组织的规模及其活动、过程、产品和服务的类型; 2)过程及其相互作用的复杂性; 3)人员的能力 7.52刨建和更新 创建和更新文件化信息时,组织应确保适当的: a)标识和描述(例如标题、日期、作者或引用编号); b)格式(例如语言、软件版本、图表)和介质(例如纸质的、电子的); 对适宜性和充分性的评审和批准 7.5.3文件化信息的控制 信息安全管理体系及本标准所要求的文件化信息应得到控制,以确保: a)在需要的地点和时间,是可用的和适宜使用的; b)得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。 为控制文件化信息,适用时,组织应强调以下活动 c)分发,访问,检索和使用; d)存储和保护,包括保持可读性; e)控制变更(例如版本控制); f)保留和处理。 组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予 以控制。 注:访问隐含着仅允许浏览文件化信息,或允许和授权浏览及更改文件化信息等决定。 8运行 8.1运行规划和控制 为了满足信息安仝要求以及实现6.1中确定的措施,组织应规划、实现和控制所需要的过程。组织 还应实现为达到62中确定的信息安全目标一系列计划。 组织应保持文件化信息达到必要的程度,以确信这些过程按计划得到执行。 组织应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻任何负面影响。 组织应确保外包过程是确定的和受控的。 82信息安全风险评估 组织应考虑6.1.2a)所建立的准则,按计划的时间间隔,或当重大变更提出或发生时,执行信息安全 风险评估。

...展开详情
试读 27P iso 27001-2016
立即下载 低至0.43元/次 身份认证VIP会员低至7折
一个资源只可评论一次,评论内容不能少于5个字
HiH2010 谢谢分享 !
2018-10-24
回复
startnow562 国标22080:2016等同采用的版本,扫描版,清晰度还不错!是原版中英文对照的化就好了。
2018-10-20
回复
上传资源赚积分or赚钱
    最新推荐
    iso 27001-2016 50积分/C币 立即下载
    1/27
    iso 27001-2016第1页
    iso 27001-2016第2页
    iso 27001-2016第3页
    iso 27001-2016第4页
    iso 27001-2016第5页
    iso 27001-2016第6页

    试读结束, 可继续读3页

    50积分/C币 立即下载 >