没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
GB/T22080/ISO/IEC27001:2022(中文学习稿/划线标注版本变化)
INTERNATIONAL ISO/IEC
STANDARD 27001
Third edition
2022-10
Information security, cybersecurity
and privacy protection — Information
security management systems —
Requirements
Sécurité de l'information, cybersécurité et protection de la vie
privée — Systèmes de management de la sécurité de l'information —
Exigences
信息安全 网络安全 隐私保护
信息安全管理体系 要求
Reference number
ISO/IEC 27001:2022(E)
GB/T22080/ISO/IEC27001:2022(中文学习稿/划线标注版本变化)
1
目录
前言 ........................................................................................................................................................................... i
引言 .......................................................................................................................................................................... ii
0.1 总则 ....................................................................................................................................................... ii
0.2 与其他管理体系标准的兼容性 ..................................................................................................... ii
0.3 交流探讨
.............................................................................................................................................. ii
1 范围 .....................................................................................................................................................................1
2 规范性引用文件 ..............................................................................................................................................1
3 术语和定义 .....................................................................................................................................................1
4 组织环境 ............................................................................................................................................................1
4.1 理解组织及其环境 ............................................................................................................................1
4.2 理解相关方的需求和期望 ..............................................................................................................2
4.3 确定信息安全管理体系范围 .........................................................................................................2
4.4 信息安全管理体系 ............................................................................................................................2
5 领导作用 ............................................................................................................................................................2
5.1 领导作用和承诺 ................................................................................................................................2
5.2 方针 .......................................................................................................................................................3
5.3 组织角色、职责和权限...................................................................................................................3
6 策划 .....................................................................................................................................................................3
6.1 应对风险和机遇的措施...................................................................................................................3
6.1.1 总则 ..........................................................................................................................................3
6.1.2 信息安全风险评估 ..............................................................................................................4
6.1.3 信息安全风险处置 ..............................................................................................................4
6.2 信息安全目标及其实现的策划 .....................................................................................................5
6.3 变更策划 ..............................................................................................................................................5
7 支持 .....................................................................................................................................................................5
7.1 资源 .......................................................................................................................................................5
7.2 能力 .......................................................................................................................................................6
7.3 意识 .......................................................................................................................................................6
7.4 沟通 .......................................................................................................................................................6
7.5 文件化信息 ..........................................................................................................................................6
7.5.1 总则 ..........................................................................................................................................6
7.5.2 创建和更新 ............................................................................................................................6
7.5.3 文件化信息的控制 ..............................................................................................................7
8 运行 .....................................................................................................................................................................7
8.1 运行策划与控制 ................................................................................................................................7
8.2 信息安全风险评估 ............................................................................................................................7
8.3 信息安全风险处置 ............................................................................................................................7
9 绩效评价 ............................................................................................................................................................8
9.1 监视、测量、分析和评价 ..............................................................................................................8
9.2 内部审核 ..............................................................................................................................................8
GB/T22080/ISO/IEC27001:2022(中文学习稿/划线标注版本变化)
2
9.2.1 总则 ..........................................................................................................................................8
9.2.2 内部审核方案 .......................................................................................................................8
9.3 管理评审 ..............................................................................................................................................9
9.3.1 总则 ..........................................................................................................................................9
9.3.2 管理评审输入 .......................................................................................................................9
9.3.3 管理评审结果 .......................................................................................................................9
10 改进 ...................................................................................................................................................................9
10.1 持续改进 ............................................................................................................................................9
10.2 不符合和纠正措施 .........................................................................................................................9
附录 A(规范性附录) 信息安全控制参考 ............................................................................................ 11
参考文献 .............................................................................................................................................................. 18
GB/T22080/ISO/IEC27001:2022(中文学习稿/划线标注版本变化)
i
前言
ISO(国际标准化组织)和 IEC(国际电工委员会)构成了世界标准化特定体系。作为
ISO 或 IEC 成员的国家机构通过各自组织为处理特定技术活动领域而设立的技术委员会参
与制定国际标准。ISO 和 IEC 技术委员会在共同关心的领域合作。与 ISO/IEC 联络的其他
国际组织、政府或非政府组织也参与了这项工作。
本文件及后续的开发与保持过程运用 ISO/IEC 指令第 1 部分,特别注意的是,不同类
型的文件需要不同的批准标准。本文件是按照 ISO/IEC 指令第 2 部分的编辑规则起草的
(见 www.iso.org/directives or www.iec.ch/members_experts/refdocs)。
注意本文件中的某些要素可能涉及到专利权的主题。ISO 和 IEC 不负责识别任何或所
有的这些专利权。在文件编制时确定的任何专利权的细节会在专利声明和或在 ISO 专利清
单中获取(见 www .iso .org/ patents)或 IEC 专利清单(见
https://patents.iec.ch)。
在本文件中使用的任何商品名都是为了方便用户而提供的信息,并不构成背书。
关于标准自愿性质的解释、ISO 特定术语和合格评定的相关表达的含义、以及关于在
技术性贸易壁垒 (TBT) 中遵守世界贸易组织 (WTO) 原则的信息见
www.iso.org/iso/foreword.html,在 IEC,见 www.iec.ch/understanding-standards.
本文件由 ISO/IEC JTC 1 技术委员会 SC 27,信息安全、网络安全和隐私保护信息技
术分委员会编写。
第三版文件经过技术性修订,取消和替代了第二版(ISO/IEC 27001:2013),也包括
ISO/IEC 27001:2013/C 或-1:2014 及 ISO/IEC 27001:2013/C 或-2:2015 的一些技术性勘
误。
主要修订如下:
——文本与管理体系标准的协调结构及 ISO/IEC 27002:2022 保持一致。
本文件的任何反馈与问题宜直接与用户的国家标准机构联络。这些成员的完整列表可
在 www.iso.org/members.html 或 www.iec.ch/national-committees 查找。
GB/T22080/ISO/IEC27001:2022(中文学习稿/划线标注版本变化)
ii
引言
0.1 总则
本文件提供了建立、实施、维护和持续改进信息安全管理体系的要求。采用信息安全
管理体系是组织的一项战略决策。组织信息安全管理体系的建立和实施受组织的需求和目
标、信息安全要求、组织使用的过程、规模和结构的影响。所有这些影响因素都会随着时
间而发生变化。
信息安全管理体系通过实施风险管理过程来保持信息的保密性、完整性和可用性,并
为相关方树立风险得到充分管理的信心。
重要的是,信息安全管理体系是组织过程和整体管理结构的一部分并且融入其中,并
且在过程、信息系统和控制的设计中要考虑到信息安全。期望的是,信息安全管理体系的
实施程度应与组织的需求相符合。
本文件可被内部或外部各方用于评估组织的能力是否满足自身的信息安全要求。
本文件中所表述要求的顺序不反映各要求的重要性或暗示这些要求予以实现的顺序。
条款的编号仅是为了参考。
ISO/IEC 27000 描述了信息管理体系的概要和词汇,引用了信息安全管理体系标准族
(包括 ISO/IEC 27003,ISO/IEC 27004 及 ISO/IEC 27005)及相关的术语和定义。
0.2 与其他管理体系标准的兼容性
本文件应用 ISO/IEC 合并导则附录 SL 第 1 部分中定义的高阶结构,相同的条款标题、
相同的文本、通用术语和核心定义,因此维护了与其他采用附录 SL 的管理体系标准具有兼
容性。
附录 SL 中定义的通用途径对于选择实施单一管理体系来满足两个或以上管理体系标准
要求的组织是有用的。
0.3 交流探讨
本文件翻译时,为区别 ISO/IEC27001:2022 与 2013 版本,其中变化的部分用下划线标
出。另外为方便与其他管理体系标准间的兼容性理解,个别词汇采用了与 GB/T22080-2016
不同的表示,如:“purpose”采用“宗旨”而非“意图”,“responsibilities”采用“职责”
而非“责任”等。新版国家标准 GB/T22080 正式发布后以其为准。
本文件由逯伟防组织翻译,仅限于相关人员学习交流,非商用,欢迎探讨。反馈可发
邮件 lwf000@126.com 或微信公众号“新版 ISO 管理体系标准解读”(luweifang9001)。
剩余22页未读,继续阅读
资源评论
u014082947
- 粉丝: 0
- 资源: 2
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功