信息安全、网络安全和隐私保护- 信息安全管理体系-要求
Information security cybersecurity and privacyprotection -Information security management systems-Requirements
编译樊山
国际标准ISO/IEC27001
信息安全、网络安全和隐私保护-信 息安全管理体系-要求
Information security cybersecurity and privacy protection--Information security management systems-Requirements
本文档仅适用于学习交流,不得用于任何商业用途
翻译:樊山(鹰眼翻译社区)
第三版
2022-10
目录
前言...50.1概述 0.2与其他管理体系标准的兼容性 .5 .51范围 ..62规范性引用文件 .63术语和定义 4组织背景 ..64.1了解组织及其背景. .7 .74.2了解相关方的需求和期望4.3确定信息安全管理系统的范围 .75领导 4.4信息安全管理系统.. ..8 ..85.1领导力和承诺, ..85.2政策 ..6规划.. 5.3组织角色、职责和权限 ..96.1应对风险和机遇的行动 ..9 ..96.1.1-般原则 ..96.1.3信息安全风险处理 6.1.2信息安全风险评估 ..106.2信息安全目标及其实现计划 ..11 126.3变更计划 ..127支持. 137.1资源 ..13 137.2能力 7.3意识 137.4沟通 ..137.5文件化的信息 ..147.5.1-般原则 7.5.2创建和更新 ..14 ..147.5.3文件化信息的控制 148操作... 158.1运营规划和控制 ..15 ..168.3信息安全风险处理 8.2信息安全风险评估 ..169绩效评估 ..169.1监测、测量、分析和评价 169.2内部审计 9.2.1-般原则.. ..17 179.2.2内部审计计划 17
9.3管理评审. 179.3.1一般原则 179.3.2管理评审输入 189.3.3管理评审结果 1810改进.. 10.1持续改进 19 1910.2不符合和纠正措施 19附录A(规范性附录)信息安全控制参考 21参考文献. 31
前言
ISO(国际标准化组织)和IEC(国际电工委员会)构成了全球标准化的专门体系.作为ISO或IEC成员的国家机构通过各自组织为处理特定技术活动领域而设立的技术委员会参与国际标准的制定.ISO和IEC技术委员会在共同感兴趣的领域进行合作.与ISO和IEC保持联系的其他国际组织,包括政府组织和非政府组织也参与了这项工作.
ISO/IEC指令第1部分描述了用于编制本文件的程序及其进一步维护的程序.特别是,应注意不同类型文件所需的不同批准标准.本文件根据ISO/IEC指令第2部分的编辑规则起草(见 . /Directives 或 iee.ch/members experts/refdocs).
请注意,本文件的某些要素可能是专利权的主题.ISO和IEC不对识别任何或此类专利权负责.文件开发过程中确定的任何专利权的详细信息将在引言和/或收到的ISO专利声明列表(见
本文件中使用的任何商品名称都是为方便用户而提供的信息,不构成背书.
有关标准自愿性质的解释、与合格评定相关的ISO特定术语和表达的含义,以及ISO在技术性贸易壁垒(TBT)中遵守世界贸易组织(WTO)原则的信息,请参见. ISO. org/ISO/foreword. html . 在 IEC 中 请参阅 iec. ch/understanding-standards.
本文件由ISO/IECJTC1信息技术联合技术委员会SC27信息安全、网络安全和隐私保护小组委员会编写.
第三版取消并取代了第二版(ISO/IEC27001:2013),该版本已进行了技术修订.它还包含了技术勘误表ISO/IEC27001:2013/Cor 1:2014和ISO/IEC 2.7001:2013/Cor 2:2015.
主要变化如下:
文本已与管理体系标准和ISO/IEC27002:2022的协调结构保持一致.
关于本文件的任何或问题都应提交给用户的国家标准机构.这些机构的完整清单可在 . iso. org/members 上找到. html 和 iee ch/national-mittees.
