国际性的 标准化的
第三版2022-10
信息安全、网络安全和隐私保护.信息安全管理系统.要求
信息安全、网络安全和隐私保护
ISO/IEC 2022
受作者权利保护的文档(PDF)
ISO/IEC 2022
保留权利.除非另有规定,或在其实施过程中有要求,否则未经事先通知,不得以任何形式或任何电子或机械方式(包括复印)复制或使用本的任何部分,书面许可.可通过以下地址向ISO或申请人所在国家的ISO成员机构
第 401 章 Blandonnet 8 CH- 1214Vermier,日内瓦copyright@ 网站 : 电话: * 0111电子邮件:
ww.jso.om
张贴在瑞士
202310
内容
序言四引言v1 范围12 规范性参考文献术语和定义14 4.1了解组织及其环境1 组织的背景4.2了解利益相关者的需求和期望4.3信息安全管理体系范围的确定 4.4信息安全管理体系25 领导力25.1领导力和承诺2 5.2政策35.3组织的职能、责任和权限6 6.1应对风险和机遇的行动3 规划36.1.1 概述36.1.2信息安全风险评估 6.1.3信息安全风险的处理6.2信息安全目标和实现这些目标的规划7.1资源67.2竞争67.3意识6 7.4通信67.5文件化信息 7.5.1 概述67.5.2创建和更新77.5.3文件化信息的控制8 8.1运营规划和控制 操作78.3信息安全风险的处理 8.2信息安全风险评估6 绩效评估9.1监测、测量、分析和评价8 9.2内部审计9.2.1概述 89.3管理层审查 9.2.2内部审计计划9.3.1 概述 9 9.3.2管理层审查的条目9.3.3管理评审的结果10 改进1010.1 10.2 持续改进 不符合项和纠正措施
附录A(规范性)信息安全控制参考书目19
前言
ISO(国际标准化组织)和IEC(国际电工委员会)形成了全球标准化的专业体系.作为ISO或IEC成员的国家机构通过各自组织为处理特定技术活动领域而设立的技术委员会参与国际标准的制定.ISO和IEC的技术委员会在共同感兴趣的领域进行合作.与ISO和IEC协调的其他国际政府和非政府组织也参与了这项工作.
用于制定本文件的程序和用于后续文件的程序ISO/IEC指令第1部分中描述了维护.特别是,应考虑到不同类型文件所需的不同批准标准,本文件是根据ISO/IEC指令第2部分的编辑规则编写的(参见 directivas 或 ) .
需要注意的是,本文件中的某些要素可能受到专利权的保护.ISO和IEC不负责识别任何或专利权.在本文件编 制过程中确定的任何专利权的详细信息将在引言和/或ISO收到的专利声明列表(参见
本文档中使用的任何商品名称均为方便用户而提供的信息,并不构成认可.
有关标准自愿性的解释、与符合性评估相关的ISO特定术语和表述的含义,以及ISO遵守世界贸易组织(WTO)关于技术性贸 易壁垒(TBT)原则的信息,请访问
本文件由ISO/IEC联合技术委员会JTC1(信息技术)、小组委员会SC27(信息安全、网络安全和隐私保护)编制
第三版取消并取代了第二版(ISO/EC27001:2013),后者已进行了技术修订.它还纳入了ISO/IEC27001: 2013/Cor1:2014和ISO/IEC27001:2013/Cor2:2015技术修正案.
主要变更如下:
-文本已与管理体系标准的协调结构和ISO/IEC27002:2022保持一致.
有关本文件的任何意见或问题应直接向用户的国家标准机构这些机构的完整名单可在
介绍
0.1将军
个组织的信息安全管理体系的建立和实施受组织的需求和目标、安全要求、所采用的组织流程以及组织的规模和结构的影响.预计这些影响因素都会随着时间的推移而改变
信息安全管理体系通过应用风验管理流程来保护信息的机密性、完整性和可用性,并使利益相关方相信风验得到了适当的管理.
重要的是,信息安全管理体系应成为组织整体管理结构和流程的一部分,并与之整合,在流程、信息系统和控制措施的 设计中应考虑信息安全信息安全管理系统的实施预计将根据组织的需要进行扩展
本文档可供内部和外部各方用于评估组织满足组织自身信息安全
本文档中提出要求的顺序并不反映其重要性,也不暗示其实施顺序列表中的项目仅供参考.
ISO/IEC27000描述了信息安全管理体系的一般描述和词汇,参考了信息安全管理体系标准系列(包括ISO/IEC27003(2]、ISO/IEC27004[3和ISO/IEC27005[4])以及相关术语和定义
0.2与其他管理体系标准的兼容性
本文件采用ISO/IEC指令第1部分综合ISO补充附录SL中定义的高级结构、相同的子条款标题、相网的文本、通用术语和基本定义,因此保持与其他管理体系标准的兼容性他们通过了附录SL.
附录SL中定义的通用方法对于选择运行符合两个或多个管理体系标准要求的单一管理体系的组织非常有用.
