信息安全,网络安全与隐私保护 信息安全管理体系 要求
中文试译稿v1.1翻译汤季洪
目录
前言.
3 术语和定义 5
4.1 理解组织及其环境 74.2 理解相关方的需求和期望, 74.3 确定信息安全管理体系范围 74.4 信息安全管理体系. .8
5.1 领导和承诺. .95.2 方针..5.3 组织的角色,责任和权限, ...10
6.1 应对风险和机会的措施. ..16.2 信息安全目标及其实现规划, ...36.3 变更规划 ..14
7 支持, ...16
7.1 资源. ..167.2 能力. ...167.3 意识... ...167.4 沟通. ..177.5 文件化信息, ...7
8.1 运行规划和控制 .208.2 信息安全风险评估, .208.3 信息安全风险处置, .20
9.1 监视、测量、分析和评价 .229.2 内部审核 ..229.3 管理评审 23
10改进. 2610.1持续改进. .2610.2不符合及纠正措施, ...26附录A(规范性附录)信息安全控制参考 28参考文献.. 37
前言
ISO(国际标准化组织)和IEC(国际电工委员会)构成了全球标准化的专门体系.作为ISO或IEC成员的国家机构通过各自组织建立的技术委员会参与国际标准的制定,以处理特定领域的技术活动.ISO和IEC技术委员会在共同感兴趣的领域进行合作.与ISO和IEC保持联系的其他政府和非政府国际组织也参与此项工作.
本标准的程序.特别是,应注意不同类型的文件需要不同的审批标准.本标准根据ISO/IEC导则第2部分的编辑规则起草(参见 ).
请注意,本标准中的某些内容可能是专利权的主题.ISO和IEC不负责识别任何或此类专利权.在文档开发过程中确定的任何专利权的详细信息将在引言和/或收到的ISO专利声明列表中列出(参见
本标准中使用的任何商品名称都是为了方便用户而提供的信息,并不构成认可.
有关标准的自愿性质的解释、与合格评定相关的ISO特定术语和表述的含义,以及有关ISO遵守《技术性贸易壁垒(TBT)中遵守世界贸易组织(WTO)原则》的信息,请参见
本标准由ISO/IECJTC1联合技术委员会信息技术分委员会SC27信息安全、网络安全和隐私保护编写.
第三版取消并取代了已经过技术修订的第二版(ISO/IEC27001:2013),并
包含其技术勘误ISO/IEC27001:2013/Cor1:2014和ISO/IEC27001:2013/Cor2:2015.
主要变化如下:
一行文与管理体系标准的协调结构和ISO/IEC27002:2022保持一致.
关于本标准的任何或问题应提交给用户的国家标准机构.这些机构的完整清单可在以下网址找到:
