国际标准 ISO/IEC 27001 第二版 2013-10-01 中文翻译版 第 0.1 版 2013-10-17 信息技术——安全技术—— 信息安全管理体系——要求 m o c . 5 h t i g b u 参考号 ISO/IEC 27001:2013（E） ©ISO/IEC 2013 m o c . 5 b u h t i g 受版权保护的文档 ©ISO/IEC 2013 保留所有权利。除非另有说明，未经事先书面许可，不得通过任何形式或手段进行复制或利 用本出版物的任何部分内容，包括电子、机械、影印，或张贴在互联网或企业内部网上。可 通过下面所列的 ISO 组织地址或 ISO 成员机构获得许可。 ISO 版权办公室 Case postale 56 • CH-1211 Geneva 20 电话：+ 41 22 749 01 11 传真：+ 41 22 749 09 47 电子信箱：[email protected] 网址：www.iso.org 瑞士出版 翻译说明 继ISO/IEC 27000系列文件于2005年发布之后，历经8年的时间，ISO组织终于在日前发 布了2013新版。关注ISO/IEC 27000系列国际标准的读者可以学习并参阅该标准。 为了便于国内读者的阅读和使用，笔者团队利用业余时间自行翻译了本中文版本。因团 队水平有限，其中错误和遗漏之处在所难免。欢迎各位安全界同仁批评指正。 声明：若因阅读、使用本文而给读者造成的任何形式的损失，本团队不承担任何责任。 本中文版文件的著作权归本团队所有。本文仅供网上阅读学习之用，亦可通过电子文件 复制的方式进行传播。未经授权，不得用于任何商业目的。 翻译团队： m o c . 5 齐芳 邮箱：[email protected] 陆辉 邮箱：[email protected] 刘凯 b u 邮箱：[email protected] 蔡昆 h t i g 邮箱：[email protected] 贡献者: 付峥 邮箱：[email protected] 徐特 邮箱：[email protected] 目录 0 介绍 ............................................................................... xxxv 1 范围 .................................................................................. 1 2 规范性引用 ............................................................................ 1 3 术语与定义 ............................................................................ 1 4 组织的环境 ............................................................................ 1 4.1 理解组织及环境.................................................................. 1 4.2 理解相关方的需求和期望.......................................................... 1 4.3 明确信息安全管理体系的范围...................................................... 1 4.4 信息安全管理体系................................................................ 2 5 领导 .................................................................................. 2 5.1 领导与承诺 ..................................................................... 2 5.2 方针 ........................................................................... 2 5.3 组织角色、职责和权力............................................................ 2 6 计划 .................................................................................. 3 6.1 处置风险和机遇的活动............................................................ 3 6.2 信息安全目标和实施计划.......................................................... 4 7 支持 .................................................................................. 5 7.1 资源 ........................................................................... 5 7.2 能力 ........................................................................... 5 7.3 意识 ........................................................................... 5 7.4 沟通 ........................................................................... 5 7.5 文档信息 ....................................................................... 5 8 操作 .................................................................................. 6 8.1 操作规划和控制.................................................................. 6 8.2 信息安全风险评估................................................................ 7 8.3 信息安全风险处置................................................................ 7 9 绩效评价 .............................................................................. 7 9.1 监测、测量、分析和评价.......................................................... 7 9.2 内部审核 ....................................................................... 7 9.3 管理评审 ....................................................................... 8 10 改进 ................................................................................. 8 10.1 不符合情况和改正措施........................................................... 8 10.2 持续改进 ...................................................................... 9 附录 A（引用）参考控制目标和控制措施 ................................................... 10 参考书目............................................................................... 20 h t i g b u m o c . 5 前言 国际标准化组织（ISO）是由各国标准化团体（ISO 成员团体）组成的世界性的联合会。制 定国际标准工作通常由 ISO 的技术委员会完成。各成员团体若对某技术委员会确定的项目感兴 趣，均有权参加该委员会的工作。与 ISO 保持联系的各国际组织（官方的或非官方的）也可参 加有关工作。ISO 与国际电工委员会（IEC）在电工技术标准化方面保持密切合作的关系。在信 息技术领域，ISO 和 IEC 设立了一个联合技术委员会，ISO/IEC JTC 1。 国际标准是根据 ISO／IEC 导则第 2 部分的规则起草。 技术委员会的主要任务是制定国际标准。由技术委员会通过的国际标准草案提交各成员团 体投票表决。国际标准草案需取得至少 75%参加表决成员团体的同意，才能作为国际标准正式发 布。 m o c . 5 本文件中的某些内容有可能涉及一些专利权问题，对此应引起注意，ISO 不负责识别任何这 样的专利权问题。 本经过技术修订的第二版将取代（ISO/IEC 27001:2005）第一版。 h t i g b u ISO/IEC 27001:2013(E) 0 介绍 0.1 总则 本国际标准为组织建立、实施、维护和持续改进信息安全管理体系提出了要求。一个 组织的战略决策、组织需求、目标、安全需求以及工作流程和组织规模等因素将直接影响 到组织如何建立和实施信息安全管理体系。以上这些影响因素也将会随着时间而发生改变。 信息安全管理体系通过实施风险管理过程控制以及