信息安全管理体系领导和承诺

导读：　信息安全管理体系领导和承诺篇一《ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求 中文版(正式发布版)》 ...

以下是中国招生考试网www.chinazhaokao.com为大家整理的《信息安全管理体系领导和承诺》，希望大家能够喜欢！更多资源请搜索成考报名频道与你分享！

信息安全管理体系领导和承诺篇一
《ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求 中文版(正式发布版)》

ISO/IEEC 27001:2013

3(CN)

国际际标准 ISSO/IEEC 27001

第二二版

2013-10-01

中文翻译译版

老李飞飞刀

信

术——

—安全全技术术———

信全管理理体系系——

—要求求

     

  信息技

信息安     

 

               

目录 

 .......................................................................................................................................................... 1 0 介绍 .............................................................................................................................................. 4 1 范围 .............................................................................................................................................. 5 2 引用标准....................................................................................................................................... 5 3 术语与定义 ................................................................................................................................... 5 

4.1组织环境 ............................................................................................................................. 5 

4.2理解相关方的需求和期望 ................................................................................................. 5 

4.3明确信息安全管理体系的范围 ......................................................................................... 6 

4.4信息安全管理体系 ............................................................................................................. 6 5 领导 .............................................................................................................................................. 6 

5.1领导和承诺 ......................................................................................................................... 6 

5.2方针 .................................................................................................................................... 6 

5.3组织角色、职责和权力 ..................................................................................................... 7 6 计划 .............................................................................................................................................. 7 

6.1处置风险和机遇 ................................................................................................................. 7 

6.2信息安全目标的计划和实现 ............................................................................................. 9 7 支持 .............................................................................................................................................. 9 

7.1资源 .................................................................................................................................... 9 

7.2能力 .................................................................................................................................... 9 

7.3意识 .................................................................................................................................. 10 

7.4沟通 .................................................................................................................................. 10 

7.5文档要求 ........................................................................................................................... 10 8 实施 ............................................................................................................................................ 11 

8.1运行计划和控制 ............................................................................................................... 11 

8.2信息安全风险评估 ........................................................................................................... 11 

8.3信息安全风险处置 ........................................................................................................... 12 9 绩效评价 .................................................................................................................................... 12 

9.1监视、测量、分析和评价 ............................................................................................... 12 

9.2内部审核 ........................................................................................................................... 12 

9.3管理评审 ........................................................................................................................... 13 10 改进 .......................................................................................................................................... 13 

10.1不符合项和纠正措施 ..................................................................................................... 13 10.2持续改进......................................................................................................................... 14 附录A ............................................................................................................................................. 15  

 

 

 

 

 

 

 

 

 

 翻译说明  

继ISO/IEC 27000系列标准于2005年发布之后，经过漫长的8年，终于等来了ISO27001第二版。相比第一个版本，ISO27001:2013有了很大改进，值得学习和应用。（2013版的具体改进及变化的分析参见老李的《ISO27001:2013 信息安全管理国标新版解读精要》。

写此文时坊间已有标准的数个中文译本，多是出于个别安全公司或咨询公司手笔，但笔者阅读后发现这些译本错漏较多，想到这可能误导广大标准学习的后来者，不利祖国的信息安全建设，老李不禁忧心忡忡。为了便于国内读者的学习和使用正规的标准，笔者2014春节期间翻译了本中文版本。笔者虽实操标准多年，但深知学无止境，追求完美不易。如有错漏，欢迎各位安全界同仁不吝指正。在此感谢Srxh1314提的部分修订意见。

声明：本文仅供读者阅读学习之用，请阅后即焚。未经授权，不得用于任何商业目的。

译者：

老李飞刀，邮箱：46040336@qq.com。老李近期研究方向为新版ISO27000标准族、体系一体化整合、安全管理平台化。对此有同好者可加本人微信46040336或进群210674629共同探讨。

 

  

Information technology-Security techniques- Information security management systems-Requirements 0 介绍  

0.1总则

本国际标准为组织建立、实施、维护和持续改进信息安全管理体系（ISMS）提出相关要求。采用ISMS是组织的一项战略决策。组织ISMS的设计和实施受组织的战略决策、组织需求、目标、安全需求以及工作流程和组织规模等因素的影响。上述因素会随着时间不断发生变化。 信息安全管理体系通过实施风险管理过程来保护组织信息的机密性、完整性和可用性，对风险进行充分的管理并为相关方带来信心。

信息安全管理体系是组织整体管理架构和管理流程的组成部分。组织在进行流程、信息系统、控制措施设计过程中均应考虑信息安全。

本国际标准可以用于内部或外部机构用于对组织的信息安全管理能力进行评估以确认其是否满足组织自身的信息安全需求。

本标准附录中列举的控制措施的先后顺序不代表其重要程度或实施的先后顺序要求。列表编号顺序只做参考用途。

ISO/IEC 27000描述了信息安全管理体系的综述和术语，参考了信息安全管理体系标准族（包括ISO/IEC 27003W, ISO/IEC 27004[3] 和 ISO/IEC 27005[4])的相关名词解释和定义。 0.2 与其他管理体系的兼容性

本国际标准采用了标准化的ISO Annex SL通用架构，采用此架构的好处在于将各标准的要求以统一的架构进行描述。保持了与其他管理体系的兼容性，有利于不同管理体系进行接轨和整合。

1 范围  

本国际标准规定了在组织内部建立、实施、维护和持续改进信息安全管理体系的要求。本国际标准还包括了组织进行评估和处置信息安全风险的要求。在本国际标准中规定的要求是通用的，适用于各种类型、规模或性质的组织。当组织宣布符合本国际标准，对于4到10章节的任何条款的删减是不可接受的。

2 引用标准 

下面是本标准的规范性引用文件。凡注明日期的引用文件，仅该引用的版本适用。没有注明日期的引用文件，则引用文件的最新版本（包括任何修订后的版本）适用。 ISO/IEC 27000，信息技术-安全技术-信息安全管理体系概述和术语 3 术语与定义  

ISO/IEC 27000中的术语与定义适用于本标准。

4.1组织环境

以上就是中国招生考试网http://www.chinazhaokao.com/带给大家的精彩成考报名资源。想要了解更多《信息安全管理体系领导和承诺》的朋友可以持续关注中国招生考试网，我们将会为你奉上最全最新鲜的成考报名内容哦! 中国招生考试网，因你而精彩。

相关热词搜索：领导安全承诺书 安全管理承诺书 信息安全管理承诺书