iso27001条款.docx

iso27001条款iso27001条款包含中英文双语，以下iso27001条款供学习参考Informationtechnology-Securitytechniques-InformationsecuritymanagementSystems-Requirements信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO（theInternationalOrganizationforStandardization）andIEC（theInternationalElectrotechnicalCommission）formthespecializedsystemforworldwidestandardization.NationalbodiesthataremembersofISOorIECparticipateinthedevelopmentofInternationalStandardsthroughtechnicalcommitteesestablishedbytherespectiveorganizationtodealwithparticularfieldsoftechnicalactivity.ISOandIECtechnicalcommitteescollaborateinfieldsofmutualinterest.Otherinternationalorganizations,governmentalandnon-governmental,inliaisonwithISOandIEC,alsotakepartinthework.Inthefieldofinformationtechnology,ISOandIEChaveestablishedajointtechnicalcommittee,ISO/IECJTC1.ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。国家机构是ISO或IEC的成员，他们通过各自的组织建立技术委员会参与国际标准的制定，来处理特定领域的技术活动。ISO和IEC技术委员会在共同感兴趣的领域合作。其他国际组织、政府和非政府等机构,通过联络ISO和IEC参与这项工作。ISO和IEC已经在信息技术领域建立了一个联合技术委员会IS0IECJTC1oInternationalStandardsaredraftedinaccordancewiththerulesgivenintheISO/IECDirectives,Part2.国际标准的制定遵循ISO/IEC导则第2部分的规则。ThemaintaskofthejointtechnicalcommitteeistoprepareInternationalStandards.DraftInternationalStandardsadoptedbythejointtechnicalcommitteearecirculatedtonationalbodiesforvoting.PublicationasanInternationalStandardrequiresapprovalbyatleast75%ofthenationalbodiescastingavote.联合技术委员会的主要任务是起草国际标准，并将国际标准草案提交给国家机构投票表决。国际标准的出版发行必须至少75%以上的成员投票通过。Attentionisdrawntothepossibilitythatsomeoftheelementsofthisdocumentmaybethesubjectofpatentrights.ISOandIECshallnotbeheldresponsibleforidentifyinganyorallsuchpatentrights.本文件中的某些内容有可能涉及一些专利权问题，这一点应该引起注意。ISo和IEC不负责识别任何这样的专利权问题。ISO/IEC27001waspreparedbyJointTechnicalCommitteeISO/IECJTC1,Informationtechnology,SubcommitteeSC27,ITSecuritytechniques.ISO/IEC27001由联合技术委员会ISO/IECJTC1（信息技术）分委员会SC27（安全技术）起草。Thissecondeditioncancelsandreplacesthefirstedition(ISO/IEC27001:2005),whichhasbeentechnicallyrevised.第二版进行了技术上的修订，并取消和替代第版(ISoAEC27001:2005)。OIntroduction引言1.1 General0.1总则ThisInternationalStandardhasbeenpreparedtoproviderequirementsforestablishing,implementing,maintainingandcontinuallyimprovinganinformationsecuritymanagementsystem.Theadoptionofaninformationsecuritymanagementsystemisastrategicdecisionforanorganization.Theestablishmentandimplementationofanorganizationinformationsecuritymanagementsystemisinfluencedbytheorganization'sneedsandobjectives,securityrequirements,theorganizationalprocessesusedandthesizeandstructureoftheorganization.Alloftheseinfluencingfactorsareexpectedtochangeovertime.本标准用于为建立、实施、保持和持续改进信息安全管理体系提供要求。采用信息安全管理体系是组织的一项战略性决策。一个组织信息安全管理体系的建立和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响。所有这些影响因素会不断发生变化。Theinformationsecuritymanagementsystempreservestheconfidentiality,integrityandavailabilityofinformationbyapplyingariskmanagementprocessandgivesconfidencetointerestedpartiesthatrisksareadequatelymanaged.信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，以充分管理风险并给予相关方信心。Itisimportantthattheinformationsecuritymanagementsystemispartofandintegratedwiththeorganization'sprocessesandoverallmanagementstructureandthatinformationsecurityisconsideredinthedesignofprocesses,informationsystems,andcontrols.Itisexpectedthataninformationsecuritymanagementsystemimplementationwillbescaledinaccordancewiththeneedsoftheorganization.信息安全管理体系是组织过程和整体管理结构的一部分并与其整合在一起是非常重要的。信息安全在设计过程、信息系统、控制措施时就要考虑信息安全。按照组织的需要实施信息安全管理体系，是本标准所期望的。ThisInternationalStandardcanbeusedbyinternalandexternalpartiestoassesstheorganization'sabilitytomeettheorganization'sowninformationsecurityrequirements.本标准可被内部和外部相关方使用，评估组织的能力是否满足组织自身信息安全要求。TheorderinwhichrequirementsarepresentedinthisInternationalStandarddoesnotreflecttheirimportanceorimplytheorderinwhichtheyaretobeimplemented.Thelistitemsareenumeratedforreferencepurposeonly.本标准中要求的顺序并不能反映他们的重要性或意味着他们的实施顺序。列举的条目仅用于参考目的。ISO/IEC27000describestheoverviewandthevocabularyofinformationsecuritymanagementsystems,referencingtheinformationsecuritymanagementsystemfamilyofstandards(includingISO/IEC270032,ISO/IEC270043andISO/IEC270054),withrelatedtermsanddefinitions.ISOIEC27000描述了信息安全管理体系的概述和词汇，参考了信息安全管理体系标准族(包括ISO/IEC27003、ISO/IEC27004和ISo/IEC27005)以及相关的术语和定义。1.2 Compatibilitywithothermanagementsystemstandards0.2与其他管理体系的兼容性ThisInternationalStandardappliesthehigh-levelstructure,identicalsub-clausetitles,identicaltext,commonterms,andcoredefinitionsdefinedinAnnexSLofISO/IECDirectives,Part1,ConsolidatedISOSupplement,andthereforemaintainscompatibilitywithothermanagementsystemstandardsthathaveadoptedtheAnnexSL.本标准应用了ISo/IEC导则第一部分ISO补充部分附录SL中定义的高层结构、相同的子章节标题、相同文本、通用术语和核心定义。因此保持了与其它采用附录SL的管理体系标准的兼容性。ThiscommonapproachdefinedintheAnnexSLwillbeusefulforthoseorganizationsthatchoosetooperateasinglemanagementsystemthatmeetstherequirementsoftwoormoremanagementsystemstandards.附录SL定义的通用方法对那些选择运作单一管理体系(可同时满足两个或多个管理体系标准要求)的组织来说是十分有益的。Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements信息技术-安全技术-信息安全管理体系-要求1 Scope1范围ThisInternationalStandardspecifiestherequirementsforestablishing,implementing,maintainingandcontinuallyimprovinganinformationsecuritymanagementsystemwithinthecontextoftheorganization.本标准从组织环境的角度，为建立、实施、运行、保持和持续改进信息安全管理体系规定了要求。ThisInternationalStandardalsoincludesrequirementsfortheassessmentandtreatmentofinformationsecurityriskstailoredtotheneedsoftheorganization.TherequirementssetoutinthisInternationalStandardaregenericandareintendedtobeapplicabletoallorganizations,regardlessoftype,sizeornature.ExcludinganyoftherequirementsspecifiedinClauses4to10isnotacceptablewhenanorganizationclaimsconformitytothisInternationalStandard.本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求。本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于第4章到第10章的要求不能删减。2 Normativereferences2规范性引用文件Thefollowingdocuments,inwholeorinpart,arenormativelyreferencedinthisdocumentandareindispensableforitsapplication.Fordatedreferences,onlytheeditioncitedapplies.Forundatedreferences,thelatesteditionofthereferenceddocument(includinganyamendments)applies.下列文件的全部或部分内容在本文件中进行了规范引用，对于其应用是必不可少的。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本(包括任何修改)适用于本标准。ISO/IEC27000,InformationtechnologySecuritytechniquesInformationsecuritymanagementsystemsOverviewandvocabularyISO/IEC27000,信息技术一安全技术T言息安全管理体系一概述和词汇3 Termsanddefinitions3术语和定义Forthepurposesofthisdocument,thetermsanddefinitionsgiveninISO/IEC27000apply-ISO/IEC27000中的术语和定义适用于本标准。4Contextoftheorganization4组织环境1.1 Understandingtheorganizationanditscontext1.2 理解组织及其环境Theorganizationshalldetermineexternalandinternalissuesthatarerelevanttoitspurposeandthataffectitsabilitytoachievetheintendedoutcome(s)ofitsinformationsecuritymanagementsystem.组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。NOTEDeterminingtheseissuesreferstoestablishingtheexternalandinternalcontextoftheorganizationconsideredinClause5.3ofISO31000:2009(5.注：确定这些问题涉及到建立组织的外部和内部环境，在ISO31000:20095的5.3节考虑了这一事项。1.3 Understandingtheneedsandexpectationsofinterestedparties1.4 理解相关方的需求和期望Theorganizationshalldetermine:组织应确定：a)interestedpartiesthatarerelevanttotheinformationsecuritymanagementsystem;andb)therequirementsoftheseinterestedpartiesrelevanttoinformationsecurity.a)与信息安全管理体系有关的相关方；b)这些相关方与信息安全有关的要求NOTETherequirementsofinterestedpartiesmayincludelegalandregulatoryrequirementsandcontractualobligations.注：相关方的要求可能包括法律法规要求和合同义务。1.5 Determiningthescopeoftheinformationsecuritymanagementsystem1.6 确定信息安全管理体系的范围Theorganizationshalldeterminetheboundariesandapplicabilityoftheinformationsecuritymanagementsystemtoestablishitsscope.组织应确定信息安全管理体系的边界和适用性，以建立其范围。Whendeterminingthisscope,theorganizationshallconsider:当确定该范围时，组织应考虑：a) theexternalandinternalissuesreferredtoin4.1;b) therequirementsreferredtoin4.2;andc) interfacesanddependenciesbetweenactivitiesperformedbytheorganization,andthosethatareperformedbyotherorganizations.Thescopeshallbeavailableasdocumentedinformation.a）在4.1中提及的外部和内部问题；b）在4.2中提及的要求；c）组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性范围应文件化并保持可用性。1.7 Informationsecuritymanagementsystem1.8 信息安全管理体系Theorganizationshallestablish,implement,maintainandcontinuallyimproveaninformationsecuritymanagementsystem,inaccordancewiththerequirementsofthisInternationalStandard.组织应按照本标准的要求建立、实施、保持和持续改进信息安全管理体系。5 Leadership5.1 5领导5.2 1.eadershipandcommitment5.3 领导和承诺Topmanagementshalldemonstrateleadershipandcommitmentwithrespecttotheinformationsecuritymanagementsystemby:高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺：a) ensuringtheinformationsecuritypolicyandtheinformationsecurityobjectivesareestablishedandarecompatiblewiththestrategicdirectionoftheorganization;b) ensuringtheintegrationoftheinformationsecuritymanagementsystemrequirementsintotheorganization'sprocesses;c) ensuringthattheresourcesneededfortheinformationsecuritymanagementsystemareavailable;d) communicatingtheimportanceofeffectiveinformationsecuritymanagementandofconformingtotheinformationsecuritymanagementsystemrequirements;e) ensuringthattheinformationsecuritymanagementsystemachievesitsintendedoutcome(s);f) directingandsupportingpersonstocontributetotheeffectivenessoftheinformationsecuritymanagementsystem;g) promotingcontinualimprovement;andh) supportingotherrelevantmanagementrolestodemonstratetheirleadershipasitappliestotheirareasofresponsibility.a)确保建立信息安全方针和信息安全目标，并与组织的战略方向保持一致；b)确保将信息安全管理体系要求整合到组织的业务过程中；c)确保信息安全管理体系所需资源可用；d)传达信息安全管理有效实施、符合信息安全管理体系要求的重要性；e)确保信息安全管理体系实现其预期结果；f)指挥并支持人员为信息安全管理体系的有效实施作出贡献；g)促进持续改进；h)支持其他相关管理角色在其职责范围内展示他们的领导力。5.4 Policy5.5 方针Topmanagementshallestablishaninformationsecuritypolicythat:高层管理者应建立信息安全方针，以：a） isappropriatetothepurposeoftheorganization;b） includesinformationsecurityobjectives(see6.2)orprovidestheframeworkforsettinginformationsecurityobjectives;c） includesacommitmenttosatisfyapplicablerequirementsrelatedtoinformationsecurity;d） includesacommitmenttocontinualimprovementoftheinformationsecuritymanagementsystem.Theinformationsecuritypolicyshall:e） beavailableasdocumentedinformation;f） becommunicatedwithintheorganization;andg） beavailabletointerestedparties,asappropriate.a）适于组织的目标；b）包含信息安全目标（见6.2）或设置信息安全目标提供框架；c）包含满足适用的信息安全相关要求的承诺；d）包含信息安全管理体系持续改进的承诺。信息安全方针应：e）文件化并保持可用性；f）在组织内部进行传达；g）适当时，对相关方可用。5.6 Organizationalroles,responsibilitiesandauthorities5.7 组织角色、职责和权限Topmanagementshallensurethattheresponsibilitiesandauthoritiesforrolesrelevanttoinformationsecurityareassignedandcommunicated.高层管理者应确保分配并传达了信息安全相关角色的职责和权限。Topmanagementshallassigntheresponsibilityandauthorityfor:高层管理者应分配下列职责和权限：a） ensuringthattheinformationsecuritymanagementsystemconformstotherequirementsofthisInternationalStandard;andb） reportingontheperformanceoftheinformationsecuritymanagementsystemtotopmanagement.a）确保信息安全管理体系符合本标准的要求；b）将信息安全管理体系的绩效报告给高层管理者。NOTETopmanagementmayalsoassignresponsibilitiesandauthoritiesforreportingperformanceoftheinformationsecuritymanagementsystemwithintheorganization.注：高层管理者可能还要分配在组织内部报告信息安全管理体系绩效的职责和权限。6 Planning6规划6.1 Actionstoaddressrisksandopportunities6.1.1 风险和机会的措施6.1.2 General6.1.3 总贝JWhenplanningfortheinformationsecuritymanagementsystem,theorganizationshallconsidertheissuesreferredtoin4.1andtherequirementsreferredtoin4.2anddeterminetherisksandopportunitiesthatneedtobeaddressedto:当规划信息安全管理体系时，组织应考虑4.1中提及的问题和4.2中提及的要求，确定需要应对的风险和机会，以：a) ensuretheinformationsecuritymanagementsystemcanachieveitsintendedoutcome(s);b) prevent,orreduce,undesiredeffects;andc) achievecontinualimprovement.Theorganizationshallplan:d) actionstoaddresstheserisksandopportunities;ande) howto1) integrateandimplementtheactionsintoitsinformationsecuritymanagementsystemprocesses;2) evaluatetheeffectivenessoftheseactions.a)确保信息安全管理体系能实现其预期结果；b)防止或减少意外的影响；c)实现持续改进。组织应规划：d)应对这些风险和机会的措施；e)如何1)整合和实施这些措施并将其纳入信息安全管理体系过程；2)评价这些措施的有效性。6.1.4 Informationsecurityriskassessment6.1.5 信息安全风险评估Theorganizationshalldefineandapplyaninformationsecurityriskassessmentprocessthat:组织应定义并应用风险评估过程，以：a) establishesandmaintainsinformationsecurityriskcriteriathatinclude:1) theriskacceptancecriteria;and2) criteriaforperforminginformationsecurityriskassessments;b) ensuresthatrepeatedinformationsecurityriskassessmentsproduceconsistent,validandcomparableresults;c) identifiestheinformationsecurityrisks:1) applytheinformationsecurityriskassessmentprocesstoidentifyrisksassociatedwiththelossofconfidentiality,integrityandavailabilityforinformationwithinthescopeoftheinformationsecuritymanagementsystem;and2) identifytheriskowners;d) analysestheinformationsecurityrisks:1) assessthepotentialconsequencesthatwouldresultiftherisksidentifiedin6.1.2c)1)weretomaterialize;2) assesstherealisticlikelihoodoftheoccurrenceoftherisksidentifiedin6.1.2c)1);and3) determinethelevelsofrisk;e) evaluatestheinformationsecurityrisks:1) comparetheresultsofriskanalysiswiththeriskcriteriaestablishedin6.1.2a);and2) prioritizetheanalysedrisksforrisktreatment.Theorganizationshallretaindocumentedinformationabouttheinformationsecurityriskassessmentprocess.a)建立并保持信息安全风险准则，包括：1)风险接受准则；2)执行信息安全风险评估的准则；b)确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果；c)识别信息安全风险：1)应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险；2)识别风险负责人；d)分析信息安全风险：1)评估6.1.2c)1)中所识别风险发生后将导致的潜在影响；2)评估6.1.2c)1)中所识别风险发生的现实可能性；3)确定风险级别；e)评价信息安全风险；1)将风险分析结果同6.1.2a)建立的风险准则进行比较；2)为实施风险处置确定已分析风险的优先级。组织应定义并应用风险评估过程，以：组织应保留信息安全风险评估过程的文件记录信息。6.1.6 Informationsecurityrisktreatment6.1.7 信息安全风险处置Theorganizationshalldefineandapplyaninformationsecurityrisktreatmentprocessto:a)selectappropriateinformationsecurityrisktreatmentoptions,takingaccountoftheriskassessmentresults;b） determineallcontrolsthatarenecessarytoimplementtheinformationsecurityrisktreatmentoption(s)chosen;组织应定义并应用信息安全风险处置过程，以：a)在考虑风险评估结果的前提下，选择适当的信息安全风险处置选项：b）为实施所选择的信息安全风险处置选项，确定所有必需的控制措施：NOTEOrganizationscandesigncontrolsasrequired,oridentifythemfromanysource.注：组织可按要求设计控制措施，或从其他来源识别控制措施。c） comparethecontrolsdeterminedin6.1.3b）abovewiththoseinAnnexAandverifythatnonecessarycontrolshavebeenomitted;c）将6.1.3b）所确定的控制措施与附录A的控制措施进行比较，以核实没有遗漏必要的控制措施；NOTE1AnnexAcontainsacomprehensivelistofcontrolobjectivesandcontrols.UsersofthisInternationalStandardaredirectedtoAnnexAtoensurethatnonecessarycontrolsareoverlooked.NOTE2Controlobjectivesareimplicitlyincludedinthecontrolschosen.ThecontrolobjectivesandcontrolslistedinAnnexAarenotexhaustiveandadditionalcontrolobjectivesandcontrolsmaybeneeded.注1：附录A包含了一份全面的控制目标和控制措施的列表。本标准用户可利用附录A以确保不会遗漏必要的控制措施。注2：控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施，组织也可能需要另外的控制目标和控制措施。d） produceaStatementofApplicabilitythatcontainsthenecessarycontrols（see6.1.3b）andc）andjustificationforinclusions,whethertheyareimplementedornot,andthejustificationforexclusionsofcontrolsfromAnnexA;e） formulateaninformationsecurityrisktreatmentplan;andf） obtainriskowners1approvaloftheinformationsecurityrisktreatmentplanandacceptanceoftheresidualinformationsecurityrisks.Theorganizationshallretaindocumentedinformationabouttheinformationse