ISO 27001:2013 信息安全管理体系新标准解读

ISO 27001:2013 非正式版本中文版知识点总结 ISO 27001 是国际标准化组织（ISO）发布的一种信息安全管理体系（ISMS）标准，旨在帮助组织建立和实施信息安全管理系统，以确保信息资产的安全。2013 年，ISO 发布了 ISO 27001 的新版本，ISO 27001:2013。下面是对 ISO 27001:2013 非正式版本中文版的知识点总结： 1. 引言（0） * ISO 27001:2013 的目的：确保组织的信息资产安全 * ISO 27001:2013 的适用范围：适用于所有类型和规模的组织 2. 规范性引用（2） * ISO 27001:2013 参考了其他相关的国际标准和规范 3. 术语和定义（3） * 信息安全：保护信息免受未经授权的访问、泄露、破坏、修改或抹除 * 信息安全管理体系（ISMS）：一种系统方法来管理和减少信息安全风险 4. 组织的背景（4） * 了解组织现状及背景：了解组织的信息安全风险和需求 * 理解相关方的需求和期望：了解相关方对信息安全的需求和期望 * 确定 ISMS 的范围：确定 ISMS 的边界和范围 5. 领导力（5） * 领导力的重要性：领导者的承诺和支持对于 ISMS 的成功实施至关重要 * 方针：制定信息安全方针，确保组织的信息资产安全 * 角色、责任和承诺：明确各个部门和员工的角色和责任 6. 计划（6） * 处理风险和机遇的行动：识别和评估信息安全风险，制定相应的风险处理计划 * 信息安全风险评估：评估信息安全风险，确定风险等级和优先级 * 信息安全风险处置：制定风险处置计划，减少或消除风险 7. 支持（7） * 资源：提供必要的资源，确保 ISMS 的实施 * 能力：确保员工具备信息安全管理的能力和知识 * 意识：提高员工对信息安全的意识和责任感 * 文档化信息：制定和维护信息安全相关的文档 8. 运行（8） * 运行计划及控制：制定和实施信息安全运行计划，确保信息安全 * 信息安全风险评估：定期评估信息安全风险，确保风险处置计划的有效性 * 信息安全风险处置：实施风险处置计划，减少或消除风险 9.绩效评价（9） * 监控、度量、分析和评价：监控和评价 ISMS 的实施效果，确保信息安全 * 内部审核：进行内部审核，确保 ISMS 的实施符合要求 * 管理评审：进行管理评审，确保 ISMS 的实施符合要求 10. 改进（10） * 不符合及纠正措施：识别和纠正 ISMS 实施中的不符合项 * 持续改进：不断改进 ISMS，确保信息安全 ISO 27001:2013 新版本的特点： * 采用 ISO 导则 83 做结构性要求 * 从 8 个章节扩展到 10 个章节 * 重新构建了 ISO 标准 PDCA 的章节架构 * 将在 ISO 其他标准改版中普遍采用 ISO 27001:2013 的实施意义： * 帮助组织建立和实施信息安全管理系统 * 确保信息资产的安全 * 提高组织的信息安全意识和责任感 * 符合相关的国际标准和规范