ISO27001-2013 信息安全管理体系-中英文对照版

需积分: 10 1 下载量 123 浏览量 更新于2024-07-17 收藏 572KB PDF 举报
"ISO27001-2013 中英文对照.pdf" ISO 27001 是一个国际标准,全称为“Information technology - Security techniques - Information security management systems - Requirements”,即“信息技术 - 安全技术 - 信息安全管理体系 - 要求”。这个标准由国际标准化组织(ISO)和国际电工委员会(IEC)联合制定,其目的是为组织提供一套建立、实施、维护和持续改进信息安全管理体系(ISMS)的框架。 前言部分介绍了ISO和IEC的背景,它们是全球范围内制定标准的专业机构,各国的成员机构通过技术委员会参与到国际标准的制定过程中。当涉及到信息科技领域时,这两个组织共同设立了ISO/IEC JTC1(联合技术委员会1),负责处理与信息技术相关的标准化工作。 ISO 27001标准的核心内容包括以下几个方面: 1. **范围**:定义了ISMS的应用范围,指出它适用于任何希望管理并控制其信息风险的组织,无论其规模大小或行业类型。 2. **规范性引用文件**:列出标准制定过程中参考的其他重要标准和文档,这些文件对理解和实施ISO 27001至关重要。 3. **术语和定义**:定义了标准中使用的专业术语,如“信息安全”、“风险管理”等,以确保统一的理解。 4. **组织背景、范围和合规性**:要求组织应理解其业务环境和相关方的需求,确定ISMS的范围,并确保符合法律法规和其他相关要求。 5. **领导力**:强调高层管理者的责任,包括设定信息安全策略和方向,以及创建信息安全文化。 6. **规划**:涵盖风险评估和风险处理过程,包括风险识别、分析、评价和控制措施的确定。 7. **支持**:涉及资源、意识和培训、信息沟通、文件化信息以及绩效评估等方面,确保ISMS的正常运行。 8. **操作**:规定了实施信息安全控制的活动,包括安全政策、资产管理、访问控制、人员安全、物理和环境安全、通信和操作管理、系统获取、开发和维护、供应商关系等。 9. **绩效评价**:包括监视和测量、内部审核和管理评审,以评估ISMS的性能和持续改进的机会。 10. **改进**:涵盖了不符合项的处理、纠正措施和持续改进的流程,以确保ISMS的持续有效性和适应性。 通过遵循ISO 27001标准,组织可以系统地管理信息安全风险,提高信息资产的保护水平,增强客户信任,同时遵守法律法规要求。实现这一标准的过程通常包括制定信息安全政策、进行风险评估、选择和实施控制措施、定期审计和评审ISMS的有效性。对于寻求认证的组织,还需要经过独立第三方的审核以证明符合标准要求。