没有合适的资源?快使用搜索试试~ 我知道了~
首页ISO_IEC_27003_2017_cn中文版
ISO_IEC_27003_2017_cn中文版
5星 · 超过95%的资源 需积分: 49 154 下载量 162 浏览量
更新于2023-03-16
评论
收藏 527KB PDF 举报
ISO_IEC_27003_2017_cn中文版,当前为最新版,并且为中文版
资源详情
资源评论
资源推荐
ISO/IEC 27003:2017
国际标准
ISO/IEC 27003
第二版
2017-03-01
信息技术-安全技术-信息安全
管理体系-指南
参考编号
ISO/IEC 27003:2017(E)
目录
前言 ........................................................................................................................................................ iv
引言 ......................................................................................................................................................... v
1. 范围 ........................................................................................................................................ 1
2. 规范性引用文件 ................................................................................................................... 1
3. 术语和定义 ........................................................................................................................... 1
4. 组织背景 ............................................................................................................................... 1
4.1. 理解组织及其背景 ...................................................................................................... 1
4.2. 理解相关方的需要和期望 .......................................................................................... 4
4.3. 确定信息安全管理体系的范围 .................................................................................. 6
4.4. 信息安全管理体系 ...................................................................................................... 8
5. 领导 ........................................................................................................................................ 8
5.1. 领导和承诺 ................................................................................................................... 8
5.2. 方针 ............................................................................................................................. 11
5.3. 组织角色、责任和权力 ............................................................................................ 12
6. 规划 ...................................................................................................................................... 14
6.1. 应对风险和机会的行动 ............................................................................................ 14
6.1.1. 总则 ..................................................................................................................... 14
6.1.2. 信息安全风险评估 ............................................................................................ 17
6.1.3. 信息安全风险处置 ............................................................................................ 22
6.2. 信息安全目标和实现目标的计划 ........................................................................... 28
7. 支持 ...................................................................................................................................... 31
7.1. 资源 ............................................................................................................................. 31
7.2. 能力 ............................................................................................................................. 32
7.3. 意识 ............................................................................................................................. 34
7.4. 沟通 ............................................................................................................................. 35
7.5. 文件化信息 ................................................................................................................. 37
7.5.1. 总则 ..................................................................................................................... 37
7.5.2. 创建和更新 ......................................................................................................... 39
7.5.3. 文件化信息的控制 ............................................................................................ 41
8. 运行 ...................................................................................................................................... 42
8.1. 运行规划和控制 ......................................................................................................... 42
8.2. 信息安全风险评估 .................................................................................................... 45
8.3. 信息安全风险处置 .................................................................................................... 46
9. 绩效评价 ............................................................................................................................. 47
9.1. 监视、测量、分析和评价 ........................................................................................ 47
9.2. 内部审核 ..................................................................................................................... 49
9.3. 管理评审 ..................................................................................................................... 53
10. 改进 ...................................................................................................................................... 55
10.1. 不合格和纠正措施 .................................................................................................... 55
10.2. 持续改进 ..................................................................................................................... 58
附录 A (资料) 方针框架 ................................................................................................................. 61
参考书目 .............................................................................................................................................. 64
前言
ISO(国际标准化组织)和 IEC(国际电工委员会)形成了全球标准化专业
系统。作为 ISO 或 IEC 成员的国家机构通过由各自组织设立的技术委员会来参与
国际标准的制定,以处理特定的技术活动领域。ISO 和 IEC 技术委员会在共同关
心的领域进行合作。其他国际组织、政府和非政府组织,通过联络 ISO 和 IEC
也参加了这项工作。在信息技术领域,ISO 和 IEC 建立了联合技术委员会 ISO/IEC
JTC 1。
用于开发本文件的程序和用于进一步维护的程序在 ISO/IEC 准则第 1 部分中
有所描述。特别是应注意不同类型文件所需的不同批准标准。本文件是根据
ISO/IEC 准则第 2 部分的编辑规则(见 www.iso.org/directives)起草的。
请注意本文件的某些内容可能是专利权的主题的可能性。ISO 和 IEC 不负责
确定任何或所有这些专利权。在文件开发过程中确定的任何专利权利的细节将在
引用和/或 ISO 所收到的专利声明列表中(见 www.iso.org/patents)。
本文档中使用的任何商品名称是为了方便用户而提供的信息,不构成背书。
对于标准的自愿性质的解释、与合格评定有关的 ISO 特定术语和表达的含义、
以及关于 ISO 在技术性贸易壁垒(TBT)中遵守世界贸易组织(WTO)原则的信息,
请参阅以下 URL:www.iso.org/iso/foreword.html。
负责本文件的委员会是 ISO/IEC JTC 1 信息技术,小组委员会 SC 27 IT 安
全技术。
本第二版的 ISO/IEC 27003 取消并取代第二版(ISO/IEC 27003:2010),这
是一个较小的修订。
相比以前的版本,主要的变化如下:
— 范围和标题已经改为涵盖 ISO/IEC 27001:2013 的要求的解释和指南,
而不是以前的版本(iso / iec 27001:2005);
— 结构现在与 ISO/IEC 27001:2013 的结构一致,使用户更容易与 ISO/IEC
27001:2013 一起使用;
— 之前的版本有一个带有活动顺序的项目方法。这个版本反而提供对要求
的指南,而不考虑它们实现的顺序。
引言
本文件就 ISO/IEC 27001 中规定的信息安全管理体系(ISMS)的要求提供指
南,并提供有关它们的建议(“should”)、可能性(“can”)和许可(“may”)。
本文档的意图不是要提供关于信息安全所有方面的通用指南。
本文件的第 4 至 10 章映射了 ISO/IEC 27001:2013 的结构。
本文件不增加对 ISMS 及其相关术语和定义的新要求。有关要求和定义,组
织宜参考 ISO/IEC 27001 和 ISO/IEC 27000。实施 ISMS 的组织没有义务遵守本
文档中的指南。
ISMS 强调以下几个阶段的重要性:
— 理解组织的需求和建立信息安全方针和信息安全目标的必要性;
— 评估组织与信息安全相关的风险;
— 实施和运行信息安全过程、控制和其他措施来处理风险;
— 监视和评估 ISMS 的性能和有效性;和
— 实践持续改进。
ISMS 与任何其他类型的管理体系类似,包括以下关键组件:
a) 方针;
b) 有明确责任的人员;
c) 有关以下内容的管理过程:
1) 方针制定;
2) 意识和能力的规定;
3) 规划;
4) 实现;
5) 运行
6) 绩效考核
7) 管理评审;和
8) 改进;及
d) 文件化信息
ISMS 还有其他关键组件,如:
e) 信息安全风险评估;和
剩余69页未读,继续阅读
煜铭2011
- 粉丝: 1081
- 资源: 85
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- ExcelVBA中的Range和Cells用法说明.pdf
- 基于单片机的电梯控制模型设计.doc
- 主成分分析和因子分析.pptx
- 共享笔记服务系统论文.doc
- 基于数据治理体系的数据中台实践分享.pptx
- 变压器的铭牌和额定值.pptx
- 计算机网络课程设计报告--用winsock设计Ping应用程序.doc
- 高电压技术课件:第03章 液体和固体介质的电气特性.pdf
- Oracle商务智能精华介绍.pptx
- 基于单片机的输液滴速控制系统设计文档.doc
- dw考试题 5套.pdf
- 学生档案管理系统详细设计说明书.doc
- 操作系统PPT课件.pptx
- 智慧路边停车管理系统方案.pptx
- 【企业内控系列】企业内部控制之人力资源管理控制(17页).doc
- 温度传感器分类与特点.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论2