Information technology -- Security techniques -- Information security management systems --Requirements

信息技术—安全技术—信息安全管理体系—要求

该标准源于BS7799-2，主要提出ISMS的基本要求，已于2005年10月正式发布。

标准介绍：

ISO27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量，例如简单的情形可采用简单的ISMS解决方案。

ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据，无论是组织自我评估还是评估供方能力，都可以采用，也可以用作独立第三方认证的依据。

标准目录：

0 简介

 0.1总则

 0.2过程方法

 0.3与其它管理体系的兼容性

1 范围

2 引用标准

3 术语和定义

4 信息安全管理体系

 4.1总要求

 4.2 建立和管理ISMS

  4.2.1建立ISMS

  4.2.2实施并运作ISMS

  4.2.3监控并评审ISMS

  4.2.4保持并持续改进ISMS

 4.3 文件要求

  4.3.1文件要求-总则

  4.3.2文件控制

  4.3.3记录控制

5 管理职责

 5.1管理承诺

 5.2 资源管理

  5.2.1资源管理-资源提供

  5.2.2培训、意识和能力

6 内部信息安全管理体系审核

7 信息安全管理体系管理评审

 7.1总则

 7.2评审输入

 7.3评审输出

8 信息安全管理体系改进

 8.1持续改进

 8.2纠正措施

 8.3预防措施

附录A (规范性) 控制目标和控制措施

附录B (参考性) OECD 准则和本国际标准

附录C (参考性) 本标准与ISO9001:2000、ISO14001：2004 标准的对应关系

参考书目