【信息安全】-ISO/IEC 27001-2022(翻译)

news2024/12/23 18:54:23

文章目录

    • 范围
    • 规范性引用文件
    • 3 术语和定义
    • 4 组织环境(P)
      • 4.1 理解组织及其环境
      • 4.2 理解相关方的需求和期望
        • 组织应确定:
          • a) 信息安全管理体系相关方;
          • b) 这些相关方的相关要求;
          • c) 哪些要求可以通过信息安全管理体系得到解决。
          • 注:相关方的要求可包括法律、法规要求和合同义务
      • 4.3 确定信息安全管理体系范围
        • 在确定范围时,组织应考虑:
          • a) 4.1 中提到的外部和内部事项;
          • b) 4.2 中提到的要求;
          • c) 组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关系。
          • 该范围应形成文件化信息并可用。
      • 4.4 信息安全管理体系
    • 5 领导作用(P)
      • 5.1 领导和承诺
      • 5.2 方针
      • 5.3 组织的角色、职责和权限
    • 6 策划(P)
      • 6.1 应对风险和 机会的措施
        • 6.1.1 总则
        • 6.1.2 信息安全风险评估
        • 6.1.3 信息安全风险处 置
      • 6.2 信息安全目标及其实现策划
      • 6.3 变更的策划
    • 7 支持(P)
      • 7.1 资源
      • 7.2 能力
      • 7.3 意识
      • 7.4 沟通
      • 7.5 文件信息
        • 7.5.1 总则
        • 7.5.2 创建和更新
        • 7.5.3 文件化信息的控 制
    • 8 运行(D)
      • 8.2 信息安全风险评估
      • 8.3 信息安全风险处置
    • 9 绩效评价(C)
      • 9.1 监 视、测量、分析和评价
      • 9.2 内部审核
        • 9.2.1 总则
        • 9.2.2 内部审核方案
      • 9.3 管理评审
        • 9.3.1 总则
        • 9.3.2 管理评审输入
        • 9.3.3 管理评审输出
    • 10 改进(A)
      • 10.1 持续改进
      • 10.2 不符合及纠正措施
    • 附录 A

范围

本文件规定了在组织的环境下建立、运行、维护、持续 改进信息安全管理体系的要求。本文件还包括根据组织需求 裁切的信息安全风险评估和处理的要求。本文件中所列的要 求是通用的,适用于各种类型、规模和性质的组织。组织声 称符合本文件时,不能排除第 4 章到第 10 章中所规定的任 何要求。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期 的引用文件,仅注日期的版本适用于本文件。凡是不注日期 的引用文件,其最新版本(包括所有的修改单)适用于本文件。

ISO/IEC27000,信息技术 — 安全技术 — 信息安全管 理体系 — 概述和词汇

3 术语和定义

ISO/IEC27000 界定的术语和定义适用于本文件。

ISO 和 IEC 维护的用于标准化的术语数据库地址如下:

— ISO在线浏览平台:https://www.iso.org/obp
— IEC Electropedia: available at https://www.electropedia.org/
— IEC电子开放平台:https://www.electropedia.org/

4 组织环境(P)

4.1 理解组织及其环境

组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

注:对这些事项的确定,参见 ISO31000:2018[5],5.4.1 中建立外部和内部环境的内容。

4.2 理解相关方的需求和期望

组织应确定:
a) 信息安全管理体系相关方;
b) 这些相关方的相关要求;
c) 哪些要求可以通过信息安全管理体系得到解决。
注:相关方的要求可包括法律、法规要求和合同义务

4.3 确定信息安全管理体系范围

组织应确定信息安全管理体系的边界及其适用性,以建立其范围。

在确定范围时,组织应考虑:
a) 4.1 中提到的外部和内部事项;
b) 4.2 中提到的要求;
c) 组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关系。
该范围应形成文件化信息并可用。

4.4 信息安全管理体系

组织应按照本文件的要求,建立、实现、维护和持续改进信息安全管理体系,包括信息安全管理体系所需的过程及其相互作用。

5 领导作用(P)

5.1 领导和承诺

最高管理层应通过以下活动,证实对信息安全管理体系的领导和承诺:

a) 确保建立了信息安全方针和信息安全目标,并与组织战略方向一致;
b) 确保将信息安全管理体系要求整合到组织过程中;
c) 确保信息安全管理体系所需资源可用;
d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性;
e) 确保信息安全管理体系达到预期结果;
f) 指导并支持相关人员为信息安全管理体系的有效性做出贡献;
g) 促进持续改进;以及
h) 支持其他相关管理角色,以证实他们的领导按角色应用于其责任范围。

注:本文件使用的“业务”一词可广义地理解为涉及组织存在目的的核心活动。

5.2 方针

最高管理层应建立信息安全方针,该方针应:

a) 与组织意图相适宜;
b) 包括信息安全目标(见 6.2)或为设定信息安全目标提供框架;
c) 包括对满足适用的信息安全相关要求的承诺;
d) 包括对持续改进信息安全管理体系的承诺。

信息安全方针应:
e) 形成文件化信息并可用;
f) 在组织内得到沟通;
g) 适当时,对相关方可用。

5.3 组织的角色、职责和权限

最高管理层应确保与信息安全相关角色的责任和权限 在组织内得到分配和沟通。

最高管理层应分配责任和权限,以:
a) 确保信息安全管理体系符合本文件的要求;
b) 向最高管理者报告信息安全管理体系绩效。

注:最高管理层也可为组织内报告信息安全管理体系绩 效,分配职责和权限。

6 策划(P)

6.1 应对风险和 机会的措施

6.1.1 总则

当策划信息安全管理体系时,组织应考虑 4.1 中提到的事项和 4.2 中提到的要求,并确定需要应对的风险和机会, 以:

a) 确保信息安全管理体系可达到预期结果;
b) 预防或减少不良影响;
c) 达到持续改进。
组织应策划:
d) 应对这些风险和机会的措施;以及
e) 如何:

  1. 将这些措施整合到信息安全管理体系过程中,并予以实现;以及
  2. 评价这些措施的有效性。
6.1.2 信息安全风险评估

组织应定义并应用信息安全风险评估过程,以:
a) 建立并维护信息安全风险准则,包括:

  1. 风险接受准则;以及
  2. 信息安全风险评估实施准则。

b) 确保反复的信息安全风险评估产生一致的、有效的和 可比较的结果。

c) 识别信息安全风险:

  1. 应用信息安全风险评估过程,以识别信息安全管理 体系范围内与信息保密性、完整性和可用性损失有关的风险; 以及
  2. 识别风险责任人。

d) 分析信息安全风险:

  1. 评估 6.1.2 c) 1)中所识别的风险发生后,可能导致 的潜在后果;
  2. 评估6.1.2c)1)中所识别的风险实际发生的可能性;
  3. 确定风险级别。

e) 评价信息安全风险:

  1. 将风险分析结果与 6.1.2 a)中建立的风险准则进行比较;以及
  2. 为风险处置排序已分析风险的优先级。

组织应保留有关信息安全风险评估过程的文件化信息。

6.1.3 信息安全风险处 置

组织应定义并应用信息安全风险处置过程,以:

a) 在考虑风险评估结果的基础上,选择适合的信息安全 风险处置选项;
b) 确定实现已选的信息安全风险处置选项所必需的所有控制;

注 1:当需要时,组织可设计控制,或识别来自任何来源的控制。
c) 将 6.1.3 b)确定的控制与附录 A 中的控制进行比较, 并验证没有忽略必要的控制;

注2:附录 A 包含了可能需要的信息安全控制列表。本 文件用户可在附录 A 的指导下,确保没有遗漏必要的信息 安全控制。

注3:附录 A 所列的信息安全控制并不是完备的,如果 有需要,可以包含额外的信息安全控制。

d) 制定一个适用性声明(SOA),其包含:
— 必要的控制(见 6.1.3 b) 和 c));
— 其选择的合理说明;
— 无论该必要的控制是否已实现;以及
— 及对附录 A 控制删减的合理性说明。

e) 制定正式的信息安全风险处置计划;
f) 获得风险责任人对信息安全风险处置计划以及对信 息安全残余风险的接受的批准。

组织应保留有关信息安全风险处置过程的文件化信息。

注 4:本文件中的信息安全风险评估和处置过程与 ISO31000[5]中给出的原则和通用指南相匹配。

6.2 信息安全目标及其实现策划

组织应在相关职能和层级上建立信息安全目标。
信息安全目标应:
a) 与信息安全方针一致;
b) 可测量(如可行);
c) 考虑适用的信息安全要求,以及风险评估和风险处置的结果;
d) 予以监视;
e) 予以沟通;
f) 适时更新;
g) 形成文件化信息并可用。

组织应保留有关信息安全目标的文件化信息。

在策划如何达到信息安全目标时,组织应确定:
h) 要做什么;
i) 需要什么资源;
j) 由谁负责;
k) 什么时候完成;
l) 如何评价结果。

6.3 变更的策划

当组织确定需要对信息安全管理体系进行变更时,变更 应按所策划的方式实施。

7 支持(P)

7.1 资源

组织应确定并提供建立、实现、维护和持续改进信息安 全管理体系所需的资源。

7.2 能力

组织应:
a) 确定在组织控制下从事会影响组织信息安全绩效的 工作人员的必要能力;
b) 确保上述人员在适当的教育、培训或经验的基础上能 够胜任其工作;
c) 适用时,采取措施以获得必要的能力,并评估所采取 措施的有效性;
d) 保留适当的文件化信息作为能力的证据。

注:适用的措施可包括,例如针对现有雇员提供培训、 指导或重新分配;或者雇佣或签约有能力的人员。

7.3 意识

在组织控制下工作的人员应知晓:
a) 信息安全方针;
b) 其对信息安全管理体系有效性的贡献,包括改进信息 安全绩效带来的益处;以及
c) 不符合信息安全管理体系要求带来的影响。

7.4 沟通

组织应确定与信息安全管理体系相关的内部和外部的 沟通需求,包括:

a) 沟通什么;
b) 何时沟通;
c) 与谁沟通;
d) 如何沟通。

7.5 文件信息

7.5.1 总则

组织的信息安全管理体系应包括:
a) 本文件要求的文件化信息;以及
b) 为信息安全管理体系的有效性,组织所确定的必要的 文件化信息。

注:不同组织有关信息安全管理体系文件化信息的详略 程度可以是不同的,这是由于:

  1. 组织的规模及其活动、过程、产品和服务的类型;
  2. 过程及其相互作用的复杂性;以及
  3. 人员的能力。
7.5.2 创建和更新

创建和更新文件化信息时,组织应确保适当的:

a) 标识和描述(例如标题、日期、作者或引用编号);
b) 格式(例如语言、软件版本、图表)和介质(例如纸质的、 电子的);
c) 对适宜性和充分性的评审和批准。

7.5.3 文件化信息的控 制

信息安全管理体系及本文件所要求的文件化信息应得 到控制,以确保:

a) 在需要的场合和时机,均可获得并适用;
b) 得到充分的保护(如避免保密性损失、不恰当使用、完 整性损失等)。

为控制文件化信息,适用时,组织应进行以下活动:
c) 分发,访问,检索和使用;
d) 存储和保护,包括保持可读性;
e) 控制变更(例如,版本控制);以及
f) 保留和处置。

对于组织确定的策划和运行信息安全管理体系所必需 的来自外部的文件化信息,组织应进行适当识别,并予以控 制。

注:对文件化信息的“访问”可能意味着仅允许查阅,或者意味着允许查阅并授权修改等其他权限。

8 运行(D)

8.1 运行策划和控制

为了满足要求以及实施条款 6 中确定的措施,组织应通 过以下措施对所需的过程进行策划、实施和控制:

— 建立过程准则;
— 按照准则实施过程控制;

文件化信息应在必要的程度上予以保持,以确信这些过 程按策划得到执行。

组织应控制策划的变更,评审非预期变更的后果,必要 时,采取措施减轻不利影响。

组织应确保外部提供的,且与信息安全管理体系有关的 过程、产品或服务受到控制。

8.2 信息安全风险评估

组织应考虑 6.1.2 a)所建立的准则,按策划的时间间隔, 或当重大变更提出或发生时,执行信息安全风险评估。

组织应保留信息安全风险评估结果的文件化信息。

8.3 信息安全风险处置

组织应实施信息安全风险处置计划。

组织应保留信息安全风险处置结果的文件化信息。

9 绩效评价(C)

9.1 监 视、测量、分析和评价

组织应确定:
a) 需要被监视和测量的内容,包括信息安全过程和控制;
b) 适用的监视、测量、分析和评价的方法,以确保得到有效的结果。所选的方法宜产生可比较和可再现的有效结果。
c) 何时应执行监视和测量;
d) 应由谁来监视和测量;
e) 何时应分析和评价监视和测量的结果;
f) 应由谁来分析和评价这些结果。

适当的文件化信息应予以保留,以作为结果的证据。

组织应评价信息安全绩效以及信息安全管理体系的有 效性。

9.2 内部审核

9.2.1 总则

组织应按照策划的时间间隔进行内部审核,以提供有关 信息安全管理体系的下列信息:

a) 是否符合:

  1. 组织自身对信息安全管理体系的要求;
  2. 本文件的要求;

b) 是否得到有效的实施和保持。

9.2.2 内部审核方案

组织应策划、建立、实施和保持一项或多项审核方案,其中包括频率、方法、责任、策划要求和报告。

建立内部审核方案时,组织应考虑到有关过程的重要性和以前审核的结果。

组织应:
a) 定义每次审核的审核准则和审核范围;
b) 选择审核员并实施审核,以确保审核过程的客观性和公正性;
c) 确保将审核结果报告至相关管理层。

文件化信息应予以保留,以作为审核方案实施和审核结 果的证据。

9.3 管理评审

9.3.1 总则

最高管理层应按照策划的时间间隔对组织的信息安全 管理体系进行评审,以确保其持续的适宜性、充分性和有效 性。

9.3.2 管理评审输入

管理评审应考虑:
a) 以往管理评审所采取措施的情况;
b) 与信息安全管理体系相关的内外部事项的变化;
c) 与信息安全管理体系相关的相关方需求和期望的变 化;
d) 有关信息安全绩效的反馈,包括以下方面的趋势:

  1. 不符合和纠正措施;
  2. 监视和测量结果;
  3. 审核结果;
  4. 信息安全目标完成情况;

e) 相关方反馈;
f) 风险评估结果及风险处置计划的状态;
g) 持续改进的机会。

9.3.3 管理评审输出

管理评审的结果应包括与持续改进机会相关的决定以 及变更信息安全管理体系的任何需求。

文件化信息应予以保留,以作为管理评审结果的证据。

10 改进(A)

10.1 持续改进

组织应持续改进信息安全管理体系的适宜性、充分性和 有效性。

10.2 不符合及纠正措施

当发生不符合时,组织应:
a) 对不符合做出反应,适用时:

  1. 采取措施,以控制并予以纠正;
  2. 处置后果;

b) 通过以下活动,评价采取消除不符合原因的措施的需 求,以防止不符合再发生,或在其他地方发生:

  1. 评审不符合;
  2. 确定不符合的原因;以及
  3. 确定类似的不符合是否存在,或可能发生;

c) 实施任何需要的措施;
d) 评审任何所采取的纠正措施的有效性;以及
e) 必要时,对信息安全管理体系进行变更。

纠正措施应与所遇到的不符合的影响相适合。

文件化信息应予以保留,以作为以下方面的证据:
f) 不符合的性质及所采取的任何后续措施;
g) 任何纠正措施的结果。

附录 A

参考信息安全控制

表 A.1 所列的信息安全控制是直接源自并与 ISO/IEC 27002:2022[1]第 5 章~第 8 章相对应,并在 6.1.3 环境中被使用。

表 A.1 — 信息安全控制
file
file
file

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1303813.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

MyBatisPlus简介

1 简介 MyBatis-Plus(简称 MP)是一个 MyBatis的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。 2、特性 无侵入 只做增强不做改变,引入它不会对现有工程产生影响,如丝般顺滑…

《IT圈里的“鄙视链”:看不起谁又被谁看不起?》

文章目录 每日一句正能量前言一、编程语言篇二、工具篇三、操作系统篇四、硬件篇五、职场篇后记 每日一句正能量 人的结构就是相互支撑,众人的事业需要每个人的参与。 前言 每个领域都存在着错综复杂的鄙视链,这一点在IT 领域更为突出。从编程语言、工具&#xff0…

SD生成的图像不清晰,如何解决

文生图 选择高清修复: 几点注意 重绘幅度:这里不用太高,他会根据你生成的低分辨率图像,生成高分辨率的图像,可以选择0.3~05之间,给AI跟多想象力空间可以选择0.5 ~ 0.7。太低边缘模糊,太高了可能…

Layui深入

1、代码&#xff1a; <!DOCTYPE html> <html> <head> <meta charset"utf-8"> <title>注册页面</title> <style> .container { max-width: 600px; margin: 0 auto; padding: 20px; …

14-Kafka-Day02

第 4 章 Kafka Broker 4.1 Kafka Broker 工作流程 4.1.1 Zookeeper 存储的 Kafka 信息 &#xff08;1&#xff09;启动 Zookeeper 客户端。 bin/zkCli.sh 因为你在配置kafka的时候指定了它的名字。 &#xff08;2&#xff09;通过 ls 命令可以查看 kafka 相关信息。 [zk: …

InsCode实践分享:如何实现自动化代码审查和质量控制?

文章目录 文章目录 概要 整体架构流程 InsCode的解释 技术展示 小结 概要 InsCode是一款面向中小型企业的代码审查和自动化质量控制工具。本文将分享如何使用InsCode来实现自动化代码审查和质量控制&#xff0c;帮助企业在代码开发和维护过程中降低风险&#xff0c;提高效率和…

Java最全面试题专题---2、Java集合容器(1)

集合容器概述 什么是集合 **集合框架&#xff1a;**用于存储数据的容器。 集合框架是为表示和操作集合而规定的一种统一的标准的体系结构。 任何集合框架都包含三大块内容&#xff1a;对外的接口、接口的实现和对集合运算的算法。 **接口&#xff1a;**表示集合的抽象数据类…

基于springboot实现的人力资源管理系统

一、系统架构 前端&#xff1a;html | js | css | jquery | bootstrap 后端&#xff1a;springboot | mybatis 环境&#xff1a;jdk1.7 | mysql | maven 二、代码及数据库 三、功能介绍 01. 登录页 02. 首页 03. 员工管理 04. 奖惩管理 05. 合同管理 06. 薪酬管理 07.…

Python从入门到精通五:Python函数

函数介绍 学习目标&#xff1a; 快速体验函数的使用了解函数的作用 函数&#xff1a;是组织好的&#xff0c;可重复使用的&#xff0c;用来实现特定功能的代码段。 我们使用过的&#xff1a;input()、print()、str()、int()等都是Python的内置函数。 为什么要学习、使用函…

WPS没保存关闭了怎么恢复数据?3个方法,完成数据恢复!

“我今天在使用WPS时&#xff0c;突然有点急事出去了一趟&#xff0c;但是我忘记保存文档了&#xff0c;回来之后发现电脑自动关机了&#xff0c;我的文档也没了&#xff01;这可怎么办呢&#xff1f;有什么办法可以找回这些数据吗&#xff1f;” 在快节奏的工作中&#xff0c;…

软件科技成果鉴定测试有什么好处?注意事项有哪些?

软件科技成果鉴定测试是指对软件科技成果进行检测和评估的过程。通过这个测试&#xff0c;可以评估软件科技成果的技术水平、功能性能以及可靠性&#xff0c;并为相关单位和个人提供科学的评价依据。    一、进行软件科技成果鉴定测试有以下好处&#xff1a;   1、客观评价…

专业的内外网文件摆渡系统,如何帮助企业提升协作效率?

伴随着全球数字化转型的持续深入&#xff0c;数字经济的蓬勃发展&#xff0c;数据资产已成为非常重要的生产要素。近年来&#xff0c;全球数据泄密事件频发&#xff0c;数据泄密事件的平均成本逐年攀升。考虑到业务安全需要&#xff0c;绝大多数企业会考虑网络隔离&#xff0c;…

功能有更新 | Bonree ONE 权限版本新增环境、资源域、角色概念

近期&#xff0c;博睿数据根据一体化智能可观测平台 Bonree ONE 产品本身&#xff0c;以及用户反馈进行持续的更新和优化。继第01期 RUM 增强 APP 端快照配置全量会话回放与自定义协议网络请求采集功能之后&#xff0c;以下为 Bonree ONE 产品功能更新报告第02期内容&#xff0…

SpringCloud微服务(简略笔记二)

Docker 概念 docker和虚拟机的差异 * docker是一个系统进程&#xff1b;虚拟机是在操作系统中的操作系统 * docker体积小&#xff0c;启动速度&#xff0c;性能好&#xff0c;虚拟机体积大&#xff0c;启动速度慢&#xff0c;性能一般 镜像和容器 镜像&#xff08;image&…

QT 基础篇

目录 QPushButton QT帮助文档 QT 对象树 QPushButton QPushButton是Qt图形界面控件中的一种&#xff0c;看英文的意思&#xff0c;他就是按钮&#xff0c;是最基本的图形控件之一。在我们的最基本的项目中&#xff0c;运行: 是一个空白的窗体&#xff0c;里面什么也没有&am…

LED透镜粘接UV胶是一种特殊的UV固化胶

LED透镜粘接UV胶是一种特殊的UV固化胶&#xff0c;用于固定和粘合LED透镜。 它具有以下特点&#xff1a; 1. 高透明度&#xff1a;LED透镜粘接UV胶具有高透明度&#xff0c;可以确保光线的透过性&#xff0c;不影响LED的亮度和效果。 2. 快速固化&#xff1a;经过UV紫外线照射…

ICC2:low power与pg strategy(pg_std_cell_conn)

我正在「拾陆楼」和朋友们讨论有趣的话题,你⼀起来吧? 拾陆楼知识星球入口 以low power复杂设计为例,power rail是如何产生的: set pd_list{{DEFAULT_VA VDD_DIG VDD_DIG VSS} {PD_DSP VDD_DIG VDD_DSP VSS} } ;#两个电源域,DEFAULT_VA和PD_DSP是对应voltage area名字,…

【华为数据之道学习笔记】3-10元数据管理架构及策略

元数据管理架构包括产生元数据、采集元数据、注册元数据和运 维元数据。 产生元数据&#xff1a; 制定元数据管理相关流程与规范的落地方案&#xff0c;在IT产品开发过程中实现业务元数据与技术元数据的连接。 采集元数据&#xff1a; 通过统一的元模型从各类IT系统中自动采集元…

贪心算法:理论基础 分发饼干 摆动序列 最大子序和

理论基础 什么是贪心算法&#xff1f; 贪心的本质是选择每一阶段的局部最优&#xff0c;从而达到全局最优。什么时候用贪心算法&#xff1f; 贪心算法并没有固定的套路。唯一的难点就是如何通过局部最优&#xff0c;推出整体最优。如何验证可不可以用贪心算法&#xff1f; 最…

恢复出厂设置后在 Android 上恢复照片的 6 种常用方法

恢复出厂设置可帮助您删除电子设备的所有信息并将其恢复到原始系统状态。但是&#xff0c;如果您不小心按下了恢复出厂设置按钮并从 Android 设备中删除了所有难忘的照片&#xff0c;该怎么办&#xff1f;好吧&#xff0c;您无需担心&#xff0c;因为可以通过以下一些方法来恢复…