IS027001-2022及IS027002-2022信息安全管理体系及信息安全控制指南ISO IEC 27001-2022信息安全管理体系要求引言1范围2引用标准3术语和定义4组织环境4. 1理解组织及其环境4. 2理解相关方的需求和期望4. 3确定信息安全管理体系范围4. 4信息安全管理体系5领导5. 1领导和承诺5. 2方针5. 3组织的角色、责任和权限6. 规划6. 1应对风险和机会的措施..6. 2信息安全目标及其实现规划6. 3变更计划7. 支持7.1资源7. 2能力7. 3意识7. 4沟通7. 5文件化信息8运行第1页共264贝8. 1运行规划和控制8. 2信息安全风险评估8. 3信息安全风险处置9绩效评价9.1监视、测量、分析和评价9. 2内部审核9. 2. 1总则9. 2. 2内部审核项目9. 3管理评审9. 3. 1总则9. 3. 2管理评审输入9. 3. 3管理评审结果10改进10. 1持续改进10. 2不符合及纠正措施附录A (规范性附录)信息安全控制措施参考参考文献IS0/IEC 27001-2022 于 2022 年 10 月发布引言ISO(国际标准化组织)和IEC(国际电工委员会)组成了全球标准化的专业体 系。
ISO或IEC成员的国家机构通过各自组织设立的专门处理特定技术活动领域 的技术委员会参与国际标准的制定ISO和IEC技术委员会在共同感兴趣的领域 进行合作与ISO和IEC保持联系的其他政府和非政府国际组织也参加工作TSO/IEC指令第1部分描述了用于开发本文件的程序和用于进一步维护的程 序特别是,应注意到不同类型文件所需的不同批准标准本文件中使用的任何商品名称仅为方便用户而提供的信息,不构成代言有关标准自愿性的解释、ISO特定术语的含义和与合格评定相关的表述,以 及ISO在技术性贸易壁垒(TBT)中遵守世界贸易组织(WTO)原则的信息本文件由ISO/IEC JTC 1联合技术委员会、信息技术、SC 27小组委员会、 信息安全、网络安全和隐私保护编写第三版取消并取代了经过技术修订的第二版(ISO/IEC 27001:2013) o它还包 含了 1SO/IEC 27001:2013/Cor 1:2014 和 1SO/IEC 27001:2013/Cor 2:2015 技术 勘误表主要变化如下:-条文已与管理体系标准和1S0/IEC 27002:2022的协调结构保持一致关于本文档的任何反馈或问题都应直接向用户的国家标准机构提出。
简介0.1总则本标准用于为建立、实施、保持和持续改进信息安全管理体系提供要求采 用信息安全管理体系是组织的一项战略性决策一个组织信息安全管理体系的建 立和实施受其需要和冃标、安全要求、所采用的过程以及组织的规模和结构的影 响所有这些影响因素会不断发生变化信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可 用性,以充分管理风险并给予相关方信心信息安全管理体系是组织过程和整体管理结构的一部分并与其整合在一起 是非常重要的信息安全在设计过程、信息系统、控制措施时就要考虑信息安 全按照组织的需要实施信息安全管理体系,是本标准所期望的本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全 要求本标准中要求的顺序并不能反映他们的重要性或意味着他们的实施顺序列 举的条目仅用于参考目的IS0/IEC 27000描述了信息安全管理体系的概述和词汇,引用了信息安全管 理体系标准家族(包括 IS0/TEC 27003 [2L IS0/IEC 27004⑶和 TS0/TEC 27005 图),以及相关术语和定义第5页共264页0.2与其他管理体系标准的兼容性本文件采用IS0/IEC指令第1部分ISO综合补充附件SL中定义的高级结构、 相同的子条款标题、相同的文本、通用术语和核心定义,因此保持与釆用附件 SL的其他管理体系标准的兼容性。
附件SL中定义的这种通用方法对于那些选择使用单一管理系统来满足两种 或两种以上管理系统标准要求的组织是有用的信息安全、网络安全和隐私保护-信息安全管理系统-要求1范围本标准从组织环境的角度,为建立、实施、运行、保持和持续改进信息安全 管理体系规定了要求本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求 本标准规定的要求是通用的,适用于各种类型、规模和特性的组织组织声称符 合本标准时,对于第4章到第10章的要求不能删减2引用标准下列文件的全部或部分内容在本文件中进行了规范引用,对于其应用是必不 可少的凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期 的引用文件,其最新版本(包括任何修改)适用于本标准ISO/IEC 27000,信息技术安全技术信息安全管理系统概述和词汇3术语和定义ISO/IEC 27000中的术语和定义适用于本标准ISO和IEC在下列地址保存了用于标准化的术语数据库:-ISO浏览平台:可通过https: " ww. iso. org/obp-TEC 百科:可在 https ://ww. electropcdia. org/获得4组织环境4.1理解组织及其环境组织应确定与其宗旨相关并影响其实现信息安全管理体系预期结果能力的 外部和内部问题。
注:确定这些问题涉及到建立ISO 31000:2018⑸的5. 4. 1条所考虑的组织的 外部和内部环境4.2理解有关各方的需要和期望组织应确定:A) 与信息安全管理体系相关的利害关系方;B) 相关方的相关要求;0哪些要求将通过信息安全管理系统解决注:相关方的要求可以包括法律和法规要求以及合同要求义务4. 3确定信息安全管理体系的范围组织应确定信息安全管理体系的边界和适用性,以确定其范围在确定此范围时,组织应考虑:A) 在4. 1中提到的外部和内部问题;B) 在4. 2中提到的要求;C) 由组织执行的活动与由其他组织执行的活动之间的接口和依赖关系范围应文件化并保持可用性4. 4信息安全管理体系组织应按照本文件的要求,建立、实施、保持并持续改进信息安全管理体 系,包括所需的过程及其相互作用5领导5.1领导和承诺最高管理者应通过以下方式展示对信息安全管理体系的领导力和承诺:A)确保建立信息安全政策和信息安全目标,并与组织的战略方向相一致;B)确保将信息安全管理体系要求整合到组织的流程中;C) 确保信息安全管理体系所需资源的可用性:D) 沟通有效信息安全管理和符合信息安全管理体系要求的重要性;E) 确保信息安全管理制度达到预期效果);F) 指导和支持人员为信息安全管理体系的有效性作出贡献;g)促进持续改进;而且H)支持其他相关的管理角色,以展示他们的领导力,因为这适用于他们的责任领 域。
注:本文件中提及的“业务”可以广义地解释为对组织存在的目的具有核心 意义的活动5.2方针高层管理者应建立信息安全方针,以:A) 适合于组织的冃的;B) 包括信息安全目标(见6. 2)或提供设置信息安全目标的框架;0包括满足与信息安全相关的适用要求的承诺;第9页共264页D)包括对持续改进信息安全管理系统的承诺信息安全政策应:E) 文件化并保持可用性;F) 在组织内部进行沟通传达;G) 适当时,对相关方可用5.3组织角色、职责和权限最高管理者应确保分配并传达了信息安全相关角色的职责和权限最高管理者应分配以下职资和权限:A) 确保信息安全管理体系符合本文件的要求;B) 向最高管理者报告信息安全管理体系的执行情况注:最高管理者还可以在组织内部为报告信息安全管理系统的绩效分配职责 和权限6规划6.1应对风险和机遇的措施6. 1. 1总则组织在规划信息安全管理体系时,应考虑4.1中提到的问题和4. 2中提到的要求,并确定需要解决的风险和机会,以:A) 确保信息安全管理体系能够实现其预期结果;B) 防止或减少不良影响;c)实现持续改进组织应规划:D)应对这些风险和机遇的措施;和e)如何1) 整合和实施这些措施并将其纳入信息安全管理体系过程2) 评估这些行动的有效性。
6.1.2信息安全风险评估组织应定义并应用以下信息安全风险评估过程:A)建立并维护信息安全风险标准,包括:1) 风险接受准则;和2) 执行信息安全风险评估的准则;B)确保重复的信息安全风险评估产生一致、有效和可比较的结果;C) 识别信息安全风险:1) 应用信息安仝风险评估流程,识别与信息安仝管理体系范围内信息的保密性、完整性和可用性丧失相关的风险;而且2) 识别风险所有者;D) 分析信息安全风险:1) 评估6.1.2 c) 1)中确定的风险成为现实将会产生的潜在后果;2) 评估6.1.2 c) 1)中确定的风险发生的现实可能性;而且3) 确定风险级别;E) 评估信息安全风险:1) 将风险分析结果与6. 1.2 a)中建立的风险标准进行比较;而且2) 将分析的风险按优先顺序进行风险处理组织应定义并应用风险评估过程,组织应保留有关信息安全风险评估过程的文件化信息6.1.3信息安全风险处理组织应定义并应用信息安全风险处理流程:A)根据风险评估结果,选择适当的信息安全风险处理方案;B)确定实施所选信息安全风险处理方案所需的所有控制措施;注1:组织可以根据需要设计控制措施,或从任何来源识别控制c) 将上述b)中确定的控制与附件A中的控制进行比较,并确认没有遗漏必要的 控制措施;注2:附件A包含可能的信息安全控制的列表。
本文件的使用者请参阅附件A, 以确保没有必要的信息安全控制被忽略注3:附件A所列的信息安全控制并非详尽无遗和附加信息如果需要,可以包括安全控制d) 出具一份适用性声明,其中应包括:-必要的控制(见6.1.3 b)和c));-纳入它们的理由;-是否实施了必要的控制;而旦-排除任何附件A控制的理由E)制定信息安全风险处理方案计划;而且第13页共264页F)获得风险所有者*对信息安全风险处理方案的批准和对剩余信息安全风险的接 受组织应保留有关信息安全风险处理过程的文件化信息注4:本文件中的信息安全风险评估和处理流程符合ISO 31000中提供的原 则和通用指南6. 2信息安全目标和实现目标的规划组织应在相关职能和级别建立信息安全a标信息安全目标应:A) 符合信息安全政策;B) 可测量的(如果可行);C) 考虑适用的信息安全要求,以及风险评估和风险处理的结果;d)被监控;c)沟通传达;F) 适当更新;G) 作为文件信息提供组织应保留关于信息安全目标的文件化信息组织在规划如何实现其信息安全冃标时,应确定:H) 将要做什么;I) 需要什么资源;J) 谁将负责;K) 何时完成;而且D如何评价结果6.3变更计划当组织确定需要变更信息安全管理体系时,应有计划地进行变更。
7支持7.1资源组织应确定并提供信息安全管理体系的建立、实施、维护和持续改进所需 的资源7.2能力组织应:A)确定在其控制下从事影响其信息安全绩效工作的人员的必要能力;B)确保这些人在适当的教育、培训或经验基础上是胜任的;C。