1 范围
本标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。本标准还包括了根据组织需求所裁剪的信息安全风险评估和处置的要求。
本标准规定的要求是通用的,适用于各种类型、规模或性质的组织。当组织声称符合本标准时,不能排除第4章到第10章中所规定的任何要求。
2 规范性引用文件
下列文件中对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO/IEC 27000 信息技术 安全技术 信息安全管理体系 概述和词汇(Information technology --Security techniques—Information security management sysytems—Overview and vocabulary)
3 术语和定义
ISO/IEC 27000界定的术语和定义适用于本文件。
4 组织环境
4.1 理解组织及其环境
组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
注:对于这些事项的确定,参见ISO 31000:2009,5.3中建立外部和内部环境的内容。
4.2 理解相关方的需求和期望
组织应确定:
a) 信息安全管理体系相关方;
b) 这些相关方与信息安全相关的要求。
注:相关方的要求可包括法律、法规要求和合同义务。
4.3 确定信息安全管理体系范围
组织应确定信息安全管理体系的边界及其适用性,以建立其范围。
在确定范围时,组织应考虑:
a) 4.1中提到的外部和内部事项;
b) 4.2中提到的要求;
c) 组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关系。
该范围应形成文件化信息并可用。
4.4 信息安全管理体系
组织应按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系。
如有ISO认证、咨询辅导或培训需求,请联系网站在线客服,并说明是在认证服务信息网(www.21cniso.com)上看到的!
全国服务热线:400-886-2040 | 伍老师(QQ:3543664362);叶老师(QQ:860236959)
免责声明:
1、本站文章均转自网络或本站会员发布,本网站文章均注明出处,并不意味着赞同其观点或者已证实内容的真实性;
2、本站对上述所有内容,不提供明示或暗示的担保;
3、本站对上述文章内容、图片、作品等,除根据相关人对其提出确有证据的警告或异议作“移除”处理外,不承担其它任何责任。