安全管理信息系统的特点有/GB/T 22080-2016信息技术 安全技术 信息安全管理体系 要求.pdf_零基础网安入门教程

安全管理信息系统的特点有/GB/T 22080-2016信息技术　安全技术　信息安全管理体系　要求.pdf_零基础网安入门教程

ICS35.040 L80 中华人 民共和 国国家标准/—/ /: 代替 /— 2008信息技术 安全技术信息安全管理体系 要求—— yqy— ( /: , )ISO 2016-08-29发布2017-03-01实施中华人民共和国国家质量监督检验检疫总局发 布中 国 国 家 标 准 化 管 理 委 员 会/— / /: 目次前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 组织环境 ………………………………………………………………………………………………… 1 4.1 理解组织及其环境 ………………………………………………………………………………… 1 4.2 理解相关方的需求和期望 ………………………………………………………………………… 1 4.3 确定信息安全管理体系范围 ……………………………………………………………………… 1 4.4 信息安全管理体系 ………………………………………………………………………………… 2 5 领导 ……………………………………………………………………………………………………… 2 5.1 领导和承诺 ………………………………………………………………………………………… 2 5.2 方针 ………………………………………………………………………………………………… 2,…………………………………………………………………………… 5.3 组织的角色 责任和权限2 6 规划 ……………………………………………………………………………………………………… 2 6.1 应对风险和机会的措施 …………………………………………………………………………… 2 6.2 信息安全目标及其实现规划 ……………………………………………………………………… 4 7 支持 ……………………………………………………………………………………………………… 4 7.1 资源 ………………………………………………………………………………………………… 4 7.2 能力 ………………………………………………………………………………………………… 4 7.3 意识 ………………………………………………………………………………………………… 4 7.4 沟通 ………………………………………………………………………………………………… 4 7.5 文件化信息 ………………………………………………………………………………………… 5 8 运行 ……………………………………………………………………………………………………… 5 8.1 运行规划和控制 …………………………………………………………………………………… 5 8.2 信息安全风险评估 ………………………………………………………………………………… 5 8.3 信息安全风险处置 ………………………………………………………………………………… 6 9 绩效评价 ………………………………………………………………………………………………… 6、 、…………………………………………………………………………… 9.1 监视 测量 分析和评价6 9.2 内部审核 …………………………………………………………………………………………… 6 9.3 管理评审 …………………………………………………………………………………………… 6 10 改进……………………………………………………………………………………………………… 7 10.1 不符合及纠正措施 ………………………………………………………………………………… 7 10.2 持续改进 …………………………………………………………………………………………… 7()…………………………………………………………… 附录规范性附录 参考控制目标和控制A8Ⅰ /—/ /: () /—/—……………………… 附录资料性附录与版对比 2016 () /—/—…………… 附录资料性附录与主要关键词变化 2016 参考文献 …………………………………………………………………………………………………… 21 Ⅱ/— / /: 前言本标准按照 /—给出的规则起草。

GBT1.1 2009本标准代替 /— 《信息技术安全技术信息安全管理体系要求》。 2008/—,:与 2008相比 主要技术变化如下———结构变化见附录NA;———术语变化见附录NB。本标准使用翻译法等同采用/: 《信息技术 安全技术 信息安全管理体系 要ISO 求》。与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:——— /—信息技术 安全技术 信息安全管理体 系 概述 和词 汇 2012( /: , )ISO 本标准做了下列编辑性修改:———增加了资料性附录NA;———增加了资料性附录NB。。。请注意本文件的某些内容可能涉及专利 本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会( /)提出并归口。:、、本标准起草单位 中国电子技术标准化研究院 中电长城网际系统应用有限公司 中国信息安全认、、、、 证中心 山东省标准化研究院 广州赛宝认证中心服务有限公司 北京江南天安科技有限公司 上海三零、、、 卫士信息安全有限公司 中国合格评定国家认可中心 北京时代新威信息技术有限公司 黑龙江电子信、、。

息产品监督检验院 浙江远望电子有限公司 杭州在信科技有限公司:、、、 、 、、、、、本标准主要起草人 上官晓丽 许玉娜 闵京华 尤其 公伟 卢列文 倪文静 王连强 陈冠直、、、、、、、 、、、、 、 。 于惊涛 付志高 赵英庆 卢普明 王曙光 虞仲华 韩硕祥 魏军 程瑜琦 孔祥林 邬敏华 李华 李阳本标准所代替标准的历次版本发布情况为:——— /—。 2008Ⅲ /—/ /: 引言0.1 总则、 、。本标准提供建立 实现 维护和持续改进信息安全管理体系的要求 采用信息安全管理体系是组织。、、 的一项战略性决策 组织信息安全管理体系的建立和实现受组织的需要和目标 安全要求 组织所采用、。。 的过程 规模和结构的影响 所有这些影响因素可能随时间发生变化、,信息安全管理体系通过应用风险管理过程来保持信息的保密性 完整性和可用性 并为相关方树立 风险得到充分管理的信心。,,、重要的是 信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中 并且在过程。, 信息系统和控制的设计中要考虑到信息安全 期望的是 信息安全管理体系的实现程度要与组织的需 要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。。本标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予实现的顺序 条款编号仅 为方便引用。/,(ISO 描述了信息安全管理体系的概要和词汇 引用了信息安全管理体系标准族 包括[][][]/2 、 /3 、 /4 ),。 ISO ISO ISO 以及相关术语和定义 0.2 与其他管理体系标准的兼容性/、、、本标准应用合并导则附录 中定义的高层结构 相同条款标题 相同文本 通用术语和ISO IECSL,。 核心定义 因此维护了与其他采用附录 的管理体系的标准具有兼容性SL附录 中定义的通用途径对于选择运行单一管理体系来满足两个或更多管理体系标准要求的组SL 织是有用的。 Ⅳ/— / /: 信息技术 安全技术信息安全管理体系 要求1 范围、 、。本标准规定了在组织环境下建立 实现 维护和持续改进信息安全管理体系的要求 本标准还包括 了根据组织需求所剪裁的信息安全风险评估和处置的要求。

,、。,本标准规定的要求是通用的 适用于各种类型 规模或性质的组织 当组织声称符合本标准时 不 能排除第 章到第 章中所规定的任何要求。410 2 规范性引用文件。,下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件 仅注日期的版本适用于本文 。,()。 件 凡是不注日期的引用文件 其最新版本 包括所有的修改单 适用于本文件/信息技术 安全技术 信息安全管理体系 概述和词汇(ISO - ———) 3 术语和定义/界定的术语和定义适用于本文件。ISO 4 组织环境 4.1 理解组织及其环境,。组织应确定与其意图相关的 且影响其实现信息安全管理体系预期结果能力的外部和内部事项[]5:,: ,。注 对这些事项的确定 参见 5.3中建立外部和内部环境的内容 4.2 理解相关方的需求和期望组织应确定:) 信息安全管理体系相关方;ab) 这些相关方与信息安全相关的要求。

:、。注 相关方的要求可包括法律 法规要求和合同义务 4.3 确定信息安全管理体系范围,。组织应确定信息安全管理体系的边界及其适用性 以建立其范围,:在确定范围时 组织应考虑)中提到的外部和内部事项;a 4.1) 中提到的要求;b 4.2) 组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关系。c该范围应形成文件化信息并可用。1

~

网络安全学习，我们一起交流

~