GB/T22080-2016 ISO/IEC27001:2013

该标准提供了建立、实施和改进信息安全管理体系(ISMS)的要求,适用于不同规模和类型的组织。它涵盖了ISMS的范围、领导、规划、支持、运行、绩效评价和改进等方面,强调了风险管理、资源分配、人员能力、沟通、文件管理以及运行控制的重要性,旨在确保信息安全和持续改进。
摘要由CSDN通过智能技术生成

HLS
1 范围
2 规范性引用文件
3 术语和定义
4 组织和环境
5 领导
6 规划
7 支持
8 运行
9 绩效评价
10 改进


1 范围
本标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。
本标准还包括了根据组织需求所裁剪的信息安全风险评估和处置的要求。
本标准规定的要求是通用的,适用于各种类型、规模或性质的组织。
当组织声称符合本标准时,不能排除第4章到第10章中所规定的任何要求。

2 规范性引用文件

3 术语和定义

4 组织环境
4.1 理解组织及其环境
组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
4.2 理解相关方的需求和期望
4.3 确定信息安全管理体系范围
4.4 信息安全管理体系

5 领导
5.1 领导和承诺
5.2 方针
5.3 组织的角色,责任和权限

6 规划
6.1 应对风险和机会的措施
6.1.1 总则
6.1.2 信息安全风险评估
c 组织应定义并应用信息安全风险评估过程,以识别信息安全风险
d 分析信息安全风险
e 评价信息安全风险
6.1.3 信息安全风险处置
6.2 信息安全目标及其实现规划
组织应在相关职能和层级上建立信息安全目标。
组织并保留有关信息安全目标的文件化信息。

7 支持
7.1 资源
组织应确定并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。
7.2 能力
组织应:
a 确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力;
b 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;
c 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;
d 保留必要的文件化信息作为能力的证据。
7.3 意识
在组织控制下工作的人员应了解
a 信息安全方针;
b 其对信息安全管理有效性的贡献,包括改进信息安全绩效带来的益处;
c 不符合信息安全管理体系要求带来的影响。
7

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

liguojia1987

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值