HLS
1 范围
2 规范性引用文件
3 术语和定义
4 组织和环境
5 领导
6 规划
7 支持
8 运行
9 绩效评价
10 改进
1 范围
本标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。
本标准还包括了根据组织需求所裁剪的信息安全风险评估和处置的要求。
本标准规定的要求是通用的,适用于各种类型、规模或性质的组织。
当组织声称符合本标准时,不能排除第4章到第10章中所规定的任何要求。
2 规范性引用文件
3 术语和定义
4 组织环境
4.1 理解组织及其环境
组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
4.2 理解相关方的需求和期望
4.3 确定信息安全管理体系范围
4.4 信息安全管理体系
5 领导
5.1 领导和承诺
5.2 方针
5.3 组织的角色,责任和权限
6 规划
6.1 应对风险和机会的措施
6.1.1 总则
6.1.2 信息安全风险评估
c 组织应定义并应用信息安全风险评估过程,以识别信息安全风险
d 分析信息安全风险
e 评价信息安全风险
6.1.3 信息安全风险处置
6.2 信息安全目标及其实现规划
组织应在相关职能和层级上建立信息安全目标。
组织并保留有关信息安全目标的文件化信息。
7 支持
7.1 资源
组织应确定并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。
7.2 能力
组织应:
a 确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力;
b 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;
c 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;
d 保留必要的文件化信息作为能力的证据。
7.3 意识
在组织控制下工作的人员应了解
a 信息安全方针;
b 其对信息安全管理有效性的贡献,包括改进信息安全绩效带来的益处;
c 不符合信息安全管理体系要求带来的影响。
7