该标准提供了建立、实施和改进信息安全管理体系(ISMS)的要求,适用于不同规模和类型的组织。它涵盖了ISMS的范围、领导、规划、支持、运行、绩效评价和改进等方面,强调了风险管理、资源分配、人员能力、沟通、文件管理以及运行控制的重要性,旨在确保信息安全和持续改进。
HLS
1 范围
2 规范性引用文件
3 术语和定义
4 组织和环境
5 领导
6 规划
7 支持
8 运行
9 绩效评价
10 改进
1 范围
本标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。
本标准还包括了根据组织需求所裁剪的信息安全风险评估和处置的要求。
本标准规定的要求是通用的,适用于各种类型、规模或性质的组织。
当组织声称符合本标准时,不能排除第4章到第10章中所规定的任何要求。
2 规范性引用文件
3 术语和定义
4 组织环境
4.1 理解组织及其环境
组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
4.2 理解相关方的需求和期望
4.3 确定信息安全管理体系范围
4.4 信息安全管理体系
5 领导
5.1 领导和承诺
5.2 方针
5.3 组织的角色,责任和权限
6 规划
6.1 应对风险和机会的措施
6.1.1 总则
6.1.2 信息安全风险评估
c 组织应定义并应用信息安全风险评估过程,以识别信息安全风险
d 分析信息安全风险
e 评价信息安全风险
6.1.3 信息安全风险处置
6.2 信息安全目标及其实现规划
组织应在相关职能和层级上建立信息安全目标。
组织并保留有关信息安全目标的文件化信息。
7 支持
7.1 资源
组织应确定并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。
7.2 能力
组织应:
a 确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力;
b 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;
c 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;
d 保留必要的文件化信息作为能力的证据。
7.3 意识
在组织控制下工作的人员应了解
a 信息安全方针;
b 其对信息安全管理有效性的贡献,包括改进信息安全绩效带来的益处;
c 不符合信息安全管理体系要求带来的影响。
7
最低0.47元/天 解锁文章
扫一扫
1031
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
