GB/T22080-2016 ISO/IEC27001:2013

该标准提供了建立、实施和改进信息安全管理体系(ISMS)的要求,适用于不同规模和类型的组织。它涵盖了ISMS的范围、领导、规划、支持、运行、绩效评价和改进等方面,强调了风险管理、资源分配、人员能力、沟通、文件管理以及运行控制的重要性,旨在确保信息安全和持续改进。
摘要由CSDN通过智能技术生成

HLS
1 范围
2 规范性引用文件
3 术语和定义
4 组织和环境
5 领导
6 规划
7 支持
8 运行
9 绩效评价
10 改进


1 范围
本标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。
本标准还包括了根据组织需求所裁剪的信息安全风险评估和处置的要求。
本标准规定的要求是通用的,适用于各种类型、规模或性质的组织。
当组织声称符合本标准时,不能排除第4章到第10章中所规定的任何要求。

2 规范性引用文件

3 术语和定义

4 组织环境
4.1 理解组织及其环境
组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
4.2 理解相关方的需求和期望
4.3 确定信息安全管理体系范围
4.4 信息安全管理体系

5 领导
5.1 领导和承诺
5.2 方针
5.3 组织的角色,责任和权限

6 规划
6.1 应对风险和机会的措施
6.1.1 总则
6.1.2 信息安全风险评估
c 组织应定义并应用信息安全风险评估过程,以识别信息安全风险
d 分析信息安全风险
e 评价信息安全风险
6.1.3 信息安全风险处置
6.2 信息安全目标及其实现规划
组织应在相关职能和层级上建立信息安全目标。
组织并保留有关信息安全目标的文件化信息。

7 支持
7.1 资源
组织应确定并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。
7.2 能力
组织应:
a 确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力;
b 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;
c 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;
d 保留必要的文件化信息作为能力的证据。
7.3 意识
在组织控制下工作的人员应了解
a 信息安全方针;
b 其对信息安全管理有效性的贡献,包括改进信息安全绩效带来的益处;
c 不符合信息安全管理体系要求带来的影响。
7

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
### 回答1: GB/T 22081-2016/ISO/IEC 27002:2013是信息技术安全技术规范的标准。该标准是根据ISO和IEC的国际标准相应开发的标准规范,是一份包含信息技术安全管理的最佳实践和建议的文件。它包含了信息安全管理的各个方面,并提供了相应的指导和建议。 该标准主要提供了信息技术安全管理中的控制措施、技术和管理要求,使组织能够确定、实施、监控和改进自己的信息安全管理。这些控制措施涉及到信息安全政策、组织、人员、设备、物理安全、通信安全、访问控制、系统开发、供应商关系管理、安全事件管理等方面。 该标准是信息技术安全管理的公认标准,适用于各种类型、规模和大小组织。在实施信息安全管理体系时,组织可以根据该标准制定相应的控制措施和程序,有效地保护信息资源,防止信息泄露和损失。同时,该标准还可以提高业务合作伙伴和客户对组织信息安全的信任度和满意度,提高组织的商业竞争力和可持续发展能力。 总之,GB/T 22081-2016/ISO/IEC 27002:2013是一份应用广泛的信息技术安全管理标准,它为组织的信息安全管理提供了指导和建议,帮助组织保护信息资源,增加客户信任度,提高商业竞争力。 ### 回答2: GB/T 22081-2016是国家标准的一个版本,它采用的是ISO/IEC 27002:2013标准作为参考。这个标准是信息安全管理系统(ISMS)的一个框架和指南,它提供了关于如何设计、实施、运行、监测、检查、维护和改进信息安全管理系统的指导意见。ISO/IEC 27002标准明确了安全政策、组织、人员、资产管理、访问控制、加密、物理和环境安全、通信和操作安全、系统开发和维护、供应商关系、安全事件管理和业务持续性管理等方面的要求。这些要求是帮助组织确保其信息系统安全的关键因素。 在实际应用过程中,组织可以根据自身的业务和风险特点,有选择地使用ISO/IEC 27002中的控制措施。并且,这个标准也可以作为组织实施其他信息安全管理标准和框架的基础,如PCI DSS、HIPAA等。此外,这个标准还可以帮助组织满足合规性要求,如GDPR、CCPA等个人数据保护法律和法规。 总之,GB/T 22081-2016/ISO/IEC 27002:2013标准是一个很有价值的指南和框架,它为组织提供了实施信息安全管理系统的指导和基础,可以帮助组织更好地保护其信息系统和信息资产。同时,这个标准也可以帮助组织满足合规性要求,遵守适用的法律和法规。 ### 回答3: GB/T 22081-2016/ISO/IEC 27002:2013是信息技术-安全技术-信息安全管理实践指南标准,也称为ISO 27002。该标准是为了帮助组织设计、实现、管理和维护信息安全管理系统而制定的。 该标准包含了信息安全管理的所有方面,包括组织安全、人员安全、物理安全、通信和运营安全、访问控制、系统开发和维护、风险管理和符合要求等方面。标准内容详实,便于各类组织自主实施信息安全管理。 对于企业来说,实施该标准有诸多好处。首先,信息安全管理系统的建立和运行可以帮助企业更好地识别、评估并应对安全风险,保障企业的信息资产安全。其次,ISO 27002标准是国际通用标准,实施这一标准可以提高企业的国际竞争力和声誉。最后,该标准的实施可以加深企业对信息安全管理的认知和了解,为企业的长远发展保驾护航。 综上所述,GB/T 22081-2016/ISO/IEC 27002:2013对于各类组织和企业来说都是一项非常重要的标准,它为信息安全管理提供了全面、系统的指南和要求,实施该标准能够为企业创造出更为安全、可靠的信息安全环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

liguojia1987

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值