引 言
0.1 總則
本標準用于為建立、實施、運行、監視、評審、保持和改進信息安全管理體系（Information Security
Management System，簡稱 ISMS）提供模型。采用 ISMS 應當是一個組織的一項戰略性決策。一個組織
的 ISMS 的設計和實施受其需要和目標、安全要求、所采用的過程以及組織的規模和結構的影響，上述
因素及其支持系統會不斷發生變化。按照組織的需要實施 ISMS，是本標準所期望的，例如，簡單的情
況可采用簡單的 ISMS 解決方案。
本標準可被內部和外部相關方用于一致性評估。
0.2 過程方法
本標準采用一種過程方法來建立、實施、運行、監視、評審、保持和改進一個組織的 ISMS。
一個組織必須識別和管理眾多活動使之有效運作。通過使用資源和管理，將輸入轉化為輸出的任意
活動，可以視為一個過程。通常，一個過程的輸出可直接構成下一過程的輸入。
一個組織內諸過程的系統的運用，連同這些過程的識別和相互作用及其管理，可稱之為“過程方法”。
本標準中提出的用于信息安全管理的過程方法鼓勵其用戶強調以下方面的重要性：
a) 理解組織的信息安全要求和建立信息安全方針與目標的需要；
b) 從組織整體業務風險的角度，實施和運行控制措施，以管理組織的信息安全風險；
c) 監視和評審 ISMS 的執行情況和有效性；
d) 基于客觀測量的持續改進。
本標準采用了“規劃（Plan）-實施（Do）-檢查（Check）-處置（Act）”（PDCA） 模型，該模型
可應用于所有的 ISMS 過程。圖 1 說明了 ISMS 如何把相關方的信息安全要求和期望作為輸入，并通過
必要的行動和過程，產生滿足這些要求和期望的信息安全結果。圖 1 也描述了 4、5、6、7 和 8 章所提
出的過程間的聯系。
采用 PDCA 模型還反映了治理信息系統和網絡安全的 OECD 指南（2002 版）1中所設置的原則。本
標準為實施 OECD 指南中規定的風險評估、安全設計和實施、安全管理和再評估的原則提供了一個強
健的模型。
例 1：某些信息安全缺陷不至于給組織造成嚴重的財務損失和/或使組織陷入困境，這可能是一種要
求。
例 2：如果發生了嚴重的事故——可能是組織的電子商務網站被黑客入侵——應有經充分培訓的員
工按照適當的程序，將事件的影響降至最小。這可能是一種期望。
0.3 與其它管理體系的兼容性
本標準與 GB/T 19001-2000 及 GB/T 24001-1996 相結合，以支持與相關管理標準一致的、整合的實 施和運行。因此，一個設計恰當的管理體系可以滿足所有這些標準的要求。表 C.1 說明了本標準、GB/T 19001-2000（ISO 9001:2000）和 GB/T 24001-1996（ISO 14001:2004）的各條款之間的關系。
本標準的設計能夠使一個組織將其ISMS與其它相關的管理體系要求結合或整合起來。 IV 規劃（建立 ISMS）建立與管理風險和改進信息安全有關的 ISMS 方針、目 標、過程和程序，以提供與組織整體方針和目標相一致 的結果。

信息技術 安全技術 信息安全管理體系要求

重點：本出版物不聲稱包括一個合同所有必要的規定。用戶負責對其進行正確的應用。符合標準本身并 不獲得法律義務的豁免。
1 范圍
1.1
總則
本標準適用于所有類型的組織（例如，商業企業、政府機構、非贏利組織）。本標準從組織的整體 業務風險的角度，為建立、實施、運行、監視、評審、保持和改進文件化的 ISMS 規定了要求。它規定 了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。
ISMS的設計應確保選擇適當和相宜的安全控制措施，以充分保護信息資產并給予相關方信心。
注1：本標準中的“業務”一詞應廣義的解釋為關系一個組織生存的核心活動。
注2：ISO/IEC 17799提供了設計控制措施時可使用的實施指南。
1.2 應用
本標準規定的要求是通用的，適用于各種類型、規模和特性的組織。組織聲稱符合本標準時，對于 4、5、6、7 和 8 章的要求不能刪減。
為了滿足風險接受準則所必須進行的任何控制措施的刪減，必須證明是合理的，且需要提供證據證 明相關風險已被負責人員接受。除非刪減不影響組織滿足由風險評估和適用法律法規要求所確定的安全 要求的能力和/或責任，否則不能聲稱符合本標準。
注：如果一個組織已經有一個運轉著的業務過程管理體系（例如，與 ISO 9001 或者 ISO 14001 相 關的），那么在大多數情況下，更可取的是在這個現有的管理體系內滿足本標準的要求。
2 規范性引用文件
下列參考文件對于本文件的應用是必不可少的。凡是注日期的引用文件，只有引用的版本適用于本 標準；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標準。 ISO/IEC 17799:2005，信息技術—安全技術—信息安全管理實用規則。
3 術語和定義
本標準采用以下術語和定義。
3.1 資產 asset
任何對組織有價值的東西[ISO/IEC 13335-1:2004]。
3.2 可用性 availability
根據授權實體的要求可訪問和利用的特性[ISO/IEC 13335-1:2004]。
3.3 保密性 confidentiality
信息不能被未授權的個人，實體或者過程利用或知悉的特性[ISO/IEC 13335-1:2004]。
3.4 信息安全 information security
保證信息的保密性，完整性，可用性；另外也可包括諸如真實性，可核查性，不可否認性和可靠性 等特性[ISO/IEC 17799：2005]。
3.5 信息安全事件 information security event
信息安全事件是指系統、服務或網絡的一種可識別的狀態的發生，它可能是對信息安全策略的違反 或防護措施的失效，或是和安全關聯的一個先前未知的狀態[ISO/IEC TR 18044：2004]。
3.6 信息安全事故 information security incident
一個信息安全事故由單個的或一系列的有害或意外信息安全事件組成，它們具有損害業務運作和威 脅信息安全的極大的可能性[ISO/IEC TR 18044：2004]。
3.7 信息安全管理體系（ISMS） information security management system（ISMS）
是整個管理體系的一部分。它是基于業務風險方法，來建立、實施、運行、監視、評審、保持和改 進信息安全的。
注：管理體系包括組織結構、方針策略、規劃活動、職責、實踐、程序、過程和資源。
3.8 完整性 integrity
保護資產的準確和完整的特性[ISO/IEC 13335-1:2004]。
3.9 殘余風險 residual risk
經過風險處理后遺留的風險[ISO/IEC Guide 73:2002]。
3.10 風險接受 risk acceptance
接受風險的決定[ISO/IEC Guide 73：2002]。
3.11 風險分析 risk analysis
系統地使用信息來識別風險來源和估計風險[ISO/IEC Guide 73：2002]。
3.12 風險評估 risk assessment
風險分析和風險評價的整個過程[ISO/IEC Guide 73：2002]。
3.13 風險評價 risk evaluation
將估計的風險與給定的風險準則加以比較以確定風險嚴重性的過程[ISO/IEC Guide 73：2002]。
3.14 風險管理 risk management
指導和控制一個組織相關風險的協調活動[ISO/IEC Guide 73：2002]。
3.15 風險處理 risk treatment
選擇并且執行措施來更改風險的過程[ISO/IEC Guide 73：2002]。
注：在本標準中，術語“控制措施”被用作“措施”的同義詞。
3.16 適用性聲明 statement of applicability
描述與組織的信息安全管理體系相關的和適用的控制目標和控制措施的文檔。
注：控制目標和控制措施基于風險評估和風險處理過程的結果和結論、法律法規的要求、合同義務以及組織對于 信息安全的業務要求。
4 信息安全管理體系（ISMS）
4.1 總要求
一個組織應在其整體業務活動和所面臨風險的環境下建立、實施、運行、監視、評審、保持和改進 文件化的ISMS。就本標準而言，使用的過程基于圖1所示的PDCA模型。
4.2 建立和管理 ISMS
4.2.1 建立 ISMS
組織應：
a) 根據業務特點、組織結構、位置、資產和技術，確定 ISMS 的范圍和邊界，包括對例外于此范 圍的對象作出詳情和合理性的說明（見 1.2）。
b) 根據業務特點、組織結構、位置、資產和技術，確定 ISMS 方針，應：
1)為其目標建立一個框架并為信息安全行動建立整體的方向和原則；
2）考慮業務和法律法規的要求，及合同中的安全義務；
3）在組織的戰略性風險管理環境下，建立和保持 ISMS；
4）建立風險評價的準則[見 4.2.1 c]]；
5）獲得管理者批準。
注：就本標準的目的而言，ISMS 方針被認為是信息安全方針的一個擴展集。這些方針可以在 一個文件中進行描述。
c) 確定組織的風險評估方法
1）識別適合 ISMS、已識別的業務信息安全和法律法規要求的風險評估方法。
2）制定接受風險的準則，識別可接受的風險級別（見 5.1f）。
選擇的風險評估方法應確保風險評估產生可比較的和可再現的結果。
注：風險評估具有不同的方法。在 ISO/IEC TR 13335-3《信息技術 IT 安全管理指南：IT 安全 管理技術》中描述了風險評估方法的例子。
d) 識別風險

1）識別 ISMS 范圍內的資產及其責任人2；
2）識別資產所面臨的威脅；
3）識別可能被威脅利用的脆弱點；
4）識別喪失保密性、完整性和可用性可能對資產造成的影響。
e) 分析和評價風險
1)在考慮喪失資產的保密性、完整性和可用性所造成的后果的情況下，評估安全失誤可能造 成的對組織的影響。
2)評估由主要威脅和脆弱點導致安全失誤的現實可能性、對資產的影響以及當前所實施的控 制措施。
3)估計風險的級別。
4)確定風險是否可接受，或者是否需要使用在 4.2.1 c)2)中所建立的接受風險的準則進行處
f) 識別和評價風險處理的可選措施
可能的措施包括：

1)采用適當的控制措施；
2)在明顯滿足組織方針策略和接受風險的準則的條件下，有意識地、客觀地接受風險[見 4.2.1 c)2)]；
3)避免風險；
4)將相關業務風險轉移到其他方，如：保險，供應商等。
g) 為處理風險選擇控制目標和控制措施 應選擇和實施控制目標和控制措施以滿足風險評估和風險處理過程中所識別的要求。這種選擇
應考慮接受風險的準則（見 4.2.1c）2））以及法律法規和合同要求。 從附錄 A 中選擇控制目標和控制措施應成為此過程的一部分，該過程適合于滿足這些已識別的 要求。
附錄 A 所列的控制目標和控制措施并不是所有的控制目標和控制措施，組織也可能需要選擇另 外的控制目標和控制措施。
注：附錄 A 包含了組織內一般要用到的全面的控制目標和控制措施的列表。本標準用戶可將附錄 A 作為選擇 控制措施的出發點，以確保不會遺漏重要的可選控制措施。
h) 獲得管理者對建議的殘余風險的批準
i) 獲得管理者對實施和運行 ISMS 的授權
j) 準備適用性聲明（SoA）
應從以下幾方面準備適用性聲明：
1） 從 4.2.1 g）選擇的控制目標和控制措施，以及選擇的理由；
2） 當前實施的控制目標和控制措施（見 4.2.1e）2））；
3） 對附錄 A 中任何控制目標和控制措施的刪減，以及刪減的合理性說明。
注：適用性聲明提供了一份關于風險處理決定的綜述。刪減的合理性說明提供交叉檢查，以證明不會因疏忽而遺 漏控制措施。
詳情請下載附件