ISO/IEC 27003标准中文版 pdf

这是中文版pdf，不是英文版。欢迎下载哦8.4.3选择控制目标和控制措施. ..错误!未定义书签。 9设计ISMS 9.1设计ISMS概要 错误!未定义书签。 9.2设计组织的安全 错误!未定义书签。 9.2.1组织的安全概要. 错误!未定义书签 9.2.2角色和责任. 错误!未定义书签。 9.2.3方针开发框架. 错误!未定义书签。 9.2.4报告和管理评审 错误!未定义书签 9.2.5规划审核.. 错误!未定义书签 9.2.6意识 9.3设计ICT安全和物理安全 错误!未定义书签。 9.4设计监视和测量 9.4.1监视和测量的概要. 错误!未定义书签, 9.4.2设计监视. 错误!未定义书签。 9.4.3设计信息安全测量程序. 错误!未定义书签。 9.4.4.测量ISMS的有效性 .错误!未定义书签。 9.5TSMS记录的要求 错误!未定义书签。 9.5.11SMS记录的概要 错误!未定义书签。 9.5.2文件要求的控伟 .错误!未定义书签。 9.5.3记录要求的控制 错误!未定义书签 9.6产生ISMS实施计划 错误!未定义书签 0实施ISMS 错误!未定义书签。 10.11S5NS实施概要 错误!末定义书签。 10.2执行ISMS实施项日.. 错误!未定义书签。 10.2.1执行ISMS实施项目概要. ···· 错误!未定义书签。 10.2.2角色和贲任 错误!未定义书签。 10.2.3沟通., 错误!未定义书签。 10.2.4协调. 错误!未定义书签。 10.2.5变更. 错误!未定义书签。 10.3监视的实施 错误!未定义书签。 10.4ISMS程序和控制文件 错误!未定义书签 10.5ISMS测量程序文件,. 错误!未定义书签 参考书目 78 附录A ·:· 附录B 前言 IS0(国际标准化组织)和IEC(国际电工委员会)是专业的世界性标准发布者。IS0 或IEC成员的国家,通过各自组织为处理特定技术活动领域所设立的技术委员会,参与开发 国际标准。IS0和IEC技术委员会协调合作领域的共同利益。与ISO和IEC保持联系的其它 国际组织(官方的或非官方的)也可参加有关工作。在信息技术领域,IS0和IEC已经设立 一个联合技术委员会,ISO/ IEC JTC1。 国际标准遵照IS0/IFC导则第2部分的规则起草。 本文件的某些要素有可能涉及一些专利权问题,对此应引起注意。IS0不负责识别仟 何专利权的问题 ISO/IEC27003是由信息技术一安全技术SC27小组委员会ISO/ IEC TC1技术委员会 制定的。 引言 本标准的目的是为基于150/LLC27001的信息安全管理体系(ISMS)提供实用指导 ISO/IEC27001在一个组织内为业务提供信息化管理。信息安全的目的在」: a)保护信息免受各种不同的威胁(例如:故障、信息与服务的损失、盜窃和间谚 b)支持符合法律、法规和合同的安全要求; c)维护连续性 d)最小化损告; e)促进效率 本标准旨在支持信息安全管理的过程,确倮相关利益方的信息资产(包括信息过程)满 足该组织所定义的可接受的风险级别。 本标准所描述的实施过程已经进行了设计,以提供: a)说明以一套基础方针、程序和控制措施所表示的组织的信息安全管理体系; b)持续改进的基础 c)棊于业务日标、当前情况差距分析和风险分析的结果考虑时的协调框架。 本标准不包括ISMS的运行或监视。ISMS的最终实施是一个有关技术层面和组织层面 上的实施项目,那里,需要应用项目管理原理和方法论(见“IS0项目管理标准”)。 采用ISMS是商业与公共答理组织(包括公司、公营机构和慈善团体等)的·项战略性决 箎。随着IT的使用和依赖性的增长,对实施ⅠSMS的决定和承诺十分关键 信息技术一安全技术 信息安全管理体系实施指南 1范围 本国际标准依照IS0/TEC27001,为建立和实施信息安全管理体系提供实用指导。本文 件措述ISMS的实施,聚焦于从最初批准ISMS在组织内实施到ISMS运行的开始,相当于ISMS PDCA周期的“P”和“D”阶段 本文件包括有关运行、监视、评审和改进设计活动的解释,虽然这些活动本身不在实施 的范围。 本标准适用于所有商业规模和类型的所有组织(例如,商业个业、政府机构、非赢利组 织)。本标准旨在为依照ISO/IEC27001实施信息安全管理体系的组织使用,以及为安全专 业人员提供指导。 风险管理或测量等有关方面的主题覆盖于ISMS标准族的其它标准,并被当引用 2引用的标准文件 下列引用文件对于本文件的应用是必不可少的。凡是注有日期的引用文件,只是引用的 版本。凡是不注有日期的引用文件,其最新版本(包括任何修改)适用于本标准。 ●ISO/IBC27001,信息安全管理体系要求 3术语和定义