国际标准 ISO/IEC 27001 第二版 2013-10-01 中文翻译版 第0.1版 2013-10-17 参考号 ISO/IEC 27001:2013（E） ©ISO/IEC 2013 信息技术 ——安全技术 —— 信息安全管理体系 ——要求 受版权保护的文档 ©ISO/IEC 2013 保留所有权利。除非另有说明，未经事先书面许可，不得 通过任何形式或手段进行复制或 利 用本出版物的任何部分内容，包括电子、机械、影印，或张贴在互联网或企业内部网上。可 通过下面 所列的ISO组织地址 或ISO成员机构获得许可。 ISO版权办公室 Case postale 56 • CH -1211 Geneva 20 电话：+ 41 22 749 01 11 传真：+ 41 22 749 09 47 电子信箱：[email protected] 网址：www.iso.org 瑞士出版 翻译说明 继ISO/IEC 27000 系列文件于 2005年发布之后，历经 8年的时间， ISO组织终于在日前发 布了2013新版。关注 ISO/IEC 27000 系列国际标准的读者可以学习并参阅该标准。 为了便于国内读者的阅读和使用，笔者团队利用业余时间自行翻译了本中文版本。因团 队水平有限，其中错误和遗漏之处在所难免。欢迎各位安全界同仁批评指正。 声明：若因阅读、使用本文而给读者造成的任何形式的损失，本 团队不承担任何责任。 本中文版文件的著作权归本团队所有。本文仅供网上阅读学习之用，亦可通过电子文件 复制的方式进行传播。未经授权，不得用于任何商业目的。 翻译团队： 齐芳 邮箱： qifang @nsfocus .com 陆辉 邮箱： [email protected] 刘凯 邮箱： liukai @nsfocus .com 蔡昆 邮箱： [email protected] 贡献者: 付峥 邮箱： fuzheng @nsfocus .com 徐特 邮箱： [email protected] 目录 0介绍 ................................ ................................ ............... xxxv 1范围 ................................ ................................ .................. 1 2规范性引用 ................................ ................................ ............ 1 3术语与定义 ................................ ................................ ............ 1 4组织的环境 ................................ ................................ ............ 1 4.1理解组织及环境 ................................ ................................ .. 1 4.2理解相关方的需求和期望 ................................ .......................... 1 4.3明确信息安全管理体系的范围 ................................ ...................... 1 4.4信息安全管理体系 ................................ ................................ 2 5领导 ................................ ................................ .................. 2 5.1领导与承诺 ................................ ................................ ..... 2 5.2方针 ................................ ................................ ........... 2 5.3组织角色、职责和权力 ................................ ............................ 2 6计划 ................................ ................................ .................. 3 6.1处置风险和机遇的活动 ................................ ............................ 3 6.2信息安全目标和实施计划 ................................ .......................... 4 7支持 ................................ ................................ .................. 5 7.1资源 ................................ ................................ ........... 5 7.2能力 ................................ ................................ ........... 5 7.3意识 ................................ ................................ ........... 5 7.4沟通 ................................ ................................ ........... 5 7.5文档信息 ................................ ................................ ....... 5 8操作 ................................ ................................ .................. 6 8.1操作规划和控制 ................................ ................................ .. 6 8.2信息安全风险评估 ................................ ................................ 7 8.3信息安全风险处置 ................................ ................................ 7 9绩效评价 ................................ ................................ .............. 7 9.1监测、测量、分析和评价 ................................ .......................... 7 9.2内部审核 ................................ ................................ ....... 7 9.3管理评审 ..................