标准号:ISO/IEC 27001-2005
实施状态:作废
中文名称:信息技术.安全技术.信息安全管理.要求
英文名称:Information technology - Security techniques - Information security management systems - Requirements
发布日期:2005-10
被替代标准:ISO/IEC 27001-2013
代替标准:ISO/IEC FDIS 27001-2005
采用标准:DIN ISO/IEC 27001-2008,IDT;DIN ISO/IEC 27001-2007,IDT;ANSI/INCITS/ISO/IEC 27001-2005,IDT;BS ISO/IEC 27001-2005,IDT;GB/T 22080-2008,IDT;NF Z74-221-2007,IDT;Z74-221PR,IDT;JIS Q 27001-2006,IDT;CAN/CSA-ISO/IEC 27001-06-2006,IDT;SN ISO/IEC 27001-2005,IDT;OENORM ISO/IEC 27001-2008,IDT;OENORM ISO/IEC 27001-2007,IDT;PN-ISO/IEC 27001-2007,IDT;UNE-ISO/IEC 27001-2007,IDT;GOST R ISO/IEC 27001-2006,IDT
起草单位:ISO/IEC JTC 1/SC 27
标准简介:1 总则
本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。本标准从组织的整体业
务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(ISMS)规定了
要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。
ISMS的设计应确保选择适当和相宜的安全控制措施,以充分保护信息资产并给予相关方信心。
注1:本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。
注2:GB/T 22081 2008提供了设计控制措施时可使用的实施指南。
2 应用
本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。组织声称符合本标准时,对于
第4章、第5章、第6章、第7章和第8章的要求不能删减。
为了满足风险接受准则必要的进行的任何控制措施的删减,必须证明是合理的,且需要提供证据证
明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安
全要求的能力和/或责任,否则不能声称符合本标准。
注:如果一个组织已经有一个运转着的业务过程管理体系(例如,与GB/T、19001—2000或者GB/T 24001—2004
相关的),那么在大多数情况下,更可取的是在这个现有的管理体系内满足本标准的要求。
文件格式:PDF
文件大小:2.38MB
文件页数:29
(以上信息更新时间为:2019-11-22)
ISO_IEC 27001-2005 信息技术.安全技术.信息安全管理.要求.pdf
(2.38 MB)
|
|
