1 范围
本国际标准详述了在组织内部建立、实施、维护和持续改进信息安全管理体系的要求。
本国际标准还包括了根据组织需求进行评估和处置信息安全风险的要求。在本国际标准中
规定的要求是通用的,旨在适用于无论类型,规模或性质的所有组织。一个组织若声称符
合本国际标准,不得排除 4 到 10 章节要求中的任何条款。
2 规范性引用
下面是本标准的规范性引用文件。凡注明日期的引用文件,仅该引用的版本适用。没
有注明日期的引用文件,则引用文件的最新版本(包括任何修订后的版本)适用。
ISO/IEC 27000 ,信息技术 - 安全技术 - 信息安全管理体系概述和术语
3 术语与定义
ISO/IEC 27000 提供了术语与定义。
4 组织的环境
4.1 理解组织及环境
组织应首先明确各种内、外部环境问题,该问题将会关系到其总体目标,影响其实现
预期信息安全管理体系成果。
注: 需要明确考虑的问题是指在 ISO 31000:2009 [5] 5.3 章节中的建立内、外部组织的环境问题。 DevOps
4.2 理解相关方的需求和期望
组织应确定:
a) 与信息安全管理体系有关的相关方;
b) 相关方的信息安全需求 。
注 : 相关方的要求包括法律法规要求和合同规定的义务。
4.3 明确信息安全管理体系的范围
组织应明确信息安全管理体系的边界和适用性,以明确其范围。
确定范围时,组织应考虑:
a) 与在 4.1 章节中有关的内外部问题;
b) 与在 4.2 章节中有关的需求;
c) 组织自身活动和与其他组织开展活动所产生的衍生问题和依赖关系。
范围的相关内容应形成文档。
4.4 信息安全管理体系
组织应按照标准要求建立、实施、维护和持续改进信息安全管理体系。
