ISO-IEC 27001-2013 中英文对照版.pdf

ISO/IEC 27001:2013 信息技术 – 安全技术 – 信息安全管理体系 – 要求 ISO/IEC 27001:2013 第二版 2013-10-01 Information technology - Security techniques - Information security management systems - Requirements 信息技术 - 安全技术 - 信息安全管理体系 - 要求 本标准由 徐斌 翻译，1DING 校验 （上海天帷） 原标准版权属ISO 组织所有，中译文仅供学习参考 第1 页 共 61 页 ISO/IEC 27001:2013 信息技术 – 安全技术 – 信息安全管理体系 – 要求 目录 Contents 前言 FOREWORD4 0 简介 INTRODUCTION 6 0.1 总则 GENERAL 6 0.2 与其它管理体系标准的兼容性 COMPATIBILITY WITH OTHER MANAGEMENT SYSTEM STANDARDS 7 1 适用范围 SCOPE 9 2 规范性引用 NORMATIVE REFERENCES 9 3 术语和定义 TERMS AND DEFINITIONS 10 4 组织的背景 CONTEXT OF THE ORGANIZATION 10 4.1 了解组织的背景和现状 UNDERSTANDING THE ORGANIZATION AND ITS CONTEXT 10 4.2 理解相关方的需求和期望 UNDERSTANDING THE NEEDS AND EXPECTATIONS OF INTERESTED PARTIES 10 4.3 确定信息安全管理体系的范围 DETERMINING THE SCOPE OF THE INFORMATION SECURITY MANAGEMENT SYSTEM 11 4.4 信息安全管理体系 INFORMATION SECURITY MANAGEMENT SYSTEM 11 5 领导作用 LEADERSHIP 12 5.1 领导作用和承诺 LEADERSHIP AND COMMITMENT 12 5.2 方针 POLICY 13 5.3 角色、责任和授权 ORGANIZATIONAL ROLES, RESPONSIBILITIES AND AUTHORITIES 13 6 计划 PLANNING 14 6.1 处理风险和机会的行动 ACTIONS TO ADDRESS RISKS AND OPPORTUNITIES 14 6.2 信息安全目标及达成计划 INFORMATION SECURITY OBJECTIVES AND PLANNING TO ACHIEVE THEM 17 7 支持 SUPPORT 18 7.1 资源 RESOURCES 18 7.2 能力 COMPETENCE 19 7.3 意识AWARENESS 19 7.4 沟通 COMMUNICATION 20 7.5 文件化信息 DOCUMENTED INFORMATION 20 8 运行 OPERATION 22 8.1 运行计划及控制 OPERATIONAL PLANNING AND CONTROL 22 8.2 信息安全风险评估 INFORMATION SECURITY RISK ASSESSMENT 23 8.3 信息安全风险处置 INFORMATION SECURITY RISK TRE