范围
本标准规定了在组织范围内建立、实施、维护和持续改进信息安全管理体系
的要求。本标准还包括针对组织需求定制的信息安全风险评估和处理要求。
本标准中列出的要求是通用的,旨在适用于所有组织,无论其类型、规模或
性质如何。
当一个组织声称符合本标准时,不能排除第4章到第10章中所规定的任何要
求。
规范性引用文件
以下文件在文本中被引用,其部分或全部内容构成本标准的要求。对于注明
日期的参考文献,仅引用的版本适用。对于未注明日期的引用文件,引用文
件的最新版本(包括任何修订)适用。
ISO/IEC 27000,信息技术—安全技术—信息安全管理体系—概述和词汇
术语和定义
6
就本标准而言,以下术语和定义适用。
ISO和IEC在以下地址维护用于标准化的术语数据库:
—ISO在线浏览平台:https://www.iso.org/obp
—IEC电子词典:https://www.electropedia.org/
7
组织环境
理解组织及其环境
组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力
的外部和内部事项。
注:对这些事项的确定,参见ISO 31000:2018中5.4.1建立外部和内部环境的内容。
理解相关方的需求和期望
组织应确定:
a) 信息安全管理体系相关方;
b) 这些相关方与信息安全相关的要求。
c) 这些要求中,哪些将通过信息安全管理体系来达成。
注:相关方的要求可包括法律、法规要求和合同义务。
确定信息安全管理体系范围
组织应确定信息安全管理体系的边界及其适用性,以建立其范围。
在确定范围时,组织应考虑:
a) 4.1中提到的外部和内部事项;
b) 4.2中提到的要求;
c) 组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关
8
系。
该范围应形成文件化信息并可用。
4.4 信息安全管理体系
组织应按照本标准的要求,建立、实现、维护和持续改进信息安全管理体
系,包括所需的过程及其相互作用
参考资料
信息安全,网络安全与隐私保护添加链接描述