標準解讀
《GB/T 22080-2008 信息技術 安全技術 信息安全管理體系 要求》是中國采用ISO/IEC 27001:2005標準而制定的國家標準,主要針對組織如何建立、實施、維護和持續(xù)改進信息安全管理體系(ISMS)提供了框架。該標準適用于所有類型和規(guī)模的組織,不論其性質(zhì)為何,旨在通過系統(tǒng)的方法來管理信息資產(chǎn)面臨的風險,確保信息的機密性、完整性和可用性。
根據(jù)此標準,組織需要識別并評估與自身業(yè)務相關的安全風險,并基于這些風險選擇適當?shù)目刂拼胧┘右詰獙?。它強調(diào)了領導層的支持對于ISMS成功的重要性,同時也要求定期評審ISMS的有效性以及進行必要的調(diào)整以適應內(nèi)外部環(huán)境的變化。此外,還規(guī)定了文件化的要求,包括制定信息安全政策、程序及記錄等,以便為整個體系提供支持。
在具體實施過程中,《GB/T 22080-2008》推薦了一系列最佳實踐指南,覆蓋了從人力資源安全到物理和環(huán)境安全管理等多個方面。例如,在訪問控制領域,它建議采用多層次的身份驗證機制;對于信息系統(tǒng)獲取、開發(fā)與維護,則提倡遵循安全開發(fā)生命周期模型等。
如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。
....
查看全部
文檔簡介
犐犆犛35.040
犔80
中華人民共和國國家標準
犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005
信息技術安全技術
信息安全管理體系要求
犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊—
犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋狊狔狊狋犲犿狊—犚犲狇狌犻狉犲犿犲狀狋狊
(ISO/IEC27001:2005,IDT)
20080619發(fā)布20081101實施
中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局
發(fā)布
中國國家標準化管理委員會
書
犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005
目次
前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ
引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ
1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
3術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4信息安全管理體系(ISMS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3
5管理職責!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6
6ISMS內(nèi)部審核!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
7ISMS的管理評審!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
8ISMS改進!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8
附錄A(規(guī)范性附錄)控制目標和控制措施!!!!!!!!!!!!!!!!!!!!!!!9
附錄B(資料性附錄)OECD原則和本標準!!!!!!!!!!!!!!!!!!!!!!!19
附錄C(資料性附錄)GB/T19001—2000,GB/T24001—2004和本標準之間的對照!!!!!20
參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22
Ⅰ
書
犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005
前言
本標準等同采用ISO/IEC27001:2005《信息技術安全技術信息安全管理體系要求》,僅有編
輯性修改。
本標準的附錄A是規(guī)范性附錄,附錄B和附錄C是資料性附錄。
本標準由中華人民共和國信息產(chǎn)業(yè)部提出。
本標準由全國信息安全標準化技術委員會歸口。
本標準由中國電子技術標準化研究所、上海三零衛(wèi)士有限公司、北京知識安全工程中心、北京市信
息安全測評中心、北京數(shù)字認證中心負責起草。
本標準主要起草人:上官曉麗、許玉娜、胡嘯、王新杰、趙戰(zhàn)生、王連強、曾波、孔一童、劉海峰、
湯永利、尚小鵬、閔京華。
Ⅲ
犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005
引言
0.1總則
本標準用于為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系(InformationSecurity
ManagementSystem,簡稱ISMS)提供模型。采用ISMS應當是一個組織的一項戰(zhàn)略性決策。一個組
織ISMS的設計和實施受其需要和目標、安全要求、所采用的過程以及組織的規(guī)模和結構的影響,上述
因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需要實施ISMS是本標準所期望的,例如,簡單的情況
可采用簡單的ISMS解決方案。
本標準可被內(nèi)部和外部相關方用于一致性評估。
0.2過程方法
本標準采用過程方法來建立、實施、運行、監(jiān)視、評審、保持和改進組織的ISMS。
為使組織有效運作,需要識別和管理眾多相互關聯(lián)的活動。通過使用資源和管理,將輸入轉化為輸
出的活動可視為過程。通常,一個過程的輸出直接形成下一個過程的輸入。
組織內(nèi)諸過程的系統(tǒng)的應用,連同這些過程的識別和相互作用及其管理,可稱之為“過程方法”。
本標準中提出的用于信息安全管理的過程方法鼓勵其用戶強調(diào)以下方面的重要性:
a)理解組織的信息安全要求和建立信息安全方針與目標的需要;
b)從組織整體業(yè)務風險的角度,實施和運行控制措施,以管理組織的信息安全風險;
c)監(jiān)視和評審ISMS的執(zhí)行情況和有效性;
d)基于客觀測量的持續(xù)改進。
本標準采用了“規(guī)劃(Plan)—實施(Do)—檢查(Check)—處置(Act)”(PDCA)模型,該模型可應用
于所有的ISMS過程。圖1說明了ISMS如何把相關方的信息安全要求和期望作為輸入,并通過必要
的行動和過程,產(chǎn)生滿足這些要求和期望的信息安全結果。圖1也描述了第4章、第5章、第6章、
第7章和第8章所提出的過程間的聯(lián)系。
圖1應用于犐犛犕犛過程的犘犇犆犃模型
Ⅳ
犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005
采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡安全的OECD指南(2002版)1)中所設置的原則。
本標準為實施OECD指南中規(guī)定的風險評估、安全設計和實施、安全管理和再評估的原則提供了一個
強健的模型。
例1:某些信息安全違規(guī)不至于給組織造成嚴重的財務損失和/或使組織陷入困境。這可能是一種
要求。
例2:如果發(fā)生了嚴重的事件(可能是組織的電子商務網(wǎng)站被黑客入侵)應有經(jīng)充分培訓的員工按
照適當?shù)囊?guī)程,將事件的影響降至最小。這可能是一種期望。
建立與管理風險和改進信息安全有關的ISMS方針、目標、
規(guī)劃(建立ISMS)
過程和規(guī)程,以提供與組織總方針和總目標相一致的結果。
實施(實施和運行ISMS)實施和運行ISMS方針、控制措施、過程和規(guī)程。
對照ISMS方針、目標和實踐經(jīng)驗,評估并在適當時測量過
檢查(監(jiān)視和評審ISMS)
程的執(zhí)行情況,并將結果報告管理者以供評審。
基于ISMS內(nèi)部審核和管理評審的結果或者其他相關信
處置(保持和改進ISMS)
息,采取糾正和預防措施,以持續(xù)改進ISMS。
0.3與其他管理體系的兼容性
本標準與GB/T19001—2000及GB/T24001—2004相結合,以支持與相關管理標準一致的、整合
的實施和運行。因此,一個設計恰當?shù)墓芾眢w系可以滿足所有這些標準的要求。表C.1說明了本標
準、GB/T19001—2000和GB/T24001—2004的各條款之間的關系。
本標準的設計能夠使一個組織將其ISMS與其他相關的管理體系要求結合或整合起來。
1)OECD信息系統(tǒng)和網(wǎng)絡安全指南———面向安全文化。巴黎:OECD,2002年7月。www.oecd.org
Ⅴ
犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005
信息技術安全技術
信息安全管理體系要求
重要提示:本出版物不聲稱包括一個合同所有必要的條款。用戶負責對其進行正確的應用。符合
標準本身并不獲得法律責任的豁免。
1范圍
1.1總則
本標準適用于所有類型的組織(例如,商業(yè)企業(yè)、政府機構、非贏利組織)。本標準從組織的整體業(yè)
務風險的角度,為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系(ISMS)規(guī)定了
要求。它規(guī)定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。
ISMS的設計應確保選擇適當和相宜的安全控制措施,以充分保護信息資產(chǎn)并給予相關方信心。
注1:本標準中的“業(yè)務”一詞應廣義的解釋為關系一個組織生存的核心活動。
注2:GB/T22081—2008提供了設計控制措施時可使用的實施指南。
1.2應用
本標準規(guī)定的要求是通用的,適用于各種類型、規(guī)模和特性的組織
溫馨提示
- 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
- 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
- 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。
最新文檔
- 項目申請報告和可行性研究報告
- 農(nóng)業(yè)遙感技術應用實戰(zhàn)手冊
- 陵園墓地裝修設計施工合同
- 知名智能家居控制系統(tǒng)
- 家庭農(nóng)場農(nóng)業(yè)發(fā)展指南
- 產(chǎn)業(yè)發(fā)展 規(guī)劃
- 公司上市的可行性分析報告
- 農(nóng)業(yè)產(chǎn)業(yè)鏈質(zhì)量提升行動指南
- 三基訓練護理復習試題有答案(一)
- 礦業(yè)行業(yè)智能化采礦與安全管理方案
- 貴州省獸藥經(jīng)營質(zhì)量管理規(guī)范實施細則
- 常規(guī)弱電系統(tǒng)施工單價表純勞務
- 勞動合同(模版)4篇
- 2024-2025學年小學信息技術(信息科技)五年級下冊人教版教學設計合集
- 2024年大學試題(林學)-森林經(jīng)理學考試近5年真題集錦(頻考類試題)帶答案
- 醫(yī)學教材 《婦產(chǎn)科學》第9版課件-胎兒異常與多胎妊娠
- 2025年國家公務員考試行測(地市級)行政職業(yè)能力測驗試卷與參考答案
- 【魔鏡洞察】2024藥食同源保健品滋補品行業(yè)分析報告
- 2024年黃河委員會招聘歷年(高頻重點復習提升訓練)共500題附帶答案詳解
- 肺肉芽腫性疾病的病理診斷
- DL-T 572-2021電力變壓器運行規(guī)程-PDF解密
評論
0/150
提交評論