非常抱歉,我们暂时无法提供预览,您可以试试: 免费下载 ISO/IEC 27001-2005 前三页,或者稍后再访问。
点击下载后,生成下载文件时间比较长,请耐心等待......
- 标准号
- ISO/IEC 27001-2005
- 发布日期
- 2005年10月
- 实施日期
- 废止日期
- 2013-10-01
- 中国标准分类号
- L70
- 国际标准分类号
- 35.040
- 发布单位
- IX-ISO
- 代替标准
-
ISO/IEC 27001-2013
- 适用范围
- 1 总则
本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。本标准从组织的整体业
务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(ISMS)规定了
要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。
ISMS的设计应确保选择适当和相宜的安全控制措施,以充分保护信息资产并给予相关方信心。
注1:本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。
注2:GB/T 22081 2008提供了设计控制措施时可使用的实施指南。
2 应用
本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。组织声称符合本标准时,对于
第4章、第5章、第6章、第7章和第8章的要求不能删减。
为了满足风险接受准则必要的进行的任何控制措施的删减,必须证明是合理的,且需要提供证据证
明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安
全要求的能力和/或责任,否则不能声称符合本标准。
注:如果一个组织已经有一个运转着的业务过程管理体系(例如,与GB/T、19001—2000或者GB/T 24001—2004
相关的),那么在大多数情况下,更可取的是在这个现有的管理体系内满足本标准的要求。