4 组织背景
4.1 了解组织和它的背景 组织应确定与 ISMS 相关的目的和影响其达到预期效果的能力的内外部问题。 注：确定这些问题参考 ISO 31000 第 5.3 建立组织的外部和内部环境被考虑。
4.2 理解相关方的需求和期望 组织应确定： a) ISMS 的相关方；和 b) 这些相关方有关信息安全的要求。 注：有关各方的要求可能包括法律、监管规定和合同义务。
信息技术 安全技术 信息安全管理体系 要求
1
1 适用范围
本国际标准规定了在组织的背景下建立、实施、维护和持续改进信息安全管理体系的 要求。本标准还包括根据组织的需要来调整信息安全风险的评估和处置的要求。这个要求 安排在本国际标准中通常并有意应用到所有组织，不论组织类型、规模或性质。当一个组 织声称其符合此国际标准但没有达到 4 到 10 章规定的要求，是不可接受的。
4.3 确定 ISMS 的范围 组织应确定 ISMS 的边界和适用性，以确定其范围。 在确定此范围时，组织应考虑： a) 4.1 提及的外部和内部的问题； b) 4.2 提及的要求；和 c) 接口和执行组织之间活动被执行的依赖关系，以及其他组织的相关活动。 范围应可成为文档化信息。
4.4 ISMS 组织应按照本国际标准的要求建立、实施、保持和持续改进 ISMS。
5 领导力
2
5.1 领导力和承诺 最高管理者应展示关于 ISMS 的领导力和承诺： a) 确保信息安全方针和信息安全目标被建立，并与组织战略方向兼容; b) 确保信息安全管理体系的要求集成到组织的过程中; c) 确保信息安全管理体系所需要的资源是可用的; d) 传达有效的信息安全管理和符合信息安全管理体系要求的重要性; e) 确保信息安全管理体系达到其预期的效果; f) 指导和支持员工，有助于信息安全管理体系的效率; g) 推进持续改进;和 h) 支持其他相关管理角色展示他们的领导力，同样适用于他们的职责范围。
信息安全管理体系通过使用风险管理过程来保护信息的保密性、完整性和可用性，给 相关方风险被适当管理的信心。
重要的是，信息安全管理体系是与组织过程和整体管理体系相结合的一部分，信息安 全考虑过程的设计、信息系统和控制措施。信息安全管理体系的规模与组织需求保持一致。
本国际标准可被用于内部和外部团体，评价组织有能力满足组织自己的信息安全要求。 本国际标准中要求的顺序并不反映他们的重要性或暗示他们实施的顺序。列表中的列 举项仅供参考。 ISO/IEC 27000 描述了信息安全管理体系的概述和词汇表。参考 ISMS 标准簇（包括 ISO/IEC 27003、ISO/IEC 27004 和 ISO/IEC 27005）与相关术语和定义。 0.2 与其它管理体系的兼容性 本国际标准适用于高层结构、相同的子标题、相同的文本、常用术语和核心定义被定 义在 ISO/IEC 导则，Part 1，合并的 ISO 附件，维护与其他管理体系标准的兼容性，采用 附录 SL。 附录 SL 中定义的这种常见方法是有用的，组织选择运行一个单个的管理体系，满足两 个或多个管理体系标准的要求。
当规划 ISMS 时，组织应当考虑 4.1 提到的问题和 4.2 中所提到的要求，并确定需要 处理的风险和机遇：
a) 确保 ISMS 实现预期的效果; b) 防止或减少不良影响;和 c) 实现持续改进。
3
组织应策划： d) 处理这些风险和机遇的行动；和 e) 如何
1) 集成和实施这些行动到 ISMS 过程中;和 2) 评估这些行动的有效性。 6.1.2 信息安全风险评估 组织应定义并应用一个信息安全风险评估过程： a) 建立和维护信息安全风险准则，包括： 1) 风险接受准则; 2) 执行信息安全风险评估准则; b) 确保重复的信息安全风险评估产生一致的、有效的和可比较的结果。 c) 识别信息安全风险： 1) 应用信息安全风险评估过程，识别与 ISMS 范围内信息的保密性、完整性和可
信息技术 安全技术 信息安全管理体系 要求
Information technology-Security techniquesInformation security management systems-Requirements
（ISO/IEC 27001：2013）
目录
前言 ............................................................................................................................................................... I 0 引 言.....................................................................................................................................................1 1 适用范围...................................................................................................................................................2 2 规范性引用文件......................................................................................................................................2 3 术语和定义 ..............................................................................................................................................2 4 组织背景...................................................................................................................................................2 5 领导力.......................................................................................................................................................2 6 计划 ...........................................................................................................................................................3 7 支持 ...........................................................................................................................................................5 8 运行 ...........................................................................................................................................................7 9 绩效评价...................................................................................................................................................7 10 改进 .........................................................................................................................................................8 附 录 A （规范性附录） 参考控制目标和控制措施.................................................................10
文件说明
本标准是笔者利用业余时间自行翻译。因笔者水平有限，错误和疏漏之处再 所难免。欢迎各位批评指正。
特别声明： a) 若因阅读和使用本翻译标准给读者造成的任何损失，本人一概不承担任
何责任； b) 本翻译标准著作权归本人所有，仅供阅读学习之用，未经许可，不得用
于任何商业目的。 笔者联系方式： 邮箱：lzh900@ ISO 和 IEC 形成全球标准专业系统。通过技术委员会建立的参与开发国际标 准的 ISO 或 IEC 的成员国，由各自的组织处理特定的技术活动的领域。ISO 和 IEC 技术委员会协调共同感兴趣的领域。与 ISO 和 IEC 联络的其它国际组织、政府和 非政府的组织也参与了这个工作。在信息技术领域，ISO 的 IEC 已经建立了一个 联合技术委员会，ISO/IEC JTC 1。
李振华 QMS/ISMS/SMS/ITSS/COBIT/CISP/R&S/SercityCCIE
2014 年 7 月于北京
I
0引 言 0.1 总则
本国际标准准备提供建立、实施、保持和持续改进信息安全管理体系（ISMS）的要求。 ISMS 的采用是一个组织的战略决策。组织的 ISMS 的建立和实施受组织的需求和目标、安 全需求、组织的过程、规模和结构的影响。上述因素预计会随时间而变化。