4.组织的背景
理解组织现状及背景 利益相关方的期望 ISMS的范围 ISMS
6.计划
处理风险和机遇的行动 可实现ISMS目标和计划
4
5
6
7
7.支持
8
9
9.绩效评价
10
5.领导力
领导力和承诺 方针 角色、责任和承诺
资源 能力 意识 沟通 文档信息
监控、测量、分析和评价 内部审核 管理评审
信息安全管理体系要求
ISO/IEC27001:2013
Information technologyTechniques-information Security Management Systems-requirements ISO/IEC27001:2013
行业重点客户
金融电子系统与金融 外包服务提供商
ISO 31000:2009 5.3.2 建立外部环境： 外部环境（the external context )是指组织力图实 现其目标而处的外部环境（environment ). 外部环境包括，但不限于： ---文化、社会、政治、法规、法规、金融、技术、 经济、自然和竞争环境，无论是国际的、国内的区 域的或本地的； ---对组织目标有影响的亲键驱动因子和趋势； ---与外部利益相关方的关系，以及他们的感知和价 值观；
附件A（强制性）控制目标和控制措施
引言 0.1 总则
本国际标准为准备建立、运行、维护、持续改进信息安全管理体系（Information Security Management ISMS）的组织提供模型。采用ISMS应当是组织的一个战 略性决策。组织 ISMS 的建立和运行受需求和目标、安全需求、组织采用的过程 及组织的规模、架构的影响。上述因素会随时间发生变化。 信息安全管理体系通过应用风险管理过程来保护信息的保密性，完整性和可 用性，给相关方带来信心并使风险得到充分管理。 重要的是，信息安全管理体系是组织集成过程和整体管理架构的一部分，在流 程、信息系统、控制措施设计时都会考虑信息安全。信息安全管理体系的运行将 根据组织需求进行实际的缩放。
正文解读
1）提供模型：是说IS027001：2005仅仅是提供解决信息安全问题的模型， 而不是方法； 2）战略是宏观的、全局的，长远的。采用ISMS 是组织的一项战略性决策， 再次表明了ISMS不是针对具体方法的； 3）采用ISMS时，必须具体情况具体对待，而不能过于教条，简单的组织应 该采用简单的解决方案； 4本标准的评审依据是ISO27001：2005本身，目的上看现实中的部署和标 准的吻合程度，而不是去度量信息安全本身； 5 保密性，完整性和可用性
正文解读
※1
27000概况和术语
ISO/IEC27001 标准
术语
通用要求 27001要求 27006认证机构要求
27002实用规则
27003应用指南
27004测量
27005风险管理
27007审核指南
通用指南 27799健康领域 27011电信领域
×××领域
※2
本标准是对安全控制措施的“实施要求”，附录A是控制措施，标准正文 的4~8章讨论的正是PDCA模型来实施这些控制措施；
1 范围
本国际标准规定了在组织的环境下建立、运行、维护、持续改进信息安全管理 体系的要求。本标准还包括根据组织需求定制的信息安全风险评估和处理的要 求。本国际标准中所列的要求是通用的，适用于各种类型、规模和特性的组织。 组织声称符合本标准时，对于第4章到第10章规定的要求不能删减
2 规范性引用文件 以下文件的全部或部分在本文档中进行引用，这些文件对于本文件的应用是必不可 少的。凡是注日期的引用文件，仅引用的版本适用。凡是不注日期的引用文件，其 最新版本的参考文件（包括所有的修改单）适用于本标准。 ISO / IEC 27000，信息技术-安全技1）保密性confidentiality—确保信息仅授权人员访问
2）完整性integrity—信息及处理方法的准确和全面 3）可用性Availability—确保在需要时，授权用户能访问到信息，接触 到相关资产
0.3 与其他管理体系的兼容性
本国际标准采用 ISO/IEC 指令 第1部分的附件SL“综合ISO补充”中要求的 主条款结构、相同的子条款标题、统一的文本、常用词汇和核心定义，因此本标 准可与其他同样采用附录 SL 的管理体系标准相兼容。 附录 SL 中定义的这种通用方法，在选择符合两个或两个以上管理系体标准时仅 运行一套管理制度时是很有用的。
本国际标准可被用于内部、外部各方用于评估组织的能力来满足组织自身信 息安全要求。 本国际标准中要求的顺序并不能反映他们的重要性或暗示他们实现的顺序。
列表中的列举项仅供参考。 ISO/IEC 27000介绍了信息安全管理体系概述和词汇，引用的信息安全管理体系 系列标准（包括ISO/IEC 27003，ISO/IEC 27004和ISO/IEC 27005），相关术语 和定义。
松下· 万宝（广州）
课程内容
第1部分 ISO27001标准正文部分详解
第2部分ISO27001标准附录A详解
ISO27001:2013标准正文部分
PLAN DO
8.运行
运行计划及控制 信息安全风险评估 信息安全风险处置
CHECK ACT
10.改进
不符合及纠正措施 持续改进
内容 提要
4组织环境
4.1 理解组织及其环境 组织应明确与信息安全管理体系目的及影响其能力有关的内外部问题， 以达到信息安全管理体系的预期效果。 注：确定这些问题是指ISO 31000:2009 的第 5.3条款 谈及的用以
建立组织的外部和内部环境。
ISO 31000:2009 5.3.3 建立内部环境： 内部环境（the internal context )是指组织力图实现 其目标而处的内部环境（environment ). 内部环境十分必要，包括但不限于： ---治理、给织桔构、角色、责任； ----方针、目标以及实现它们的战略； 能力，能资源和知识的理解（如：资本、时间、人 员、过程、系统和技术） --信息系统、信息流、决策过程 --与内部利益相关言的关系，以及他们的感知和价 值观； --组织的文化；