作者
刘青 李鹏飞
日期
2005.11 2005.11
变更内容
初始版本翻译 校对，添加附录
备注
ISO27001：2005 Chs
2005-11-30
第i页
ISO27001：2005
信息安全管理体系要求
文件说明
本文档初始版本为刘青(高级咨询顾问、BS7799LA)翻译,在此特别感谢刘青。本
人学习之后对其中的点滴做了校正，以方便同行更好的学习。因本人水平有限，其
0.1 总则........................................................................................................................................1 0.2 过程方法 ................................................................................................................................1 0.3 与其他管理体系的兼容性 ....................................................................................................3
4.2.1 建立ISMS .......................................................................................................................8 4.2.2 实施和运作ISMS .........................................................................................................10 4.2.3 监视和评审ISMS .........................................................................................................10 4.2.4 保持和改进ISMS .........................................................................................................11 4.3 文件要求 ..............................................................................................................................12 4.3.1 总则...............................................................................................................................12 4.3.2 文件控制.......................................................................................................................13 4.3.3 记录控制.......................................................................................................................13
中难免有不妥之处，如果有疑问可以联系刘青和我。
刘青联系方式：
邮箱：liuq@ MSN：liuq1217@ 电话：010-65541200-163 传真：010-65542918 手机：138 1116 0364
我的联系方式：
邮箱：lipengfei@ MSN：pengfeilee@ 电话：010-82326383-8046 传真：010-82328039 手机：137 1763 0843
2 引用标准.......................................................................................................................................4
3 术语和定义...................................................................................................................................5
1 范围 ..............................................................................................................................................4
1.1 总则........................................................................................................................................4 1.2 应用........................................................................................................................................4
ISO27001：2005 Chs
2005-11-30
第 iii 页
ISO27001：2005
信息安全管理体系要求
目录
0 简介 ..............................................................................................................................................1
Information technology-Security techniques-Information security management systems-Requirements
信息技术 安全技术 信息安全管理体系要求
ISO27001：2005
版本历史
信息安全管理体系要求
版本
1.0 1.1
4 信息安全管理体系.......................................................................................................................8
4.1 总要求....................................................................................................................................8 4.2 建立并管理ISMS...................................................................................................................8
国际标准的起草符合ISO/IEC 导则第2 部分的原则。 联合技术委员会的主要任务是起草国际标准。联合技术委员会采纳的国际标 准草案分发给国家机构投票表决。作为国际标准公开发表，需要至少75%的国家 机构投赞成票。 本标准中的某些内容有可能涉及一些专利权问题，对此应引起注意，ISO 不 负责标识任何这样的专利权问题。 国际标准ISO/IEC 27001 是由联合技术委员会ISO/IEC JTC1（信息技术）的 SC27 分会（安全技术）起草的。
3.1 资产........................................................................................................................................5 3.2 可用性....................................................................................................................................5 3.3 保密性....................................................................................................................................5 3.4 信息安全 ................................................................................................................................5 3.5 信息安全事件（EVENT） .....................................................................................................5 3.6 信息安全事故（INCIDENT）.................................................................................................6 3.7 信息安全管理体系（ISMS）...............................................................................................6 3.8 完整性....................................................................................................................................6 3.9 残余风险 ................................................................................................................................6 3.10 风险接受 ..............................................................................................................................6 3.11 风险分析 ..............................................................................................................................6 3.12 风险评估 ..............................................................................................................................7 3.13 风险评价 ..............................................................................................................................7 3.14 风险管理 ..............................................................................................................................7 3.15 风险处置 ..............................................................................................................................7 3.16 适用性声明 ..........................................................................................................................7