【国家标准(GB)】 信息技术 安全技术 信息安全管理体系 要求

ICS35.040
中华人民共和国国家标准
GB/T22080—2008/ISO/IEC27001:2005信息技术
安全技术
信息安全管理体系
Information technologySecuritytechniques--Information security management systems-Requirements(ISO/IEC27001:2005.IDT)
2008-06-19发布
中华人民共和国国家质量监督检验检疫总局数码防伪
中国国家标准化管理委员会
2008-11-01实施
规范性引用文件
术语和定义
信息安全管理体系（ISMS）
管理职责
ISMS内部审核
ISMS的管理评审
8ISMS改进
附录A（规范性附录）
控制目标和控制措施
附录B（资料性附录）
附录C（资料性附录）
参考文献
OECD原则和本标准
GB/T22080—2008/IS0/1EC27001:2005川
GB/T19001—2000，GB/T24001—2004和本标准之间的对照20
GB/T22080-2008/ISO/1EC27001:2005本标准等同采用ISO/IEC27001：2005《信息技术信息安全管理体系
要求》，仅有编
安全技术
辑性修改。
本标准的附录A是规范性附录，附录B和附录C是资料性附录。本标准由中华人民共和国信息产业部提出。本标准出全国信息安全标准化技术委员会归口。本标准由中国电子技术标准化研究所、上海三零卫士有限公司、北京知识安全工程中心、北京市信息安全测评中心、北京数字认证中心负责起草。本标准主要起草人：上官晓丽、许玉娜、胡啸、王新杰、赵战生、王连强、曾波、孔一童、刘海峰汤永利、尚小鹏、闵京华。
GB/T22080--2008/ISO/IEC27001:20050.1总则
本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（InformationSecurityManagementSystem，简称ISMS)提供模型。采用ISMS应当是个组织的-项战略性决策。一个组织ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS是本标准所期望的，例如，简单的情况可采用简单的ISMS解决方案。
本标准可被内部和外部相关方用于一致性评估。0.2过程方法
本标准采用过程方法来建立、实施，运行、监视、评审、保持和改进组织的ISMS。为使组织有效运作，需要识别和管理众多相五关联的活动。通过使用资源和管理，将输入转化为输出的活动可视为过程。通常，一个过程的输出直接形成下一个过程的输入。组织内诸过程的系统的应用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性：a）理解组织的信息安全要求和建立信息安全方针与目标的需要；b）从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险；监视和评审ISMS的执行情况和有效性；d）基于客观测量的持续改进。
本标准采用了“规划（Plan）一实施（Do）--检查（Check）一处置（Act）”（PDCA)模型，该模型可应用于所有的ISMS过程。图1说明了ISMS如何把相关方的信息安全要求和期望作为输入，并通过必要的行动和过程，产生满足这些要求和期望的信息安全结果。图1也描述了第4章、第5章、第6章、第7章和第8章所提出的过程间的联系。规划Plan
建立ISMS
相关方
相关方
信息安全
要求和期望
实施和
运行ISMS
监视和
评审ISMS
检查Check
保持和
改进ISMS
受控的
信息安全
应用于ISMS过程的PDCA模型
GB/T22080—2008/IS0/IEC27001:2005采用PDCA模型还反映了治理信息系统和网络安全的OECD指南（2002版）中所设置的原则。本标准为实施OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。
例1：某些信息安全违规不至于给组织造成严重的财务损失和/或使组织陷入困境。这可能是一种要求。
例2：如果发生了严重的事件（可能是组织的电子商务网站被黑客人侵）应有经充分培训的员工按照适当的规程，将事件的影响降至最小。这可能是一种期望。规划（建立ISMS）
实施（实施和运行ISMS）
检查（监视和评审ISMS）
处置（保持和改进ISMS）
0.3与其他管理体系的兼容性
建立与管理风险和改进信息安全有关的ISMS方针、日标、过程和规程，以提供与组织总方针和总目标相一致的结果。实施和运行ISMS方针、控制措施、过程和规程。对照ISMS方针、目标和实践经验，评估并在适当时测量过程的执行情况，并将结果报告管理者以供评审基于ISMS内部审核和管理评审的结果或者其他相关信息，采取约正和预防措施，以持续改进ISMS本标准与GB/T19001一2000及GB/T24001一2004相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T19001—2000和GB/T24001—2004的各条款之间的关系。本标准的设计能够使一个组织将其ISMS与其他相关的管理体系要求结合或整合起来。1）OECD信息系统和网络安全指南——面向安全文化。巴黎：OECD，2002年7月。www,oecd.orgV
GB/T22080—2008/IS0/1EC27001:2005信息技术安全技术
信息安全管理体系要求
重要提示：本出版物不声称包括一个合同所有必要的条款。用户负责对其进行正确的应用。符合标准本身并不获得法律责任的豁免。1范围
1.1总则
本标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（ISMS）规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。注1：本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。注2：GB/T22081一2008提供了设计控制措施时可使用的实施指南1.2应用
本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于第4章、第5章、第6章、第7章和第8章的要求不能删减。为了满足风险接受准则必要的进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满是由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任，否则不能声称符合本标准。注：如果一个组织已经有一个运转着的业务过程管理体系（例如，与GB/T190012000或者GB/T24001--2004相关的，那么在大多数情况下，更可取的是在这个现有的管理体系内满足本标准的要求。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用手本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22081—2008信息技术安全技术信息安全管理实用规则（ISO/IEC27002：2005，IDT）3术语和定义
下列术语和定义适用于本标准。3.1
资产asset
对组织有价值的任何东西。
［ISO/IEC13335-1:2004]
可用性availability
根据授权实体的要求可访问和利用的特性。［ISO/IEC13335-1:2004]
保密性confidentiality
信息不能被未授权的个人，实体或者过程利用或知悉的特性。1
GB/T22080--2008/1SO/IEC27001:2005［ISO/IEC13335-1:2004]
信息安全informationsecurity
保持信息的保密性、完整性、可用性：另外也可包括例如真实性、可核查性、不可否认性和可靠性等[GB/T22081—2008
信息安全事态informationsecurityevent信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对借息安全策略的违反或防护措施的失效，或是和安全关联的个先前未知的状态。［GB/Z20985-—2007
信息安全事件informationsecurityincident一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性。［GB/Z20985—2007-
信息安全管理体系（ISMS）informationsecuritymanagementsystem（ISMS）基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是一个组织整个管理体系的一部分。
注：管理体系包括组织结构、方针策略、规划活动、职责、实践、规程、过程和资源。3.8
完整性integrity
保护资产的准确和完整的特性。[ISO/IEC13335-1:2004]
residualrisk
残余风险
经过风险处置后遗留的风险。
「ISO/IECGuide73:2002]
risk acceptance
风险接受
接受风险的决定。
[ISO/IECGuide73:2002]
风险分析riskanalysis
系统地使用信息来识别风险米源和估计风险。[ISO/IECGuide73:2002]
riskassessment
风险评估
风险分析和风险评价的整个过程。[ISO/IECGuide73:2002]
风险评价riskevaluation
将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。[ISO/IECGuide73:2002]
风险管理riskmanagement
指导和控制一个组织相关风险的协调活动。[ISO/IECGuide73:2002]
风险处置risktreatment
选择并且执行措施来更改风险的过程。ISO/IECGuide73:2002
注：在本标准中，术语“控制措施”被用作“措施”的同义词。3.16
月statementofapplicability
适用性声明
GB/T220802008/IS0/IEC27001:2005描述与组织的信息安全管理体系相关的和适用的控制自标和控制措施的文件。注：控制目标和控制措施是基于风险评估和风险处置过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。
4信息安全管理体系（ISMS）
4.1总要求
组织应在其整体业务活动中且在所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。在本标准中，所使用的过程基于图1所示的PDCA模型：4.2建立和管理ISMS
4.2.1建立ISMS
组织应做以下方面的工作：
a）根据业务、组织、位置，资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正当性理由（见1.2）。b)
根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针。ISMS方针应：包括设定目标的框架和建立信息安全工作的总方向和原则；1）
考虑业务和法律法规的要求，及合同中的安全义务；在组织的战略性风险管理环境下，建立和保持ISMS；3）
建立风险评价的准则（见4.2.1c)；4）
获得管理者批准。
注：就本标准的目的而言，ISMS方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行措述。
c）确定组织的风险评估方法：
1）识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法；2）制定接受风险的准则，识别可接受的风险级别（见5.1f)）。选择的风险评估方法应确保风险评估产生可比较的和可再现的结果注：风险评估具有不同的方法。在ISO/IECTR13335-3中描述了风险评估方法的例子。识别风险：
1）识别ISMS范围内的资产及其责任人\；识别资产所面临的威胁；
识别可能被威胁利用的脆弱性；1）术语“责任人”标识了已经获得管理者的批准，负责产生，开发、维护、使用和保证资产的安全的个人或实体。术语“责任人”不是指该人员实际上对资产拥有所有权。3
GB/T22080--2008/ISO/IEC27001:20054）识别丧失保密性、完整性和可用性可能对资产造成的影响。分析和评价风险：
1）在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失效可能造成的对组织的影响；
根据主要的威胁和脆弱性、对资产的影响以及当前所实施的控制措施，评估安全失效发生2）
的现实可能性；
估计风险的级别；
确定风险是否可接受，或者是否需要使用在4.2.1c）2）中所建立的接受风险的准则进行处理。
）识别和评价风险处置的可选措施，可能的措施包括：1）采用适当的控制措施；
2）在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险（见4.2.1c)2));
3）避免风险；
4）将相关业务风险转移到其他方，如：保险，供应商等。g）为处理风险选择控制目标和控制措施。控制目标和控制措施应加以选择和实施，以满足风险评估和风险处置过程中所识别的要求。这利选择应考虑接受风险的准则（见4.2.1c）2））以及法律法规和合同要求。从附录A中选择控制目标和控制措施应成为此过程的一部分，该过程适合于满足这些已识别的要求。
附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施，组织也可能需要选择另外的控制自标和控制措施。
注：附录A包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将附录A作为选择控制措施的出发点，以确保不会遗滞重要的可选控制措施。h）获得管理者对建议的残余风险的批准。i）获得管理者对实施和运行ISMS的授权j）准备适用性声明（StatementofApplicability，简称SoA)应从以下几方面准备适用性声明：1）4.2.1g)中所选择的控制目标和控制措施，以及选择的理由；2）当前实施的控制目标和控制措施（见4.2.1e)2))；3）对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。注：适用性声明提供了一份关于风险处置决定的综述。删减的合理性说明提供交叉检查，以证明不会因疏忽而遗漏控制措施。
4.2.2实施和运行ISMS
组织应：
为管理信息安全风险识别适当的管理措施、资源、职责和优先顺序，即：制定风险处置计划（见第5章）；
实施风险处置计划以达到已识别的控制目标，包括资金安排、角色和职贵的分配；b)
实施4.2.1g）中所选择的控制措施，以满足控制目标；e
确定如何测量所选择的控制措施或控制措施集的有效性，并指明如何用这些测量措施来评估d)
控制措施的有效性，以产生可比较的和可再现的结果（见4.2.3c））；注：测量控制措施的有效性可使管理者和员工确定控制措施达到既定的控制目标的程度。实施培训和意识教育计划（见5.2.2)；e)
管理ISMS的运行；
g）管理ISMS的资源（见5.2）；GB/T22080-2008/IS0/IEC27001:2005实施能够迅速检测安全事态和响应安全事件的规程和其他控制措施（见4.2.3a)）。h)
4.2.3监视和评审ISMS
组织应：
执行监视与评审规程和其他控制措施，以：a
1）迅速检测过程运行结果中的错误；迅速识别试图的和得遥的安全违规和事件；2)
使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期望执行；
通过使用指示器，帮助检测安全事态并预防安全事作；5）
确定解决安全违规的措施是否有效。在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上，进行ISMSb）
有效性的定期评审（包括满足ISMS方针和日标，以及安全控制措施的评审）。c
测量控制措施的有效性以验证安全要求是否被满足按照计划的时间间隔进行风险评估的评审，以及对残余风险和已确定的可接受的风险级别进d
行评审，应考虑以下方面的变化：1）组织；
2）技术；
3）业务目标和过程；
4）已识别的威胁；
已实施的控制措施的有效性：
外部事态，如法律法规环境的变更，合同义务的变更和社会环境的变更。6
按计划的时间间隔，实施ISMS内部审核（见第6章）。e
注：内部审核，有时称为第一方审核，是用于内部目的，由组织自己或以组织的名义所进行的审核。f）定期进行ISMS管理评审，以确保ISMS范围保持充分，ISMS过程的改进得到识别（见7.1）。g）考虑监视和评审活动的结果，以更新安全计划。记录可能影响ISMS的有效性或执行情况的措施和事态（见1.3.3）。h）bzxz.net
4.2.4保持和改进ISMS
组织应经常：
实施已识别的ISMS改进。
依照8.2和8.3采取合适的纠正和预防措施。从其他组织和组织自身的安全经验中吸取b)
教训。
c）向所有相关方沟通措施和改进情况，其详细程度应与环境相适应，需要时，商定如何进行。d）确保改进达到了预期目标。
4.3文件要求
4.3.1总则
文件应包括管理决定的记录，以确保所采取的措施符合管理决定和方针策略，还应确保所记录的结果是可重复产生的。
重要的是，能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果，并进而回溯到ISMS方针和目标之间的关系。
ISMS文件应包括：
a）形成文件的ISMS方针（见4.2.1b))和目标；b）ISMS的范围（见4.2.1a)）；5
GB/T22080-—2008/ISO/IEC27001:2005c）支持ISMS的规程和控制措施；d)
风险评估方法的描述（见4.2.1c））；风险评估报告（见4.2.1c)到4.2.1g)）；e)
风险处置计划（见4.2.2b)）；
组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所g）
露的形成文件的规程（见4.2.3c)）；h）本标准所要求的记录（见4.3.3）；i）适用性声明。
注1：本标准出现“形成文件的规程之处，即要求建立该规程，形成文件，并加以实施和保持。注2：不同组织的ISMS文件的详略程度取决于：一一组织的规模和活动的类型；——安全要求和被管理系统的范围及复杂程度。注3：文件和记录可以采用任何形式或类型的介质。4.3.2文件控制
ISMS所要求的文件应予以保护和控制。应编制形成文件的规程，以规定以下方面所需的管理措施：
文件发布前得到批准、以确保义件是适当的；必要时对文件进行评审、更新并再次批准；确保文件的更改和现行修订状态得到标识；确保在使用处可获得适用文件的相关版本：确保文件保持清晰、易于识别；e
确保文件对需要的人员可用，并依照文件适用的类别规程进行传输、贮存和最终销毁；g）
确保外来文件得到识别；
确保文件的分发得到控制；
防止作废文件的非预期使用；
若因任何目的而保留作废文件时，对这些文件进行适当的标识。4.3.3记录控制
应建立记录并加以保持，以提供符合ISMS要求和有效运行的证据。应对记录加以保护和控制。ISMS的记录应考虑相关法律法规要求和合同义务。记录应保持消晰、易于识别和检索。记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。应保留4.2中列出的过程执行记录和所有发生的与ISMS有关的重大安全事件的记录。例如：记录包括访客登记簿、审核报告和已完成的访问授权单。5管理职责
5.1管理承诺
管理者应通过以下活动，对建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据：制定ISMS方针；
确保ISMS目标和计划得以制定；c
建立信息安全的角色和职责；
向组织传达满足信息安全自标、符合信息安全方针、履行法律责任和持续改进的重要性：提供足够资源，以建立、实施、运行、监视、评审、保持和改进ISMS（见5.2.1)；e
决定接受风险的准则和风险的可接受级别；g)
确保ISMS内部审核的执行（见第6章）；实施ISMS的管理评审（见第7章）。5.2资源管理
5.2.1资源提供
组织应确定并提供所需的资源，以：建立、实施、运行、监视、评审、保持和改进ISMS；a）
确保信息安全规程支持业务要求；b）
识别和满足法律法规要求、以及合同中的安全义务；c
通过正确实施所有的控制措施保持适当的安全；e)
必要时，进行评审，并适当响应评审的结果：在需要时，改进ISMS的有效性。5.2.2培训、意识和能力
GB/T22080—2008/ISO/IEC27001:2005组织应通过以下方式，确保所有被赋予ISMS职责的人员具有执行所要求任务的能力：确定从事影响ISMS工作的人员所必要的能力；a)
提供培训或采取其他措施（如聘用有能力的人员）以满足这些需求；b）
评价所采取的措施的有效性；
保持教育、培训、技能、经历和资格的记录（见4.3.3）。组织也应确保所有相关人员意识到他们信息安全活动的相关性和重要性，以及如何为达到ISMS目标做出贡献。
6ISMS内部审核
组织应按照计划的时间间隔进行ISMS内部审核，以确定其ISMS的控制自标、控制措施、过程和规程是否：
符合本标准和相关法律法规的要求；a）
符合已确定的信息安全要求；
得到有效地实施和保持；
d）按预期执行。
应在考虑拟审核的过程与区域的状况和重要性以及以往审核的结果的情况下，制定审核方案。应确定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。
策划和实施审核、报告结果和保持记录（见4.3.3）的职责和要求应在形成文件的规程中做出规定。负责受审区域的管理者应确保及时来取措施，以消除已发现的不符合及其产生的原因。跟踪活动应包括对所采取措施的验证和验证结果的报告（见第8章）。注：GB/T190112003也可为实施ISMS内部审核提供有用的指导，7ISMS的管理评审
7.1总则
管理者应按计划的时间间隔（至少每年1次）评审组织的ISMS，以确保其持续的适宜性、充分性和有效性。评审应包括评估ISMS改进的机会和变更的需要，包括信息安全方针和信息安全目标。评审的结果应清晰地形成文件，记录应加以保持（见4.3.3）。7.2评审输入
管理评审的输入应包括：
a）ISMS审核和评审的结果；
相关方的反馈；
组织用于改进ISMS执行情况和有效性的技术、产品或规程；c)
预防和纠正措施的状况；
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。