犐犆犛３５．０４０

犔８０

中華人民共和國國家標準

犌犅／犜２２０８０—２００８／犐犛犗／犐犈犆２７００１：２００５

信息技術(shù)安全技術(shù)

信息安全管理體系要求

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊—

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋狊狔狊狋犲犿狊—犚犲狇狌犻狉犲犿犲狀狋狊

（ＩＳＯ／ＩＥＣ２７００１：２００５，ＩＤＴ）

２００８０６１９發(fā)布２００８１１０１實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

書

犌犅／犜２２０８０—２００８／犐犛犗／犐犈犆２７００１：２００５

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

４信息安全管理體系（ＩＳＭＳ）!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

５管理職責!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

６ＩＳＭＳ內(nèi)部審核!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

７ＩＳＭＳ的管理評審!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

８ＩＳＭＳ改進!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

附錄Ａ（規(guī)范性附錄）控制目標和控制措施!!!!!!!!!!!!!!!!!!!!!!!９

附錄Ｂ（資料性附錄）ＯＥＣＤ原則和本標準!!!!!!!!!!!!!!!!!!!!!!!１９

附錄Ｃ（資料性附錄）ＧＢ／Ｔ１９００１—２０００，ＧＢ／Ｔ２４００１—２００４和本標準之間的對照!!!!!２０

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２２

Ⅰ

書

犌犅／犜２２０８０—２００８／犐犛犗／犐犈犆２７００１：２００５

前言

本標準等同采用ＩＳＯ／ＩＥＣ２７００１：２００５《信息技術(shù)安全技術(shù)信息安全管理體系要求》，僅有編

輯性修改。

本標準的附錄Ａ是規(guī)范性附錄，附錄Ｂ和附錄Ｃ是資料性附錄。

本標準由中華人民共和國信息產(chǎn)業(yè)部提出。

本標準由全國信息安全標準化技術(shù)委員會歸口。

本標準由中國電子技術(shù)標準化研究所、上海三零衛(wèi)士有限公司、北京知識安全工程中心、北京市信

息安全測評中心、北京數(shù)字認證中心負責起草。

本標準主要起草人：上官曉麗、許玉娜、胡嘯、王新杰、趙戰(zhàn)生、王連強、曾波、孔一童、劉海峰、

湯永利、尚小鵬、閔京華。

Ⅲ

犌犅／犜２２０８０—２００８／犐犛犗／犐犈犆２７００１：２００５

引言

０．１總則

本標準用于為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系（ＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ

ＭａｎａｇｅｍｅｎｔＳｙｓｔｅｍ，簡稱ＩＳＭＳ）提供模型。采用ＩＳＭＳ應(yīng)當是一個組織的一項戰(zhàn)略性決策。一個組

織ＩＳＭＳ的設(shè)計和實施受其需要和目標、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述

因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需要實施ＩＳＭＳ是本標準所期望的，例如，簡單的情況

可采用簡單的ＩＳＭＳ解決方案。

本標準可被內(nèi)部和外部相關(guān)方用于一致性評估。

０．２過程方法

本標準采用過程方法來建立、實施、運行、監(jiān)視、評審、保持和改進組織的ＩＳＭＳ。

為使組織有效運作，需要識別和管理眾多相互關(guān)聯(lián)的活動。通過使用資源和管理，將輸入轉(zhuǎn)化為輸

出的活動可視為過程。通常，一個過程的輸出直接形成下一個過程的輸入。

組織內(nèi)諸過程的系統(tǒng)的應(yīng)用，連同這些過程的識別和相互作用及其管理，可稱之為“過程方法”。

本標準中提出的用于信息安全管理的過程方法鼓勵其用戶強調(diào)以下方面的重要性：

ａ）理解組織的信息安全要求和建立信息安全方針與目標的需要；

ｂ）從組織整體業(yè)務(wù)風險的角度，實施和運行控制措施，以管理組織的信息安全風險；

ｃ）監(jiān)視和評審ＩＳＭＳ的執(zhí)行情況和有效性；

ｄ）基于客觀測量的持續(xù)改進。

本標準采用了“規(guī)劃（Ｐｌａｎ）—實施（Ｄｏ）—檢查（Ｃｈｅｃｋ）—處置（Ａｃｔ）”（ＰＤＣＡ）模型，該模型可應(yīng)用

于所有的ＩＳＭＳ過程。圖１說明了ＩＳＭＳ如何把相關(guān)方的信息安全要求和期望作為輸入，并通過必要

的行動和過程，產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。圖１也描述了第４章、第５章、第６章、

第７章和第８章所提出的過程間的聯(lián)系。

圖１應(yīng)用于犐犛犕犛過程的犘犇犆犃模型

Ⅳ

犌犅／犜２２０８０—２００８／犐犛犗／犐犈犆２７００１：２００５

采用ＰＤＣＡ模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的ＯＥＣＤ指南（２００２版）１）中所設(shè)置的原則。

本標準為實施ＯＥＣＤ指南中規(guī)定的風險評估、安全設(shè)計和實施、安全管理和再評估的原則提供了一個

強健的模型。

例１：某些信息安全違規(guī)不至于給組織造成嚴重的財務(wù)損失和／或使組織陷入困境。這可能是一種

要求。

例２：如果發(fā)生了嚴重的事件（可能是組織的電子商務(wù)網(wǎng)站被黑客入侵）應(yīng)有經(jīng)充分培訓(xùn)的員工按

照適當?shù)囊?guī)程，將事件的影響降至最小。這可能是一種期望。

建立與管理風險和改進信息安全有關(guān)的ＩＳＭＳ方針、目標、

規(guī)劃（建立ＩＳＭＳ）

過程和規(guī)程，以提供與組織總方針和總目標相一致的結(jié)果。

實施（實施和運行ＩＳＭＳ）實施和運行ＩＳＭＳ方針、控制措施、過程和規(guī)程。

對照ＩＳＭＳ方針、目標和實踐經(jīng)驗，評估并在適當時測量過

檢查（監(jiān)視和評審ＩＳＭＳ）

程的執(zhí)行情況，并將結(jié)果報告管理者以供評審。

基于ＩＳＭＳ內(nèi)部審核和管理評審的結(jié)果或者其他相關(guān)信

處置（保持和改進ＩＳＭＳ）

息，采取糾正和預(yù)防措施，以持續(xù)改進ＩＳＭＳ。

０．３與其他管理體系的兼容性

本標準與ＧＢ／Ｔ１９００１—２０００及ＧＢ／Ｔ２４００１—２００４相結(jié)合，以支持與相關(guān)管理標準一致的、整合

的實施和運行。因此，一個設(shè)計恰當?shù)墓芾眢w系可以滿足所有這些標準的要求。表Ｃ．１說明了本標

準、ＧＢ／Ｔ１９００１—２０００和ＧＢ／Ｔ２４００１—２００４的各條款之間的關(guān)系。

本標準的設(shè)計能夠使一個組織將其ＩＳＭＳ與其他相關(guān)的管理體系要求結(jié)合或整合起來。

１）ＯＥＣＤ信息系統(tǒng)和網(wǎng)絡(luò)安全指南———面向安全文化。巴黎：ＯＥＣＤ，２００２年７月。ｗｗｗ．ｏｅｃｄ．ｏｒｇ

Ⅴ

犌犅／犜２２０８０—２００８／犐犛犗／犐犈犆２７００１：２００５

信息技術(shù)安全技術(shù)

信息安全管理體系要求

重要提示：本出版物不聲稱包括一個合同所有必要的條款。用戶負責對其進行正確的應(yīng)用。符合

標準本身并不獲得法律責任的豁免。

１范圍

１．１總則

本標準適用于所有類型的組織（例如，商業(yè)企業(yè)、政府機構(gòu)、非贏利組織）。本標準從組織的整體業(yè)

務(wù)風險的角度，為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系（ＩＳＭＳ）規(guī)定了

要求。它規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實施要求。

ＩＳＭＳ的設(shè)計應(yīng)確保選擇適當和相宜的安全控制措施，以充分保護信息資產(chǎn)并給予相關(guān)方信心。

注１：本標準中的“業(yè)務(wù)”一詞應(yīng)廣義的解釋為關(guān)系一個組織生存的核心活動。

注２：ＧＢ／Ｔ２２０８１—２００８提供了設(shè)計控制措施時可使用的實施指南。

１．２應(yīng)用

本標準規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織