ISO 27001 2022 中文版引言

原创

wx63a586e60e767 2022-12-28 12:14:25 ©著作权

©著作权归作者所有：来自51CTO博客作者wx63a586e60e767的原创作品，请联系作者获取转载授权，否则将追究法律责任

声明

本文主要是学习汤季洪老师翻译的ISO 27001 2022中文试译稿进行了学习和记录希望对大家有帮助

ISO（国际标准化组织）和IEC（国际电工委员会）构成了全球标准化的专门体系。作为ISO或IEC成员的国家机构通过各自组织建立的技术委员会参与国际标准的制定，以处理特定领域的技术活动。ISO和IEC技术委员会在共同感兴趣的领域进行合作。与ISO和IEC保持联系的其他政府和非政府国际组织也参与此项工作。 ISO/IEC导则第1部分描述了用于编制本标准的程序以及旨在进一步维护本标准的程序。特别是，应注意不同类型的文件需要不同的审批标准。本标准根据ISO/IEC导则第2部分的编辑规则起草。请注意，本标准中的某些内容可能是专利权的主题。ISO和IEC不负责识别任何或所有此类专利权。在文档开发过程中确定的任何专利权的详细信息将在引言和/或收到的ISO专利声明列表中列出或收到的IEC专利声明列表。本标准中使用的任何商品名称都是为了方便用户而提供的信息，并不构成认可。有关标准的自愿性质的解释、与合格评定相关的ISO特定术语和表述的含义，以及有关ISO遵守《技术性贸易壁垒（TBT）中遵守世界贸易组织（WTO）原则》的信息，IEC的有关信息请参见本标准由ISO/IEC JTC 1联合技术委员会信息技术分委员会SC 27信息安全、网络安全和隐私保护编写。第三版取消并取代了已经过技术修订的第二版(ISO/IEC 27001:2013)，并包含其技术勘误ISO/IEC 27001:2013/Cor 1:2014和ISO/IEC 27001:2013/Cor 2:2015。主要变化如下： — 行文与管理体系标准的协调结构和ISO/IEC 27002:2022保持一致。关于本标准的任何反馈或问题应提交给用户的国家标准机构。这些机构的完整清单可在以下网址找到：

ISO 27001 2022 中文版引言

本标准提供建立、实现、维护和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实现受组织的需要和目标、安全要求、组织所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并使相关方树立风险得到充分管理的信心。重要的是，信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中，并且在过程、信息系统和控制的设计中要考虑到信息安全。期望的是，信息安全管理体系的实现程度要与组织的需要相符合。本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。本标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求予以实现的顺序。所列项目仅供参考。 ISO/IEC 27000描述了信息安全管理体系的概述和词汇，引用了信息安全管理体系系列标准(包括ISO/IEC 27003[2]，ISO/IEC 27004[3]和ISO/IEC 27005[4])，以及相关术语和定义。 0.2 与其他管理体系标准的兼容性本标准应用ISO/IEC导则第1部分附录SL中定义的高层结构、相同条款标题、相同文本、通用术语和核心定义，因此维护了与其他采用附录SL的管理体系的标准具有兼容性。附录SL中定义的通用途径对于选择运行单一管理体系来满足两个或更多管理体系标准要求的组织是有用的

ISO 27001 2022 中文版范围

本标准规定了在组织范围内建立、实施、维护和持续改进信息安全管理体系的要求。本标准还包括针对组织需求定制的信息安全风险评估和处理要求。本标准中列出的要求是通用的，旨在适用于所有组织，无论其类型、规模或性质如何。当一个组织声称符合本标准时，不能排除第4章到第10章中所规定的任何要求。

规范性引用文件

以下文件在文本中被引用，其部分或全部内容构成本标准的要求。对于注明日期的参考文献，仅引用的版本适用。对于未注明日期的引用文件，引用文件的最新版本(包括任何修订)适用。 ISO/IEC 27000，信息技术—安全技术—信息安全管理体系—概述和词汇

组织环境

4.1 理解组织及其环境组织应确定与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。注：对这些事项的确定，参见ISO 31000:2018中5.4.1建立外部和内部环境的内容。 4.2 理解相关方的需求和期望组织应确定： a) 信息安全管理体系相关方； b) 这些相关方与信息安全相关的要求。 c) 这些要求中，哪些将通过信息安全管理体系来达成。注：相关方的要求可包括法律、法规要求和合同义务。 4.3 确定信息安全管理体系范围组织应确定信息安全管理体系的边界及其适用性，以建立其范围。在确定范围时，组织应考虑： a) 4.1中提到的外部和内部事项； b) 4.2中提到的要求； c) 组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关

完整内容参考汤季洪老师翻译的ISO 27001 2022中文试译稿