1、1 信息安全管理體系ISO/IEC 270011丄管理體系及其產業鏈管理體系是組織用來保證其完成任務，事件目標的過程集的框架。在ISO 9000:2000中， 將其定義為建立方針和目標并實現這些目標的體系。注:一個組織的管理體系可包括若干個不同的管理體系，如質量管理體系、財務管理體 系或環境管理體系。一個典型的管理體系框架如下圖所示：目前存在很多的管理體系，例如質量管理體、系環境管理體系、職業健康管理體系、信息安全管理體系等。質量管理體系是出現比較早發展比較成熟的 管理體系，其他管理體系或多或少都借鑒了質量管理體系的經驗。管理體系形成的完整的產業鏈，如圖11所示.信息安全管理體系正如其名稱所表

2、述的含義，就是關于信息安全的管理體 系。信息安全管理體系是整個管理體系的一部分。它是基于業務風險方法，來 建立、實施、運行、監視、評審、保持和改進信息安全的。ISMS的概念已經跳出了傳統的“為了安全信息而信息安全”的理解，它強 調的是基于業務風險方法來組織信息安全活動，其本身只是整個管理體系的一 部分。這就要求我們站在全局的觀點看待信息安全問題。圖 1231231.2.IS0/IEC 27000 標準族ISO/IEC 27001 發展歷程IS027000從誕生到現在只不過20年間的事情，但基本上可以看出一個標準“源于生 活，高于生活”的發展特點，也就是說，一個真正普遍適用并能被普遍接受的標準，

3、必然是 能體現相關領域最佳慣例并能為最佳慣例的推廣起指導作用的。BS7799最初是由英國貿工部(DTI)立項的，是業界、政府和商業機構共同倡導的，旨在開 發一套可供開發、實施和測量有效安全管理慣例并提供貿易伙伴間信任的通用框架。負責標 準開發和管理工作的BSIDISC Committee BDD/2是由來自貿易和工業部門的眾多代表共同 組成的，其成員在各自的領域都具有足夠的影響力，包括金融業的英國保險協會、渣打會計 協會、匯豐銀行等，通信行業有大英電訊公司，還有像殼牌、聯合利華、畢馬威(KPMG)等這 樣的跨國機構。1995年，BS77991:1995信息安全管理實施細則首次出版(其前身是19

4、93年發布的 PD0005),它提供了一套綜合性的、由信息安全最佳慣例構成的實施細則，目的是為確定各 類信息系統通用控制提供唯一的參考基準。在隨后一段時間里，由于電子商務的發展，由此引發客戶、供應商、貿易伙伴間對各自 信息保護能力的信任問題，促使第三方認證成為一個急需。信息安全管理遵循一套最佳慣例, 但怎樣做的？執行程度如何？是否完備？這就需要有一個共同的尺度來進行衡量。1998年，BS77992:1998信息安全管理體系規范公布，這是對BS77991的有效補 充，它規定了信息安全管理體系的要求和對信息安全控制的要求，是一個組織信息安全管理 體系評估的基礎，可以作為認證的依據。至此，BS779

5、9標準初步成型。1999年4月，BS7799的兩個部分被重新修訂和擴展,形成了一個完整版的BS77991999。 新版本充分考慮了信息處理技術應用的最新發展，特別是在網絡和通信領域。除了涵蓋以前 版本所有內容之外，新版本還補充了很多新的控制，包括電子商務、移動計算、遠程工作等。由于BS7799 0益得到國際認同，使用的國家也越來越多，2000年22月，國際標準化 組織ISO/IEC JTC 1/SC27工作組認可BS77991:1999,正式將其轉化為國際標準，即所頒布的ISO/IEC 17799:2000信息技術一一信息安全管理實施細則。作為一個全球通用的標準, ISO/IEC 17799并

6、不局限于IT,也不依賴于專門的技術，它是由長期積累的一些最佳實踐構成 的，是市場驅動的結果。2002年，BSI對BS7799:21999進行了重新修訂，正式引入PDCA過程模型，以此作為 建立、實施、持續改進信息安全管理體系的依據，同時，新版本的調整更顯示了與 IS09001:2000 JS014001:1996等其他管理標準以及經濟合作與開發組織(OECD)基本原則的一 致性，體現了管理體系融合的趨勢。2004年9月5日，BS77992:2002正式發布，隨即提 交ISO并邁入“快速通道”。2005 年 6 月,ISO/IEC 17799:2000 經過改版，形成了新的 ISO/IEC 17

7、799:2005,新版本較 老版本無論是組織編排還是內容完整性上都有了很大增強和提升。緊接著，被期待已久的 BS77992:2002也終于被ISO組織所采納，于同年20月推出了 ISO/IEC 27001:2005。2007 年 20 月，ISO/IEC 17799:2005 被正式納入 IS027000 體系，成為 4027002:2007。2023 年 9 月,ISO/IEC 27001:2005 經過改版，形成了新的 ISO/IEC 27001:2013,新版本 從原先8個章節擴展到10個章節，重建了 ISO標準PDCA章節架構，并將舊版11個控制域 擴展到24個，使結構更合理，表現更清

8、晰。作為認證標準,IS027000系列中最關鍵的還是IS027001,所以，人們更習慣以IS027001 來直接代表此系列信息安全管理標準。圖5所示為IS027000系列標準的發展歷程。BS77991992年在英國首次作為行業標準發布，為信息安全管理提供了T依據。BS7799-2在1998年、1999年經過兩次修訂之后出版BS7799-1 : 1999和BS7799-2 : 1999。BS7799-12000年4月，將BS7799-1 : 199塞 交ISO ,同年10月獲得通過成為 ISO/IEC17799 : 2000版。2005年對ISO/IEC17799 : 2000版 進行了修訂，于

9、6月15日發布了 ISO/IEC17799 : 2005版。IS027001IS0270022007年上半年正式更名為ISO27002:2007o2033年與IS027001:2013版同步更 新為 IS027002:2013.2001 年修訂BS7799-2 : 1999 ,同 年BS7799-2 : 2000發布。2002年對BS7799-2 : 2000進行了 修訂發布了BS7799-2 : 2002版。ISO于200拜 10月 15采用BS7799-2 :2002版本成為國際標準-ISO/IEC27001 : 2005版。2013年10月19日修訂原版，正式使 用 ISO/IEC270

10、01:2013)iSoBS7799標準最早是由英國工貿部、英國標準化協會(BSI)組織的相關專家共同開發制定的ISO/IEC 27000 標準族一覽ISO/IEC 27000族標準是國際化組織專門為ISMS預留下來的一系列相關標準的總稱具 體如下：序號標準編號標準名稱出版年份1IS0/IEC27000信息技術-安全技術-信息安全管理體系-概 述與術語2009序號標準編號標準名稱出版年份2IS0/IEC27001信息技術-安全技術-信息安全管理體系-要 求20133IS0/IEC27002信息技術-安全技術-信息安全管理-實用規 則20134IS0/IEC27003信息技術-安全技術-信息安全管

11、理體系-實 施指南20105IS0/IEC27004信息技術-安全技術-信息安全管理-度量20096IS0/IEC27005信息技術-安全技術-信息安全風險管理20117IS0/IEC27006信息技術-安全技術-信息安全管理體系-認 證機構要求20078IS0/IEC27007信息技術-安全技術-信息安全管理體系審核 指南20119IS0/IEC27008信息技術-安全技術-ISMS控制措施的審核員 指南201110IS0/IEC27010信息技術-安全技術-部門間和組織間通信的 信息安全管理201211IS0/IEC27011信息技術-安全技術-通訊行業基于IS0/IEC27002的信息安

12、全管理指南200812IS0/IEC27013信息技術-安全技術-ISO/IEC 27001與ISO/IEC 20000-1整合實施指南201213IS0/IEC27014信息技術-安全技術-信息安全治理架構201314IS0/IEC27015信息技術-安全技術-金融服務行業信息安全 管理指南201215IS0/IEC27017信息技術-安全技術-信息安全管理-基于 ISO/IEC 27002使用云計算服務信息安全控 制措施指南未發布16IS0/IEC27018信息技術-安全技術-公共云計算服務數據保 護控制措施實用規則未發布17IS0/IEC27031信息技術-安全技術-業務連續性信息通信技

13、 術準備指南201118IS0/IEC27032信息技術-安全技術-網絡安全技術指南201219IS0/IEC27033-1信息技術-安全技術-網絡安全-概述與概念200920IS0/IEC27033-2信息技術-安全技術-網絡安全-網絡安全設 計與實施指南201221IS0/IEC27033-3信息技術-安全技術-網絡安全-參考網絡場 景-威脅、設計技術與控制問題201022IS0/IEC27034-1信息技術-安全技術-應用安全-應用安全概 述與概念201123IS0/IEC27034-2信息技術-安全技術-應用安全-組織規范框 架未發布序號標準編號標準名稱出版年份24IS0/IEC270

14、34-3信息技術-安全技術-應用安全-應用安全管 理流程未發布25IS0/IEC27034-4信息技術-安全技術-應用安全-應用安全驗 證未發布26IS0/IEC27034-5信息技術-安全技術-應用安全-協議和應用 安全控制數據結構未發布27IS0/IEC27034-6信息技術-安全技術-應用安全-特定應用安 全指南未發布28IS0/IEC27035信息技術-安全技術-信息安全事件管理201129IS0/IEC27036信息技術-安全技術-供應關系信息安全(4部 分)未發布30IS0/IEC27040信息技術-安全技術-存儲安全未發布31IS0/IEC27044信息技術-安全技術-安全信息與

15、事態管理指 南未發布1.2.3.主要標準簡介:L ISO/IEC 27000ISO/IEC 27000信息安全管理體系一概述與術語提供了 ISMS標準族中所涉及的通用術 語及基本原則，是ISMS標準族中最基礎的標準之一。ISMS標準族中的每個標準都有“術 語和定義”部分，但不同標準的術語間往往缺乏協調性，而ISO/IEC 27000則主要用于實現 這種協調2 ISO/IEC 27001ISO/IEC 27001信息安全管理體系一要求是建立信息安全管理體系(ISMS)的一套規范， 其中詳細說明了建立、實施和維護信息安全管理體系的要求，本標準將在第3章進行詳細 的解析。3 ISO/IEC 2700

16、2ISO/IEC 27002信息安全管理一實用規則為在組織內啟動、實施、保持和改進信息安全 管理提供指南和通用的原則。該標準概述的目標提供了有關信息安全管理通常公認的目標 的通用指南。其包含的實施規則可以認為是開發組織具體指南的起點。但該實施規則中的 控制和指導并不全都是適用的，應當根據企業自身情況對控制措施進行擴充與裁減。4 ISO/IEC 27003ISO/IEC 27003信息安全管理體系一實施指南為建立、實施、監視、評保持和改進符合 ISO/IEC 27001的ISMS提供了實施指南和進一步的信息，使用者主要為組織內負責實施 ISMS的人員。5 ISO/IEC 27004ISO/IEC

17、 27004信息安全管理測量主要為組織測量信息安全控制措施和ISMS過程的有 效性提供指南。該標準將測量分為有效性測量和過程測量兩個類別，列出了多種測量方法，例如調 查、問卷、觀察、知識評估檢查、二次執行、測試以及抽樣等。該標準定義了 ISMS的測量過程：1）首先要實施ISMS的測量，應定義選擇測量措施，同時確定測量對象和檢驗標準， 形成測量計劃；2）實施ISMS測量的過程中，應定義數據的收集、分析和報告程序并評審、批準提供 資源以支持測量活動的開展；3）在ISMS的檢查和處置階段，也應對測量措施加以改進，這就要求首先定義測量過 程的評價準則，對測量過程加以監控，并定期實施評審。6 ISO/I

18、EC 27005ISO/IEC 27005信息安全風險管理給出了信息安全風險管理的指南，其中描述的技術遵 循ISO/IEC 27001中的通用概念、模型和過程。該標準介紹了一般性的風險管理過程，并重點闡述了風險評估的幾個重要環節，包括 風險評估、風險處理、風險接受等。在標準的附錄中，給出了資產、影響、脆弱性以及風 險評估的方法，并列出了常見的威脅和脆弱性。最后還給出了根據不同通信系統以及不同 安全問題和威脅選擇控制措施的方法。7 ISO/IEC 27006ISO/IEC 27006信息安全管理體系認證機構的要求認可的主要內容是對從事ISMS認證 的機構提出了要求和規范，或者說它規定了一個機構“

19、具備怎樣的條件就可以從事ISMS認 證業務”。8 ISO/IEC 27007ISO/IEC 27007信息安全管理體系審核指南為有認證資格的組織按照ISO/IEC 27001和 ISO/IEC 27002來審核待認證的企業的ISMSo該標準主要參考ISO/IEC 19001:2002質量和環 境管理體系審核指南。所有“管理體系”基本都是相通的，ISO/IEC 27007強調了 ISMS的 特殊之處。9 ISO/IEC 27008ISO/IEC 27008是關于技術類控制的審核部分，為審核員提供了控制措施的審核指南。1.3. ISO/IEC 27001:2013 版概述1.3.1.標準的基本架構

20、ISO/IEC 27001:2013采用了 ISO Guide 83的通用架構，該導則對管理體系標準在架構、 格式、通用短語和定義方面進行了統一，同時也是ISO組織未來所有管理制度制定時的重要 依據。此通用架構將確保今后編制或修訂管理體系標準的持續性、整合性和簡單化，這也將 使標準更易讀、易懂，有利于不同管理體系間進行接軌、整合。第一個采用導則83的標準是2013年年5月發布的業務連續管理體系標準一一ISO 22301:2012c預計已頒布的標準如IS09000/ IS020000未來的改版也將采用了 ISO Guide 83的 通用架構。下圖為ISO Guide 83的通用架構。2. Nor

21、mat i vcRcrcrcnccs規范性引用文件1. Scope范圉3. Terms and Defi ni t i cnsl 術語和定義 丿 4. Context of the Or Ran i za.t i onI、 組織環境5. Lcadcrsh i p 領導力6. P1 cinn i ng策劃7. Support 支持從目錄結構上不難看出，標準不再對PDCA模型進行大段描述，而是將其思想方法融 匯到標準的架構中。下圖為ISO/IEC 27001:2013的基本架構。13.2.標準正文內容簡介該標準第1-3章主要闡明了該標準的適用范圍、引用的文件及術語和定義。第4章屬于Plan階段的一

22、個組成部分。該章節介紹了建立適用于組織信息安全管理環 境的必要要求，包括需求、要求與范圍。涉及了解組織現狀及背景、明確建立信息安全管理 體系的目的、理解相關方的需求與期望、確定信息安全管理體系范圍。第5章屬于Plan階段的一個組成部分。該章節總結了最高管理層在信息安全管理體系 中承擔角色的具體要求，以及如何通過一份聲明的策略來向組織傳達領導層的期望。涉及了 領導力和承諾、信息安全方針目標，以及角色、職責和承諾。第6章屬于Plan階段的一個組成部分。該章節介紹了處理風險和機遇的行動，以及可 實現的信息安全目標與實現計劃。涉及了信息安全風險評估、風險所有者、信息安全風險處 置、適用性聲明、信息安全

23、目標。第7章屬于Plan階段的一個組成部分。該章節詳細敘述了建立、實施、保持和改進一 個有效的信息安全管理體系所需要的支持。包括:資源要求、參與人員的能力、意識、與利益 相關方溝通、文檔化信息。第8章屬于Do階段的一個組成部分。該章節描述了組織信息安全體系實施中的必要過 程，涉及運行計劃及控制、信息安全風險評估、信息安全風險處置。第9章屬于Check階段的一個組成部分。該章節總結了度量ISMS執行、ISMS與國際標 準及管理層期望的符合性、尋求管理層期望反饋的要求，涉及監控、度量、分析和評價，內 部審核，管理評審。第10章屬于Action階段的一個組成部分。該章節描述了組織應通過糾正行動來識別

24、和 改進不符合項，涉及不符合項不糾正措施、持續改進。1.4.IS0/IEC 27001:2013 版變化1.4.1.整體變化IS027001:2013版對標準架構進行了大幅修改，以適應未來管理體系標準中使用的新的 架構，簡化與其他管理體系的整合。標準新版刪除了舊版中重復、不適用的內容，結構上更 清晰，內容上更精煉，邏輯上更嚴謹，并且在管理要求的定義上變得更具彈性，給予組織更 靈活的實施空間。2005版原本有11個控制域、133個控制項，2013標準調整為14個控制域、114個控 制項。控制項變化:增加了 口個控制項、刪除了 20個控制項、合并移動減少20個控制項, 總計減少了 19個控制項。I

25、SO/IEC 27001： 2005ISO/IEC 27001： 20131.4.2.正文部分的變化1.4.2.1.正文部分架構的變化IS027001:2013版對正文的架構進行了調整，采用了 ISO Guide 83的通用架構，采用此 架構的好處在于可將各標準的要求，以統一的架構進行描述。AnnexSL架構考慮了管理體系 間的兼容性，有利于不同管理體系間進行接軌、整合。變化的調整詳見下圖。ISO/IEC 27001:2013ISO/IEC 27001:2005嶄1范圍規范性引用文件1 4.血萼束二4.組織的環境| 4.2建立和管理ISMS_ _ A站尊力術語和定義6.1+SJ:7.支持8.歸

26、4.3文件要求9.績效評價】10.改進1422 PDCA的融合在IS027001:2005版中，標準在正文部分中對PDCA模型進行了大幅描述，在 IS027001:2013版中，標準刪除了對PDCA的描述內容，取而代之的是正文10.2中的一句“持 續改進”。但從標準編寫的目錄結構上看，2023版正文內容調整為策劃一支持一運行一績效 評價一改進，架構上其實已經融入了 PDCA思想。如圖一一o4. Context of the Organization10. ImprovcincnlK1S5. Leadership領導力6. Planning 策劃、9. Performance Evaluatio

27、nCheck JOpcralion運行7. Support 支持1.4.2.3,風險評估的變化新版簡化了對風險識別、風險分析的要求的描述，不再強調對資產責任 人、威脅、脆弱性等進行識別，這意味著組織可選用的風險評估的方法可以更 加寬泛和靈活。組織可以根據自身的情況，選用簡化的風險評估方法，或繼續 使用現行的方法。1.43.附錄A內容變化143丄 附錄A變化變化概述在控制域結構上，4027001:2023版將密碼學和供應關系列成兩個單獨的控制域，并將 舊版的通信與操作管理拆分為操作安全和通信安全兩個控制域，詳見下圖。在控制措施的設置上，4027002:2023保留了多數老的控制項，但對舊版中相近

28、或類似 的項進行了整合，刪除了部分過時的或太過于具體的控制措施，并針對這幾年信息技術的發 展，將移動設備管理列入了控制項。IS027001:2013A.5安全方針A.5安全方針A.6信息安全組織A.6信息安全組織A.7A.8資產管理人力資源安全A.7A.8人力資源安全 資產管理IS027001:2005A.9物理與環境安全A.10通信與操作管理A.U訪問控制A.12信息系統獲取、開發和維護A.13信息安全事件管理A. 14業務連續性管理A.15符合性A.9訪問控制A.10密碼學（新增）A.11物理與環境安全A.12操作安全（由舊版A.10獨立岀來）A.13通信安全（由舊版A.10分開獨立出來）

29、A.14信息系統獲取、開發和維護A.15供應關系（新增）A.16信息安全事件管理A.17信息安全方面的業務連續性管理A.18符合性1-4.3.2.新增的控制措施ISO/IEC 27001:2013較2005版新增了 口個控制措施，新增的控制措施如下： 注:由于對應國標暫未出臺，尚無官方的中文翻譯，以下譯文僅作參考。1）A.6.1.5 Information security in project management 項目管理中的信息安全【描述】Information security shall be addressed in project management, regardless o

30、f the type of the project.【參考譯文】實施任何項目應考慮信息安全的相關要求。【說明】該控制項加強了對項目中的安全管理。2）A.12.6.2 Restrictions on software installation 限制軟件安裝【描述】Rules go ver ning the in stallati on of software by users shall be established and impleme nted.【參考譯文】應建立和實施用戶軟件安裝的規則。【說明】該控制項意在加強對版權和技術漏洞的控制。A.14.2.1 Secure development

31、 policy 安全的開發策略【描述】Rules for the development of software and systems shall be established and applied to developments within the organization.【參考譯文】應建立組織內部的軟件和系統的開發準則。【說明】該控制項加強了信息系統生命周期中的安全開發策略。A.14.2.5 Secure system engineering principles 安全系統工程原則【描述】Principles for engineering secure systems shall

32、 be established, documented, maintained and applied to any information system development efforts.【參考譯文】應建立、記錄、維護和應用安全系統工程原則，并應用于任何信息系統工程。【說明】該控制項加強了信息系統生命周期中的程序與流程。A.14.乙6 Secure development environment 開發環境安全【描述】Organizations shall establish and appropriately protect secure development environment

33、 for system development and integration efforts that cover the entire system development lifecycle.【參考譯文】在整個系統開發生命周期的系統開發和集成工作中，應建立并適當保護開發環境的安全。 【說明】該控制項加強了信息系統生命周期中的開發環境安全。A.14.乙8 System security testing 系統安全測試【描述】Testing of security functionality shall be carried out during development.【參考譯文】在開發過程

34、中，應進行安全性測試。【說明】該控制項加強了信息系統生命周期中的系統安全性。A.15.1.1 Information security policy for supplier relationships 供應商關系的信息安全策 略【描述】Information security requirements for mitiga廿ng the risks associated with supplier access to organizations assets shall be documented.【參考譯文】為降低供應商使用組織資產所帶來的風險，應與供應商簽署包含安全要求的協議。【說明】此

35、項控制措施加強了對供應商的管理要求。A.15.1.3 Information and communication technology supply chain 信息和通信技術的供 應鏈【描述】Agreeme nts with suppliers shall in elude requireme nts to address the in formatio n security risks associated with in formati on and comm un icati ons tech no logy services and product supply chain.【參考譯

36、文】供應商協議應包括信息、通信技術服務和鏟平供應鏈的相關信息安全要求。【說明】此項控制措施提出了供應鏈的概念，加強了對供應鏈中斷的風險控制。A.16.1.4 Assessment and decision on information security events 評估和決策信息安全 事件【描述】Information security events shall be assessed and it shall be decided if they are to be classified as information security incidents.【參考譯文】應評估信息安全事態，以

37、決定是否將其認定為信息安全事件。【說明】信息安全事件處理中增加了評估程序。A.16.1.5 Response to information security incidents 信息安全事件的響應【描述】Information security incidents shall be responded to in accordanee with the documented procedures.【參考譯文】應按照文件化的程序響應信息安全事件。【說明】強調安全事件響應的規范性、程序化。A.17.2.1 Availability of information processing facilit

38、ies 信息處理設施的可用性【描述】Information processing facilities shall be implemented with redundancy sufficient to meet availability requirements.【參考譯文】信息處理設施應具備足夠的冗余以滿足可用性要求。【說明】加強可用性管理，完善原BCM管理的生命周期。1.4.3.3,刪除的控制措施ISO/IEC 27001:2013較2005版刪減了 20項控制措施，刪減的控制措施如下:編號控制措施刪除原因A.6.1.1信息安全的管理承諾在新版正文管理層承諾中已包含其內容A.6.1.2

39、信息安全協調新版正文中已包含其內容A.6.1.4信息處理設施的授權過程已在新版A.8.1.3資產的合理使用中涵蓋A.6.2.1與外部各方相關風險的識別在新版正文風險評估與處理中已涵蓋A.6.2.2處理與客戶有關的安全問題在新版正文風險評估與處理中已涵蓋編號控制措施刪除原因A.10.7.4系統文件安全系統文件也屬于信息資產，相關要求已包含 在其他控制項中A.10.8.5業務信息系統相關要求已包含在其他控制項中A.11.4.2外部連接的用戶鑒別要求太過具體，已在新版A.9中涵蓋A.11.4.3網絡上的設備標識要求太過具體，已在新版A.13.1.3中涵蓋A.11.4.4遠程診斷和配置端口的保護要求太

40、過具體，已在新版A.13.1.3中涵蓋A.11.4.6網絡連接控制要求太過具體，已在新版A.13.1.3中涵蓋A.11.4.7網絡路由控制要求太過具體，已在新版A.13.1.3中涵蓋A.11.6.2敏感系統隔離部分要求已在新版A.13.1.3網絡隔離中涵 蓋，其他相關要求由物理安全等體現A.12.2.1輸入數據確認要求太過具體，已在新版A.14.2.5安全系統 工程原則中涵蓋A.22.2.2內部處理的控制要求太過具體，已在新版A.14.2.5安全系統 工程原則中涵蓋A.12.2.3消息完整性要求太過具體，已在新版A.14.2.5安全系統 工程原則中涵蓋A.12.2.4輸出數據確認要求太過具體，

41、已在新版A.14.2.5安全系統 工程原則中涵蓋A.12.5.4信息泄露相關要求已包含在其他控制項中A.15.1.5防止濫用信息處理設施相關要求已包含在其他控制項中A.15.3.2信息系統審計工具的保護審計工具作為軟件資產的一種，已受訪問控 制及其他措施的管控1434合并的控制措施ISO/IEC 27001:2005ISO/IEC 27001:2013合并原因A.6.1.3信息安全職責的分配A.8.1.1角色和職責A.6.1.1信息安全的角色和 職責兩者存在冗余A.11.2.1用戶的注冊A.11.5.2用戶的標識和鑒別A.9.2.1用戶的注冊和注消兩者存在冗余A.11.5.1安全登陸規程A.1

42、1.5.5會話超時A.11.5.6聯機時間的限定A.9.4.2安全登陸程序要求太過具體，進行提煉合 并A.10.4.1惡意代碼控制A.10.4.2控制移動代碼A.12.2.1控制惡意軟件兩者存在冗余A.10.10.1審計記錄A.10.10.2監視系統的使用A.10.10.5日志信息的保護A.12.4.1事件日志三者存在冗余A.10.10.3管理員和操作員日 志A.10.10.4故障日志A.12.4.3管理員和操作者日志兩者存在冗余ISO/IEC 27001:2005ISO/IEC 27001:2013合并原因A.10.9.1電子商務A.10.9.3公共可用信息A.14.1.2公共網絡應用服 務

43、的安全兩者存在冗余，電子商務也 是公共網絡應用服務的一種A.14.1.1在業務連續性管理過 程中包含信息安全A.14.1.3制定和實施包含信息 安全的業務連續性計劃A.14.1.4測試、維護和再評估 業務連續性計劃A.17.1.2實施信息安全的連續性三者存在冗余2. ISO/IEC 27001:2013 版標準解析2.1概述ISO/IEC 27001:2013由引言、正文及附錄三個部分組成。引言部分ISO/IEC 27001:2013的引言包括兩部分:0.2總則和0.2與其他管理體系的兼容性。0.2總則描述了制定ISO/IEC27001:2013的用途、信息安全管理體系的組成及應用對象。0.2

44、與其他管理體系的兼容性則解釋該標準采用標準化ISO Annex SL通用架構，對于與 其他管理體系兼容的的好處。乙正文部分ISO/IEC 27001:2013的正文分為10章,分別為：1）范圍；2）引用標準；3）術語與定義；4）組織環境；5）領導力；6）策劃；刀支持；8）實施；9）績效評價；10）改進。附錄部分ISO/IEC27001:2013的附錄命名為附錄A,附錄A為規范性附錄，列出了實施ISMS的控 制目標和控制措施，與正文部分內容一樣，在附錄A中選擇控制目標和控制措施是規定的 ISMS過程的一部分。22引言2.2.1.總則【參考譯文/原文】 本國際標準為組織建立、實 施、維護和持續改進

45、信息安 全管理體系(ISMS)提出相關 要求。采用ISMS是組織的 一項戰略決策。組織ISMS的 設計和實施受組織的戰略 決策、組織需求、目標、安 全需求以及工作流程和組 織規模等因素的影響。上述 因素會隨著時間不斷發生 變化。信息安全管理體系通過實 施風險管理過程來保護組 織信息的保密性、完整性和 可用性，對風險進行充分的 管理并為相關方帶來信心。信息安全管理體系是組織 整體管理架構和管理流程 的組成部分。組織在進行流 程、信息系統、控制措施設 計過程中均應考慮信息安 全。本國際標準可以用于內部 或外部機構用于對組織的 信息安全管理能力進行評 估以確認其是否滿足組織 自身的信息安全需求。本標

46、準附錄中列舉的控制 措施的先后順序不代表其 重要程度或實施的先后順 序要求。列表編號順序只做 參考用途。This In ter natio nal Stan dard has bee n prepared to provide requirements for establishing, implementing, maintaining and continually improving an information security management system. The adoption of an information security management system is

47、 a strategic decision for an organization. The establishment and implementation of an organizations informati on security man ageme nt system is in flue need by the organizations needs and objectives, security requirements, the organizational processes used and the size and structure of the orga niz

48、atio n. All of these in flue ncing factors are expected to change over time.The information security management system preserves the con fide ntiality, in tegrity and availability of in formati on by applyi ng a risk man ageme nt process and gives con fide nee to in te rested parties that risks are

49、adequately man aged.It is im porta nt that the in formatio n security man ageme nt system is part of and integrated with the organizations processes and overall management structure and that information security is considered in the design of processes, information systems, and controls. It is expec

50、ted that an information security management system implementation will be scaled in accordanee with the needs of the organization.This In ter national Stan dard can be used by in ter nal and exter nal parties to assess the organizatJons ability to meet the organizations own information security requ

51、irements.The order in which requirements are presented in this International Standard does not reflect their importanee or imply the order in which they are to be implemented. The list items are enumerated for referenee purpose only.ISO/IEC 27000 描述了信息 安全管理體系的綜述和術 語，參考了信息安全管理體 系標準族(包括ISO/IEC 27003W,

52、 ISO/IEC 27004 和 ISO/IEC 27005(4)的相關 名詞解釋和定義。ISO/IEC 27000 describes the overview and the vocabulary of in formatio nsecurity man ageme ntsystems, referenci ng the informatio n security man ageme nt system family of stan dards (in cludi ng ISO/IEC 27003(2, ISO/IEC 27004(3 and ISO/IEC 27005(4), with

53、related terms and definitions.【內容解析】本標準給出了信息安全管理體系的基本要求，為信息安全管理體系的建立、實施、運行 和保持改進提供了有效的參考。采用信息安全管理體系應是組織的一項戰略決策。信息安全管理的本質是風險管理，組織可以通過信息安全管理體系的建設來保護組織信 息的保密性、完整性、可用性，并對相關風險進行有效的管控。信息安全管理體系應建立在 組織的管理架構和管理流程之上，脫離了組織的經營宗旨和經營環境談信息安全是沒有意義 的。信息安全的建設是一個系統工程，它需求對信息的各個處理環節進行統一的綜合考慮、 規劃和構架，并要時時兼顧組織內外環境的不斷變化，任何環

54、節上的缺陷都會對企業信息安 全構成威脅。在這里我們可以引用管理學上的木桶原理加以說明。木桶原理指的是:一個木 桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那么木桶的最大容量不取決于長 的木板，而取決于最短的那塊木板。這個原理同樣適用信息安全。一個組織的信息安全水平 將由與信息安全有關的所有環節中最薄弱的環節決定。信息從產生到銷毀的生命周期過程中 包括了產生、收集、加工、交換、存儲、檢索、存檔、銷毀等多個事件，表現形式和載體會 發生各種變化，這些環節中的任何一個都可能影響整體信息安全水平。要實現信息安全目標, 一個組織必須使構成安全防范體系這只“木桶”的所有木板都要達到一定的長度。2.2

55、.2.與其他管理體系的兼容性This comm on approach defi ned in the Annex SL will be useful for those organizations that choose to operate a single management system that meets the requirements of two or more management system standards.【參考譯文/原文】 本國際標準采用了標準化 的ISO Annex SL通用架構， 采用此架構的好處在于將 各標準的要求以統一的架 構進行描述。保持了與其他 管

56、理體系的兼容性，有利于 不同管理體系進行接軌和 整合。【內容解析】為滿足持續業務運營的要求，組織可能將管理體系方法論用于多個領域的管理，包括以 產品和服務質量滿足要求為核心目的的質量管理體系、以污染物的產生和排放滿足環境管理 要求為核心的環境管理體系，以及以信息資產的安全滿足要求為核心的信息安全管理體系。越來越多的組織會選擇其中幾個甚至全部在組織內應用，顯然，讓各個體系自行其是是不現實的。因此，管理體系的整合已經成為大勢所趨。ISO/IEC 27001:2013采用了 ISO Annex SL通用架構，該架構對標準的結構、格式、通用短 與和定義方面進行了統一。這將確保今后編制或修訂管理體系標準

57、的持續性和易整合性。以融合管理體系要求的方式設計信息安全管理體系的另一個好處,可以使實施和維護管 理體系所需的資源得到最有效率的適用，從而在一定程度上減少因運行不同管理體系造成的 機構重疊和管理官僚化，也可減少業務過程中的執行人員不得不分別理解不同管理體系要求 帶來的混亂。【參考譯文/原文】本國際標準規定了在組織 內部建立、實施、維護和持 續改進信息安全管理體系 的要求。本國際標準還包括 了組織進行評估和處置信 息安全風險的要求。在本國 際標準中規定的要求是通 用的，適用于各種類型、規 模或性質的組織。當組織宣 布符合本國際標準，對于4 到10章節的任何條款的刪 減是不可接受的。23范圍Thi

58、s In ter national Sta ndard spec Hies the requireme nts for establishi ng, impleme nting, maintaining and contin ually improving an information security management system within the con text of the orga nizatio n. This In ter natio nal Sta ndard also in eludes requireme nts for the assessme nt and t

59、reatme nt of information security risks tailored to the needs of the orga nizatio n. The requireme nts set out in this In ter national Stan dard are gen eric and are inten ded to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements spec訐ied in Cla

60、uses 4 to 10 is not acceptable when an organizaUon claims conformity to this In ter national Stan dard.【內容解析】本條款中申明了標準是通用的，適用于各種類型的組織。本標準所提出的架構是高度概括和通用的，并不針對具體的行業，因此標準指出，4到 10章的內容不能刪減。也就是說，采用ISMS的組織只能刪減附錄A的內容，即建立整個管 理框架的方法是不能刪減的，能刪減的只是具體的控制措施。對于附錄A的刪減原則是：滿足組織風險接受的準則；滿足法律法規要求；刪減必須是合理的，且能夠證明；必須提供證據，證明