目录

前言 ................................................................................ 3

0 引言 ................................................................................................... 4

0.1 总则............................................................................... 4

0.2 与其他管理系统标准的兼容性 ................................................................... 4

1. 范围 ........................................................................................ 5

2 规范性引用文件 ................................................................ 5

3 术语和定义....................................................................... 5

4 组织景况....................................................................... 5

4.1 了解组织及其景况 ......................................................................... 5

4.2 了解相关利益方的需求和期望 ............................................................. 5

4.3 确立信息安全管理体系的范围 ............................................................ 6

4.4 信息安全管理体系 ...................................................................... 6

5 领导 ....................................................................................................... 6

5.1 领导和承诺 .................................................................... 6

5.2 方针.................................................................................. 6

5.3 组织的角色，职责和权限 ............................................................ 7

6. 计划 .................................................................................. 7

6.1 应对风险和机遇的行为 ...................................................................... 7

6.2 信息安全目标及达成目标的计划 .......................................................... 9

7 支持 ............................................................................................... 9

7.1 资源............................................................................. 9

7.2 权限................................................................................ 9

7.3 意识................................................................................ 10

7.4 沟通....................................................................... 10

7.5 记录信息 ................................................................ 10

8 操作 ............................................................................................. 11

8.1 操作的计划和控制措施 .......................................................... 11

8.2 信息安全风险评估 ............................................................. 11

8.3 信息安全风险处置 ............................................................. 11

9 性能评价.................................................................................... 12

9.1监测、测量、分析和评价 ........................................................... 12

9.2 内部审核 ............................................................. 12

9.3 管理评审 ............................................................... 12

10 改进 ........................................................................................... 13

10.1 不符合和纠正措施 ......................................................... 13

10.2 持续改进.............................................................................. 14

附录A(规范)参考控制目标和控制措施 ......................................................... 15

参考文献 ............................................................................ 28