目录
前言 ................................................................................ 3
0 引言 ................................................................................................... 4
0.1 总则............................................................................... 4
0.2 与其他管理系统标准的兼容性 ................................................................... 4
1. 范围 ........................................................................................ 5
2 规范性引用文件 ................................................................ 5
3 术语和定义....................................................................... 5
4 组织景况....................................................................... 5
4.1 了解组织及其景况 ......................................................................... 5
4.2 了解相关利益方的需求和期望 ............................................................. 5
4.3 确立信息安全管理体系的范围 ............................................................ 6
4.4 信息安全管理体系 ...................................................................... 6
5 领导 ....................................................................................................... 6
5.1 领导和承诺 .................................................................... 6
5.2 方针.................................................................................. 6
5.3 组织的角色,职责和权限 ............................................................ 7
6. 计划 .................................................................................. 7
6.1 应对风险和机遇的行为 ...................................................................... 7
6.2 信息安全目标及达成目标的计划 .......................................................... 9
7 支持 ............................................................................................... 9
7.1 资源............................................................................. 9
7.2 权限................................................................................ 9
7.3 意识................................................................................ 10
7.4 沟通....................................................................... 10
7.5 记录信息 ................................................................ 10
8 操作 ............................................................................................. 11
8.1 操作的计划和控制措施 .......................................................... 11
8.2 信息安全风险评估 ............................................................. 11
8.3 信息安全风险处置 ............................................................. 11
9 性能评价.................................................................................... 12
9.1监测、测量、分析和评价 ........................................................... 12
9.2 内部审核 ............................................................. 12
9.3 管理评审 ............................................................... 12
10 改进 ........................................................................................... 13
10.1 不符合和纠正措施 ......................................................... 13
10.2 持续改进.............................................................................. 14
附录A(规范)参考控制目标和控制措施 ......................................................... 15
参考文献 ............................................................................ 28