信息安全-网络安全和隐私保护-信息安全管理体系-要求和使用指南（整合版-2024雷泽佳）.docxVIP

(ISO/IEC27001:2022+ISO/IEC27003:2017)信息安全-网络安全和隐私保护-信息安全管理体系-要求和使用指南（整合版）

ISO9001：2015

PAGE

PAGEII

ISO/IEC27001

ISO/IEC27001

?ISO/IEC2022

雷泽佳编制

(ISO/IEC27001:2022+ISO/IEC27003:2017)

信息安全-网络安全和隐私保护-信息安全管理体系-要求和使用指南

（整合版）

Q/ZS20111-2003—Q/ZS20120-2003（1.0）

国际标准

ISO/IEC

27001

第3版

2022-10

PAGEII

PAGEII

目次

TOC\o1-3\h\u13332前言 II

160引言 III

145471范围 4

16612规范性引用文件 4

266023术语和定义 4

45034组织环境 4

253824.1理解组织及其环境 4

65034.2理解相关方的需求和期望 6

291294.3确定信息安全管理体系的范围 7

172514.4信息安全管理体系 8

65975领导作用 8

252795.1领导作用和承诺 8

231345.2方针 9

59005.3组织的岗位、职责和权限 10

258146策划 11

257666.1应对风险和机遇的措施 11

29686.2信息安全目标及其实现的策划 18

158246.3变更的策划 20

90717支持 20

269897.1资源 20

122427.2能力 21

237317.3意识 21

149347.4沟通 22

18697.5成文信息 23

303878运行 26

199188.1运行的策划和控制 26

82038.2信息安全风险评估 28

31618.3信息安全风险处置 28

85309绩效评价 28

30509.1监视、测量、分析和评价 29

271449.2内部审核 30

262889.3管理评审 32

655810改进 33

3182110.1不符合及纠正措施 33

1619910.2持续改进 35

23799附录A（规范性附录）信息安全控制参考 37

6398附录B：（资料性）方针的框架 42

2772参考文献 44

PAGEII

PAGEII

前言

国际标准化组织（ISO）是由各国标准化团体（ISO成员团体）组成的世界性的联合会。制定国际标准工作通常由ISO的技术委员会完成。各成员团体若对某技术委员会确定的项目感兴趣，均有权参加该委员会的工作。与ISO保持联系的各国际组织（官方的或非官方的）也可参加有关工作。ISO与国际电工委员会（IEC）在电工技术标准化方面保持密切合作的关系。

制定本标准及其后续标准维护的程序在ISO/IEC指引第1部分均有描述。应特别注意用于各不同类别ISO文件批准准则。本标准根据ISO/IEC导则第2部分的规则起草（见www.iso.org/directives或www.iec.ch/members_experts/refdocs)。

本标准中的某些内容有可能涉及一些专利权问题，对此应引起注意。ISO不负责识别任何这样的专利权问题。在标准制定期间识别的专利权细节将出现在引言/或收到的ISO专利权声明清单中（/patents）。

本标准中使用的任何商品名称仅为方便用户而提供的信息，并不构成认可。

ISO与合格评定相关的特定术语和表述含义的解释以及ISO遵循的世界贸易组织（WTO）贸易技术壁垒（TBT）原则相关信息访问以下URLL：/iso/foreword.html.。在IEC中，请参见www.iec.ch/understanding-standards

本标准由ISO/IECJTC1联合技术委员会，