GB/T 22080-2016 信息技術 安全技術 信息安全管理體系 要求引言
0.1 總則
本標準提供建立、實現、維護和持續改進信息安全管理體系的要求。采用信息安全管理體系是組織的一項戰略性決策。組織信息安全管理體系的建立和實現受組織的需要和目標、安全要求、組織所采用的過程、規模和結構的影響。所有這些影響因素可能隨時間發生變化。
信息安全管理體系通過應用風險管理過程來保持信息的保密性、完整性和可用性,并為相關方樹立風險得到充分管理的信心。
重要的是,信息安全管理體系是組織的過程和整體管理結構的一部分并集成在其中,并且在過程、信息系統和控制的設計中要考慮到信息安全。期望的是,信息安全管理體系的實現程度要與組織的需要相符合。
本標準可被內部和外部各方用于評估組織的能力是否滿足自身的信息安全要求。
本標準中所表述要求的順序不反映各要求的重要性或暗示這些要求要予實現的順序。條款編號僅為方便引用。
ISO/IEC 27000描述了信息安全管理體系的概要和詞匯, 引用了信息安全管理體系標準族(包括ISO/IEC 27003、ISO/IEC 27004、ISO/IEC 27005) , 以及相關術語和定義。
0.2與其他管理體系標準的兼容性
本標準應用ISO/IEC合并導則附錄SL中定義的高層結構、相同條款標題、相同文本、通用術語和核心定義,因此維護了與其他采用附錄SL的管理體系的標準具有兼容性。
附錄SL中定義的通用途徑對于選擇運行單一管理體系來滿足兩個或更多管理體系標準要求的組織是有用的。
推薦文章: