0.1 总则
本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。
信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。
重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。
本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。
本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。
ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4])及相关术语和定义,给出了信息安全管理体系的概述和词汇。
0.2与其他管理体系标准的兼容性
本标准应用了ISO/IEC 导则第一部分的ISO补充部分附录SL中定义的高层结构、同一子条款标题、同一文本、通用术语和核心定义,因此保持了与其它采用附录SL的管理体系标准的兼容性。
附录SL定义的通用方法有助于组织选择实施单一管理体系来满足两个或多个管理体系标准要求。