1 范围 

1.1 总则 

本标准适用于所有类型的组织（例如，商业企业、**机构、非赢利组织）。本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。 

ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。 

注1：本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。 

注2：ISO/IEC 17799提供了设计控制措施时可使用的实施指南。 

1.2 应用 

本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于4、5、6、7和8章的要求不能删减。 

为了满足风险接受准则所必须进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任，否则不能声称符合本标准。 

注：如果一个组织已经有一个运转着的业务过程管理体系（例如，与ISO 9001或者ISO 14001相关的），那么在大多数情况下，更可取的是在这个现有的管理体系内满足本标准的要求。 

2 规范性引用文件 

下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其较新版本（包括任何修改）适用于本标准。 

ISO/IEC 17799:2005，信息技术—安全技术—信息安全管理实用规则。 

3 术语和定义 

本标准采用以下术语和定义。 

3.1 

资产 asset 

任何对组织有价值的东西[ISO/IEC 13335-1:2004]。 

3.2 

可用性 availability 

根据授权实体的要求可访问和利用的特性[ISO/IEC 13335-1:2004]。 

3.3 

保密性confidentiality 

信息不能被未授权的个人，实体或者过程利用或知悉的特性[ISO/IEC 13335-1:2004]。 

3.4信息安全information security 

保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性[ISO/IEC 17799：2005]。 

3.5 

信息安全事态 information security event 

信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态[ISO/IEC TR 18044：2004]。 

3.6 

信息安全事件 information security incident 

一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的较大的可能性[ISO/IEC TR 18044：2004]。 

3.7 

信息安全管理体系（ISMS） information security management system（ISMS） 

是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。 

注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。 

3.8 

完整性integrity 

保护资产的准确和完整的特性[ISO/IEC 13335-1:2004]。 

3.9 

残余风险 residual risk 

经过风险处理后遗留的风险[ISO/IEC Guide 73:2002]。 

3.10 

风险接受risk acceptance 

接受风险的决定[ISO/IEC Guide 73：2002]。 

3.11 

风险分析risk analysis 

系统地使用信息来识别风险来源和估计风险[ISO/IEC Guide 73：2002]。 

3.12 

风险评估risk assessment 

风险分析和风险评价的整个过程[ISO/IEC Guide 73：2002]。 

3.13 

风险评价risk evaluation 

将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IEC Guide 73：2002]。 

3.14 

风险管理risk management 

指导和控制一个组织相关风险的协调活动[ISO/IEC Guide 73：2002]。 

* 

风险处理risk treatment 

选择并且执行措施来更改风险的过程[ISO/IEC Guide 73：2002]。 

3.16 

2 术语“责任人”标识了已经获得管理者的批准，负责产生、开发、维护、使用和保证资产的安全的个人或实体。术语“责任人”不是指该人员实际上对资产拥有所有权。 

适用性声明statement of applicability 

描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。 

注：控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。 

中泰智联（北京）认证中心有限公司长春分公司专注于ISO9001质量管理体系认证,ISO14001环境管理体系认证,ISO45001职业健康安全管理体系认证,IATF16949认证,GB/T27922售后服务认证,GB/T27925品牌认证,GB/T31950诚信管理体系认证,ISO39001道路交通安全管理体系认证,ISO22301业务连续性管理体系认证,GB/T35770合规管理体系认证等