ISO27001-2013标准

ISO27001-2013标准Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO(theInternationalOrganizationforStandardization)andIEC(theInternationalElectrotechnicalCommission)formthespecializedsystemforworldwidestandardization.NationalbodiesthataremembersofISOorIECparticipateinthedevelopmentofInternationalStandardsthroughtechnicalcommitteesestablishedbytherespectiveorganizationtodealwithparticularfieldsoftechnicalactivity.ISOandIECtechnicalcommitteescollaborateinfieldsofmutualinterest.Otherinternationalorganizations,governmentalandnon-governmental,inliaisonwithISOandIEC,alsotakepartinthework.Inthefieldofinformationtechnology,ISOandIEChaveestablishedajointtechnicalcommittee,ISO/IECJTC1.ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。国家机构是ISO或IEC的成员，他们通过各自的组织建立技术委员会参与国际标准的制定，来处理特定领域的技术活动。ISO和IEC技术委员会在共同感兴趣的领域合作。其他国际组织、政府和非政府等机构，通过联络ISO和IEC参与这项工作。ISO和IEC已经在信息技术领域建立了一个联合技术委员会ISO/IECJTC1。InternationalStandardsaredraftedinaccordancewiththerulesgivenintheISO/IECDirectives,Part2.国际标准的制定遵循ISO/IEC导则第2部分的规则。ThemaintaskofthejointtechnicalcommitteeistoprepareInternationalStandards.DraftInternationalStandardsadoptedbythejointtechnicalcommitteearecirculatedtonationalbodiesforvoting.PublicationasanInternationalStandardrequiresapprovalbyatleast75%ofthenationalbodiescastingavote.联合技术委员会的主要任务是起草国际标准，并将国际标准草案提交给国家机构投票表决。国际标准的出版发行必须至少75%以上的成员投票通过。Attentionisdrawntothepossibilitythatsomeoftheelementsofthisdocumentmaybethesubjectofpatentrights.ISOandIECshallnotbeheldresponsibleforidentifyinganyorallsuchpatentrights.本文件中的某些内容有可能涉及一些专利权问题，这一点应该引起注意。ISO和IEC不负责识别任何这样的专利权问题。ISO/IEC27001waspreparedbyJointTechnicalCommitteeISO/IECJTC1,Informationtechnology,SubcommitteeSC27,ITSecuritytechniques.ISO/IEC27001由联合技术委员会ISO/IECJTC1（信息技术）分委员会SC27（安全技术）起草。Thissecondeditioncancelsandreplacesthefirstedition(ISO/IEC27001:2005),whichhasbeentechnicallyrevised.第二版进行了技术上的修订，并取消和替代第一版（ISO/IEC27001:2005）。0Introduction引言0.1General0.1总则ThisInternationalStandardhasbeenpreparedtoproviderequirementsforestablishing,implementing,maintainingandcontinuallyimprovinganinformationsecuritymanagementsystem.Theadoptionofaninformationsecuritymanagementsystemisastrategicdecisionforanorganization.Theestablishmentandimplementationofanorganization’sinformationsecuritymanagementsystemisinfluencedbytheorganization’sneedsandobjectives,securityrequirements,theorganizationalprocessesusedandthesizeandstructureoftheorganization.Alloftheseinfluencingfactorsareexpectedtochangeovertime.本标准用于为建立、实施、保持和持续改进信息安全管理体系提供要求。采用信息安全管理体系是组织的一项战略性决策。一个组织信息安全管理体系的建立和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响。所有这些影响因素会不断发生变化。Theinformationsecuritymanagementsystempreservestheconfidentiality,integrityandavailabilityofinformationbyapplyingariskmanagementprocessandgivesconfidencetointerestedpartiesthatrisksareadequatelymanaged.信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，以充分管理风险并给予相关方信心。Itisimportantthattheinformationsecuritymanagementsystemispartofandintegratedwiththeorganization’sprocessesandoverallmanagementstructureandthatinformationsecurityisconsideredinthedesignofprocesses,informationsystems,andcontrols.Itisexpectedthataninformationsecuritymanagementsystemimplementationwillbescaledinaccordancewiththeneedsoftheorganization.信息安全管理体系是组织过程和整体管理结构的一部分并与其整合在一起是非常重要的。信息安全在设计过程、信息系统、控制措施时就要考虑信息安全。按照组织的需要实施信息安全管理体系，是本标准所期望的。ThisInternationalStandardcanbeusedbyinternalandexternalpartiestoassesstheorganization’sabilitytomeettheorganization’sowninformationsecurityrequirements.本标准可被内部和外部相关方使用，评估组织的能力是否满足组织自身信息安全要求。TheorderinwhichrequirementsarepresentedinthisInternationalStandarddoesnotreflecttheirimportanceorimplytheorderinwhichtheyaretobeimplemented.Thelistitemsareenumeratedforreferencepurposeonly.本标准中要求的顺序并不能反映他们的重要性或意味着他们的实施顺序。列举的条目仅用于参考目的。ISO/IEC27000describestheoverviewandthevocabularyofinformationsecuritymanagementsystems,referencingtheinformationsecuritymanagementsystemfamilyofstandards(includingISO/IEC27003[2],ISO/IEC27004[3]andISO/IEC27005[4]),withrelatedtermsanddefinitions.ISO/IEC27000描述了信息安全管理体系的概述和词汇，参考了信息安全管理体系标准族（包括ISO/IEC27003、ISO/IEC27004和ISO/IEC27005）以及相关的术语和定义。0.2Compatibilitywithothermanagementsystemstandards0.2与其他管理体系的兼容性ThisInternationalStandardappliesthehigh-levelstructure,identicalsub-clausetitles,identicaltext,commonterms,andcoredefinitionsdefinedinAnnexSLofISO/IECDirectives,Part1,ConsolidatedISOSupplement,andthereforemaintainscompatibilitywithothermanagementsystemstandardsthathaveadoptedtheAnnexSL.本标准应用了ISO/IEC导则第一部分ISO补充部分附录SL中定义的高层结构、相同的子章节标题、相同文本、通用术语和核心定义。因此保持了与其它采用附录SL的管理体系标准的兼容性。ThiscommonapproachdefinedintheAnnexSLwillbeusefulforthoseorganizationsthatchoosetooperateasinglemanagementsystemthatmeetstherequirementsoftwoormoremanagementsystemstandards.附录SL定义的通用方法对那些选择运作单一管理体系（可同时满足两个或多个管理体系标准要求）的组织来说是十分有益的。Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Requirements信息技术-安全技术-信息安全管理体系-要求1Scope1范围ThisInternationalStandardspecifiestherequirementsforestablishing,implementing,maintainingandcontinuallyimprovinganinformationsecuritymanagementsystemwithinthecontextoftheorganization.本标准从组织环境的角度，为建立、实施、运行、保持和持续改进信息安全管理体系规定了要求。ThisInternationalStandardalsoincludesrequirementsfortheassessmentandtreatmentofinformationsecurityriskstailoredtotheneedsoftheorganization.TherequirementssetoutinthisInternationalStandardaregenericandareintendedtobeapplicabletoallorganizations,regardlessoftype,sizeornature.ExcludinganyoftherequirementsspecifiedinClauses4to10isnotacceptablewhenanorganizationclaimsconformitytothisInternationalStandard.本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求。本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于第4章到第10章的要求不能删减。2Normativereferences2规范性引用文件Thefollowingdocuments,inwholeorinpart,arenormativelyreferencedinthisdocumentandareindispensableforitsapplication.Fordatedreferences,onlytheeditioncitedapplies.Forundatedreferences,thelatesteditionofthereferenceddocument(includinganyamendments)applies.下列文件的全部或部分内容在本文件中进行了规范引用，对于其应用是必不可少的。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。ISO/IEC27000,Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—OverviewandvocabularyISO/IEC27000，信息技术—安全技术—信息安全管理体系—概述和词汇3Termsanddefinitions3术语和定义Forthepurposesofthisdocument,thetermsanddefinitionsgiveninISO/IEC27000apply.ISO/IEC27000中的术语和定义适用于本标准。4Contextoftheorganization4组织环境4.1Understandingtheorganizationanditscontext4.1理解组织及其环境Theorganizationshalldetermineexternalandinternalissuesthatarerelevanttoitspurposeandthataffectitsabilitytoachievetheintendedoutcome(s)ofitsinformationsecuritymanagementsystem.组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。NOTEDeterminingtheseissuesreferstoestablishingtheexternalandinternalcontextoftheorganizationconsideredinClause5.3ofISO31000:2009[5].注：确定这些问题涉及到建立组织的外部和内部环境，在ISO31000:2009[5]的5.3节考虑了这一事项。4.2Understandingtheneedsandexpectationsofinterestedparties4.2理解相关方的需求和期望Theorganizationshalldetermine:组织应确定：a)interestedpartiesthatarerelevanttotheinformationsecuritymanagementsystem;andb)therequirementsoftheseinterestedpartiesrelevanttoinformationsecurity.a)与信息安全管理体系有关的相关方；b)这些相关方与信息安全有关的要求NOTETherequirementsofinterestedpartiesmayincludelegalandregulatoryrequirementsandcontractualobligations.注：相关方的要求可能包括法律法规要求和 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 义务。4.3Determiningthescopeoftheinformationsecuritymanagementsystem4.3确定信息安全管理体系的范围Theorganizationshalldeterminetheboundariesandapplicabilityoftheinformationsecuritymanagementsystemtoestablishitsscope.组织应确定信息安全管理体系的边界和适用性，以建立其范围。Whendeterminingthisscope,theorganizationshallconsider:当确定该范围时，组织应考虑：a)theexternalandinternalissuesreferredtoin4.1;b)therequirementsreferredtoin4.2;andc)interfacesanddependenciesbetweenactivitiesperformedbytheorganization,andthosethatareperformedbyotherorganizations.Thescopeshallbeavailableasdocumentedinformation.a)在4.1中提及的外部和内部问题；b)在4.2中提及的要求；c)组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性范围应文件化并保持可用性。4.4Informationsecuritymanagementsystem4.4信息安全管理体系Theorganizationshallestablish,implement,maintainandcontinuallyimproveaninformationsecuritymanagementsystem,inaccordancewiththerequirementsofthisInternationalStandard.组织应按照本标准的要求建立、实施、保持和持续改进信息安全管理体系。5Leadership5领导5.1Leadershipandcommitment5.1领导和承诺Topmanagementshalldemonstrateleadershipandcommitmentwithrespecttotheinformationsecuritymanagementsystemby:高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺：a)ensuringtheinformationsecuritypolicyandtheinformationsecurityobjectivesareestablishedandarecompatiblewiththestrategicdirectionoftheorganization;b)ensuringtheintegrationoftheinformationsecuritymanagementsystemrequirementsintotheorganization’sprocesses;c)ensuringthattheresourcesneededfortheinformationsecuritymanagementsystemareavailable;d)communicatingtheimportanceofeffectiveinformationsecuritymanagementandofconformingtotheinformationsecuritymanagementsystemrequirements;e)ensuringthattheinformationsecuritymanagementsystemachievesitsintendedoutcome(s);f)directingandsupportingpersonstocontributetotheeffectivenessoftheinformationsecuritymanagementsystem;g)promotingcontinualimprovement;andh)supportingotherrelevantmanagementrolestodemonstratetheirleadershipasitappliestotheirareasofresponsibility.a)确保建立信息安全方针和信息安全目标，并与组织的战略方向保持一致；b)确保将信息安全管理体系要求整合到组织的业务过程中；c)确保信息安全管理体系所需资源可用；d)传达信息安全管理有效实施、符合信息安全管理体系要求的重要性；e)确保信息安全管理体系实现其预期结果；f)指挥并支持人员为信息安全管理体系的有效实施作出贡献；g)促进持续改进；h)支持其他相关管理角色在其职责范围内展示他们的领导力。5.2Policy5.2方针Topmanagementshallestablishaninformationsecuritypolicythat:高层管理者应建立信息安全方针，以：a)isappropriatetothepurposeoftheorganization;b)includesinformationsecurityobjectives(see6.2)orprovidestheframeworkforsettinginformationsecurityobjectives;c)includesacommitmenttosatisfyapplicablerequirementsrelatedtoinformationsecurity;d)includesacommitmenttocontinualimprovementoftheinformationsecuritymanagementsystem.Theinformationsecuritypolicyshall:e)beavailableasdocumentedinformation;f)becommunicatedwithintheorganization;andg)beavailabletointerestedparties,asappropriate.a)适于组织的目标；b)包含信息安全目标（见6.2）或设置信息安全目标提供框架；c)包含满足适用的信息安全相关要求的承诺；d)包含信息安全管理体系持续改进的承诺。信息安全方针应：e)文件化并保持可用性；f)在组织内部进行传达；g)适当时，对相关方可用。5.3Organizationalroles,responsibilitiesandauthorities5.3组织角色、职责和权限Topmanagementshallensurethattheresponsibilitiesandauthoritiesforrolesrelevanttoinformationsecurityareassignedandcommunicated.高层管理者应确保分配并传达了信息安全相关角色的职责和权限。Topmanagementshallassigntheresponsibilityandauthorityfor:高层管理者应分配下列职责和权限：a)ensuringthattheinformationsecuritymanagementsystemconformstotherequirementsofthisInternationalStandard;andb)reportingontheperformanceoftheinformationsecuritymanagementsystemtotopmanagement.a)确保信息安全管理体系符合本标准的要求；b)将信息安全管理体系的绩效 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 给高层管理者。NOTETopmanagementmayalsoassignresponsibilitiesandauthoritiesforreportingperformanceoftheinformationsecuritymanagementsystemwithintheorganization.注：高层管理者可能还要分配在组织内部报告信息安全管理体系绩效的职责和权限。6Planning6 规划 污水管网监理规划下载职业规划大学生职业规划个人职业规划职业规划论文 6.1Actionstoaddressrisksandopportunities6.1应对风险和机会的措施6.1.1General6.1.1总则Whenplanningfortheinformationsecuritymanagementsystem,theorganizationshallconsidertheissuesreferredtoin4.1andtherequirementsreferredtoin4.2anddeterminetherisksandopportunitiesthatneedtobeaddressedto:当规划信息安全管理体系时，组织应考虑4.1中提及的问题和4.2中提及的要求，确定需要应对的风险和机会，以：a)ensuretheinformationsecuritymanagementsystemcanachieveitsintendedoutcome(s);b)prevent,orreduce,undesiredeffects;andc)achievecontinualimprovement.Theorganizationshallplan:d)actionstoaddresstheserisksandopportunities;ande)howto1)integrateandimplementtheactionsintoitsinformationsecuritymanagementsystemprocesses;2)evaluatetheeffectivenessoftheseactions.a)确保信息安全管理体系能实现其预期结果；b)防止或减少意外的影响；c)实现持续改进。组织应规划：d)应对这些风险和机会的措施；e)如何1)整合和实施这些措施并将其纳入信息安全管理体系过程；2)评价这些措施的有效性。6.1.2Informationsecurityriskassessment6.1.2信息安全风险评估Theorganizationshalldefineandapplyaninformationsecurityriskassessmentprocessthat:组织应定义并应用风险评估过程，以：a)establishesandmaintainsinformationsecurityriskcriteriathatinclude:1)theriskacceptancecriteria;and2)criteriaforperforminginformationsecurityriskassessments;b)ensuresthatrepeatedinformationsecurityriskassessmentsproduceconsistent,validandcomparableresults;c)identifiestheinformationsecurityrisks:1)applytheinformationsecurityriskassessmentprocesstoidentifyrisksassociatedwiththelossofconfidentiality,integrityandavailabilityforinformationwithinthescopeoftheinformationsecuritymanagementsystem;and2)identifytheriskowners;d)analysestheinformationsecurityrisks:1)assessthepotentialconsequencesthatwouldresultiftherisksidentifiedin6.1.2c)1)weretomaterialize;2)assesstherealisticlikelihoodoftheoccurrenceoftherisksidentifiedin6.1.2c)1);and3)determinethelevelsofrisk;e)evaluatestheinformationsecurityrisks:1)comparetheresultsofriskanalysiswiththeriskcriteriaestablishedin6.1.2a);and2)prioritizetheanalysedrisksforrisktreatment.Theorganizationshallretaindocumentedinformationabouttheinformationsecurityriskassessmentprocess.a)建立并保持信息安全风险准则，包括：1)风险接受准则；2)执行信息安全风险评估的准则；b)确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果；c)识别信息安全风险：1)应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险；2)识别风险负责人；d)分析信息安全风险：1)评估6.1.2c）1）中所识别风险发生后将导致的潜在影响；2)评估6.1.2c）1）中所识别风险发生的现实可能性；3)确定风险级别；e)评价信息安全风险；1)将风险分析结果同6.1.2a）建立的风险准则进行比较；2)为实施风险处置确定已分析风险的优先级。组织应定义并应用风险评估过程，以：组织应保留信息安全风险评估过程的文件记录信息。6.1.3Informationsecurityrisktreatment6.1.3信息安全风险处置Theorganizationshalldefineandapplyaninformationsecurityrisktreatmentprocessto:a)selectappropriateinformationsecurityrisktreatmentoptions,takingaccountoftheriskassessmentresults;b)determineallcontrolsthatarenecessarytoimplementtheinformationsecurityrisktreatmentoption(s)chosen;组织应定义并应用信息安全风险处置过程，以：在考虑风险评估结果的前提下，选择适当的信息安全风险处置选项：b)为实施所选择的信息安全风险处置选项，确定所有必需的控制措施；NOTEOrganizationscandesigncontrolsasrequired,oridentifythemfromanysource.注：组织可按要求设计控制措施，或从其他来源识别控制措施。c)comparethecontrolsdeterminedin6.1.3b)abovewiththoseinAnnexAandverifythatnonecessarycontrolshavebeenomitted;c)将6.1.3b）所确定的控制措施与附录A的控制措施进行比较，以核实没有遗漏必要的控制措施；NOTE1AnnexAcontainsacomprehensivelistofcontrolobjectivesandcontrols.UsersofthisInternationalStandardaredirectedtoAnnexAtoensurethatnonecessarycontrolsareoverlooked.NOTE2Controlobjectivesareimplicitlyincludedinthecontrolschosen.ThecontrolobjectivesandcontrolslistedinAnnexAarenotexhaustiveandadditionalcontrolobjectivesandcontrolsmaybeneeded.注1：附录A包含了一份全面的控制目标和控制措施的列表。本标准用户可利用附录A以确保不会遗漏必要的控制措施。注2：控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施，组织也可能需要另外的控制目标和控制措施。d)produceaStatementofApplicabilitythatcontainsthenecessarycontrols(see6.1.3b)andc))andjustificationforinclusions,whethertheyareimplementedornot,andthejustificationforexclusionsofcontrolsfromAnnexA;e)formulateaninformationsecurityrisktreatmentplan;andf)obtainriskowners’approvaloftheinformationsecurityrisktreatmentplanandacceptanceoftheresidualinformationsecurityrisks.Theorganizationshallretaindocumentedinformationabouttheinformationsecurityrisktreatmentprocess.d)产生适用性声明。适用性声明要包含必要的控制措施（见6.1.3b）和c））、对包含的合理性说明（无论是否已实施）以及对附录A控制措施删减的合理性说明；e)制定信息安全风险处置 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ；f)获得风险负责人对信息安全风险处置计划以及接受信息安全残余风险的批准。组织应保留信息安全风险处置过程的文件记录信息。NOTETheinformationsecurityriskassessmentandtreatmentprocessinthisInternationalStandardalignswiththeprinciplesandgenericguidelinesprovidedinISO31000[5].注：本标准中的信息安全风险评估和处置过程可与ISO31000[5]中规定的原则和通用指南相结合。6.2Informationsecurityobjectivesandplanningtoachievethem6.2信息安全目标和规划实现Theorganizationshallestablishinformationsecurityobjectivesatrelevantfunctionsandlevels.Theinformationsecurityobjectivesshall:组织应在相关职能和层次上建立信息安全目标。信息安全目标应：a)beconsistentwiththeinformationsecuritypolicy;b)bemeasurable(ifpracticable);c)takeintoaccountapplicableinformationsecurityrequirements,andresultsfromriskassessmentandrisktreatment;d)becommunicated;ande)beupdatedasappropriate.Theorganizationshallretaindocumentedinformationontheinformationsecurityobjectives.Whenplanninghowtoachieveitsinformationsecurityobjectives,theorganizationshalldetermine:f)whatwillbedone;g)whatresourceswillberequired;h)whowillberesponsible;i)whenitwillbecompleted;andj)howtheresultswillbeevaluated.a)与信息安全方针一致；b)可测量（如可行）；c)考虑适用的信息安全要求以及风险评估和风险处置结果；d)被传达；e)适当时进行更新。组织应保留关于信息安全目标的文件记录信息。当规划如何实现其信息安全目标时，组织应确定：f)要做什么；g)需要什么资源；h)由谁负责；i)什么时候完成；j)如何评价结果。7Support7支持7.1Resources7.1资源Theorganizationshalldetermineandprovidetheresourcesneededfortheestablishment,implementation,maintenanceandcontinualimprovementoftheinformationsecuritymanagementsystem.组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。7.2Competence7.2能力Theorganizationshall:a)determinethenecessarycompetenceofperson(s)doingworkunderitscontrolthataffectsitsinformationsecurityperformance;b)ensurethatthesepersonsarecompetentonthebasisofappropriateeducation,training,orexperience;c)whereapplicable,takeactionstoacquirethenecessarycompetence,andevaluatetheeffectivenessoftheactionstaken;andd)retainappropriatedocumentedinformationasevidenceofcompetence.组织应：a)确定从事影响信息安全执行工作的人员在组织的控制下从事其工作的必要能力；b)确保人员在适当教育，培训和经验的基础上能够胜任工作；c)适用时，采取措施来获得必要的能力，并评价所采取措施的有效性；d)保留适当的文件记录信息作为能力方面的证据。NOTEApplicableactionsmayinclude,forexample:theprovisionoftrainingto,thementoringof,orthereassignmentofcurrentemployees;orthehiringorcontractingofcompetentpersons.注：例如适当措施可能包括为现有员工提供培训、对其进行指导或重新分配工作；雇用或签约有能力的人员。7.3Awareness7.3意识Personsdoingworkundertheorganization’scontrolshallbeawareof:a)theinformationsecuritypolicy;b)theircontributiontotheeffectivenessoftheinformationsecuritymanagementsystem,includingthebenefitsofimprovedinformationsecurityperformance;andc)theimplicationsofnotconformingwiththeinformationsecuritymanagementsystemrequirements.人员在组织的控制下从事其工作时应意识到：信息安全方针；b)他们对有效实施信息安全管理体系的贡献，包括信息安全绩效改进后的益处；c)不符合信息安全管理体系要求可能的影响。7.4CommunicationTheorganizationshalldeterminetheneedforinternalandexternalcommunicationsrelevanttotheinformationsecuritymanagementsystemincluding:a)onwhattocommunicate;b)whentocommunicate;c)withwhomtocommunicate;d)whoshallcommunicate;ande)theprocessesbywhichcommunicationshallbeeffected.组织应确定有关信息安全管理体系在内部和外部进行沟通的需求，包括：a)什么需要沟通；b)什么时候沟通；c)跟谁进行沟通；d)由谁负责沟通；e)影响沟通的过程。7.5Documentedinformation7.5文件记录信息7.5.1General7.5.1总则Theorganization’sinformationsecuritymanagementsystemshallinclude:a)documentedinformationrequiredbythisInternationalStandard;andb)documentedinformationdeterminedbytheorganizationasbeingnecessaryfortheeffectivenessoftheinformationsecuritymanagementsystem.组织的信息安全管理体系应包括：a)本标准要求的文件记录信息；b)组织为有效实施信息安全管理体系确定的必要的文件记录信息。NOTETheextentofdocumentedinformationforaninformationsecuritymanagementsystemcandifferfromoneorganizationtoanotherdueto:注：不同组织的信息安全管理体系文件记录信息的详略程度取决于：1)thesizeoforganizationanditstypeofactivities,processes,productsandservices;2)thecomplexityofprocessesandtheirinteractions;and3)thecompetenceofpersons.1)组织的规模及其活动、过程、产品和服务的类型；2)过程的复杂性及其相互作用；3)人员的能力。7.5.2Creatingandupdating7.5.2创建和更新Whencreatingandupdatingdocumentedinformationtheorganizationshallensureappropriate:a)identificationanddescription(e.g.atitle,date,author,orreferencenumber);b)format(e.g.language,softwareversion,graphics)andmedia(e.g.paper,electronic);c)reviewandapprovalforsuitabilityandadequacy.创建和更新文件记录信息时，组织应确保适当的：a)标识和描述（例如：标题、日期、作者或参考编号）；b) 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 （例如：语言，软件版本，图表）和介质（例如：纸质介质，电子介质）；c)评审和批准其适用性和充分性。7.5.3Controlofdocumentedinformation7.5.3文件记录信息的控制DocumentedinformationrequiredbytheinformationsecuritymanagementsystemandbythisInternationalStandardshallbecontrolledtoensure:a)itisavailableandsuitableforuse,whereandwhenitisneeded;andb)itisadequatelyprotected(e.g.fromlossofconfidentiality,improperuse,orlossofintegrity).信息安全管理体系和本标准所要求的文件记录信息应予以控制，以确保：a)无论何时何地需要，它都是可用并适合使用的；b)它被充分保护（例如避免丧失保密性、使用不当或丧失完整性）。Forthecontrolofdocumentedinformation,theorganizationshalladdressthefollowingactivities,asapplicable:c)distribution,access,retrievalanduse;d)storageandpreservation,includingthepreservationoflegibility;e)controlofchanges(e.g.versioncontrol);andf)retentionanddisposition.对于文件记录信息的控制，适用时，组织应处理下列问题：c)分发、访问、检索和使用；d)存储和保存，包括可读性的保持；e)变更控制（例如版本控制）；f)保留和和处置。Documentedinformationofexternalorigin,determinedbytheorganizationtobenecessaryfortheplanningandoperationoftheinformationsecuritymanagementsystem,shallbeidentifiedasappropriate,andcontrolled.组织为规划和实施信息安全管理体系确定的必要的外部原始文件记录信息，适当时应予以识别并进行控制。NOTEAccessimpliesadecisionregardingthepermissiontoviewthedocumentedinformationonly,orthepermissionandauthoritytoviewandchangethedocumentedinformation,etc.注：访问隐含一个权限决策：仅能查看文件记录信息，或有权去查看和变更文件记录信息等。8Operation8运行8.1Operationalplanningandcontrol8.1运行的规划和控制Theorganizationshallplan,implementandcontroltheprocessesneededtomeetinformationsecurityrequirements,andtoimplementtheact