oSIST ISO/IEC DIS 27000:2013

INTERNATIONAL ISO/IEC
STANDARD 27000
Redline version
compares third edition
to second edition
Information technology — Security
techniques — Information security
management systems — Overview
and vocabulary
Technologies de l’information — Techniques de sécurité —
Systèmes de management de la sécurité de l’information — Vue
d’ensemble et vocabulaire
Reference number
ISO/IEC 27000:redline:2014(E)
©
ISO/IEC 2014
ISO/IEC 27000:redline:2014(E)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes
between this edition of the standard and its previous edition. It doesn’t capture all single
changes such as punctuation but highlights the modifications providing customers with
the most valuable information. Therefore it is important to note that this Redline version is
not the official ISO standard and that the users must consult with the clean version of the
standard, which is the official standard, for implementation purposes.
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved

ISO/IEC 27000:redline:2014(E)
Contents Page
Foreword .iv
0 Introduction .v
1 Scope . 1
2 Terms and definitions . 1
3 Information security management systems .14
3.1 Introduction .14
3.2 What is an ISMS? .14
3.3 Process approach .16
3.4 Why an ISMS is important .16
3.5 Establishing, monitoring, maintaining and improving an ISMS .18
3.6 ISMS critical success factors .20
3.7 Benefits of the ISMS family of standards .21
4 ISMS family of standards .21
4.1 General information .21
4.2 Standards describing an overview and terminology .24
4.3 Standards specifying requirements .24
4.4 Standards describing general guidelines .25
4.5 Standards describing sector-specific guidelines .27
Annex A (informative) Verbal forms for the expression of provisions.29
Annex B (informative) Term and Term ownership .30
Bibliography .34
ISO/IEC 27000:redline:2014(E)
Foreword
ISO (the International OrganisationOrganization for Standardization) and IEC (the International
Electrotechnical Commission) form the specialized system for worldwide standardization. National
bodies that are members of ISO or IEC participate in the development of International Standards through
technical committees established by the respective organisationorganization to deal with particular
fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest.
Other international organisationsorganizations, governmental and non-governmental, in liaison
with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have
established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the national bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27000 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
This secondthird edition cancels and replaces the firstsecond edition (ISO/IEC 27000:20092012), which
has been technically revised.
iv © ISO 2014 – All rights reserved

ISO/IEC 27000:redline:2014(E)
0 Introduction
0.1 Overview
International Standards for management systems provide a model to follow in setting up and operating
a management system. This model incorporates the features on which experts in the field have reached a
consensus as being the international state of the art. ISO/IEC JTC 1/SC 27 maintains an expert committee
dedicated to the development of international management systems standards for information security,
otherwise known as the Information Security Management System (ISMS) family of standards.
Through the use of the ISMS family of standards, organisationsorganizations can develop and implement
a framework for managing the security of their information assets including financial information,
intellectual property, and employee details, or information entrusted to them by customers or third
parties. These standards can also be used to prepare for an independent assessment of their ISMS
applied to the protection of information.
0.2 ISMS family of standards
1)
The ISMS family of standards (see Clause 4) is intended to assist organisationsorganizations of all
types and sizes to implement and operate an ISMS and consists of the following International Standards,
under the general title Information technology — Security techniques (given below in numerical order):
— ISO/IEC 27000:2009, Information security management systems — Overview and vocabulary
— ISO/IEC 27001:2005, Information security management systems — Requirements
— ISO/IEC 27002:2005, Code of practice for information security managementcontrols
— ISO/IEC 27003:2010, Information security management system implementation guidance
— ISO/IEC 27004:2009, Information security management — Measurement
— ISO/IEC 27005:2011, Information security risk management
— ISO/IEC 27006:2011, Requirements for bodies providing audit and certification of information security
management systems
— ISO/IEC 27007:2011, Guidelines for information security management systems auditing
— ISO/IEC TR 27008:2011, Guidelines for auditors on information security management systems controls
— ISO/IEC 27010:2012, Information security management guidelines for inter-sector and inter-
organisationalorganizational communications
— ITU-T X .1051 | ISO/IEC 27011:2008, Information securit y management guidelines for telecommunications
organisationsorganizations based onISO/IEC 27002
— ISO/IEC/FDIS 27013, Guidance on the integrated implementation ofISO/IEC 27001 and
ISO/IEC 20000-1ISO/IEC 20000-1
— ITU-T X.1054 | ISO/IEC/FDIS 27014, Governance of information security
— ISO/IEC TR 27015, Information security management guidelines for financial services
— ISOISO/IEC TR 27016/IEC WD 27016, Information security management – Organisational—
Organizational economics
NOTE The general title “Information technology — Security techniques” indicates that these standards
were prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT
Security techniques.
1) Standards identified throughout this subclause with no release year indicated are still under development.
ISO/IEC 27000:redline:2014(E)
International Standards not under the same general title that are also part of the ISMS family of standards
are as follows:
— ISO 27799:2008, Health informatics — Information security management in health usingISO/IEC 27002
0.3 Purpose of this International Standard
This International Standard provides an overview of information security management systems, and
defines related terms.
NOTE Annex A provides clarification on how verbal forms are used to express requirements and/or guidance
in the ISMS family of standards.
The ISMS family of standards includes standards that:
a) define requirements for an ISMS and for those certifying such systems;
b) provide direct support, detailed guidance and/or interpretation for the overall Plan-Do-Check-Act
(PDCA) processes and requirementsprocess to establish, implement, maintain and improve an ISMS;
c) address sector-specific guidelines for ISMS; and
d) address conformity assessment for ISMS.
The terms and definitions provided in this International Standard:
— cover commonly used terms and definitions in the ISMS family of standards;
— willdo not cover all terms and definitions applied within the ISMS family of standards; and
— do not limit the ISMS family of standards in defining new terms for use.
do not limit the ISMS family of standards in defining new terms for use.
vi © ISO 2014 – All rights reserved

INTERNATIONAL STANDARD ISO/IEC 27000:redline:2014(E)
Information technology — Security techniques —
Information security management systems — Overview
and vocabulary
1 Scope
This International Standard describes the overview and the vocabulary of information security
management systems, which form the subject of the ISMS family of standards, and defines related terms
and definitions.
This International Standard provides the overview of information security management systems, and
terms and definitions commonly used in the ISMS family of standards. This International Standard is
applicable to all types and sizes of organisationorganization (e.g. commercial enterprises, government
agencies, not-for-profit organisationsorganizations).
2 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
NOTE 1 A term in a definition or note which is defined elsewhere in this clause is indicated by boldface followed
by its entry number in parentheses. Such a boldface term can be replaced in the definition by its complete definition.
For example:
attack (2.4) is defined as “attempt to destroy, expose, alter, disable, steal or gain unauthorized access to
or make unauthorized use of an asset (2.3)”;
asset is defined as “any item that has value to the organisation”.
If the term “asset” is replaced by its definition:
attack then becomes “attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or
make unauthorized use of any item that has value to the organisation”.
2.1
access control
means to ensure that access to assets (2.4)assets is authorized and restricted based on business and
security requirements
2.2
accountability
assignment of actions and decisions to an entity
2.3 2.2
analytical model
algorithm or calculation combining one or more base measures (2.11 2.10) and/or derived measures
(2.21 2.22) with associated decision criteria
[SOURCE: ISO/IEC 15939:2007]
2.4
asset
anything that has value to the organisation
Note 1 to entry: There are many types of assets, including:
ISO/IEC 27000:redline:2014(E)
a) information;
b) software, such as a computer program;
c) physical, such as compu
...

NORME ISO/CEI
INTERNATIONALE 27000
Troisième édition
2014-01-15
Technologies de l’information —
Techniques de sécurité — Systèmes
de management de la sécurité de
l’information — Vue d’ensemble et
vocabulaire
Information technology — Security techniques — Information
security management systems — Overview and vocabulary
Numéro de référence
ISO/CEI 27000:2014(F)
©
ISO/CEI 2014
ISO/CEI 27000:2014(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2014
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii  © ISO/IEC 2014 – Tous droits réservés

ISO/CEI 27000:2014(F)
Sommaire Page
Avant-propos .iv
0 Introduction .v
1 Domaine d’application . 1
2 Termes et définitions . 1
3 Systèmes de management de la sécurité de l’information .13
3.1 Introduction .13
3.2 Qu’est-ce qu’un SMSI ?.13
3.3 Approche processus .15
3.4 Raisons pour lesquelles un SMSI est important .15
3.5 Établissement, surveillance, mise à jour et amélioration d’un SMSI .16
3.6 Facteurs critiques de succès du SMSI .19
3.7 Avantages de la famille de normes du SMSI.20
4 La famille de normes du SMSI .20
4.1 Informations générales .20
4.2 Normes décrivant une vue d’ensemble et une terminologie .21
4.3 Normes spécifiant des exigences .22
4.4 Normes décrivant des lignes directrices générales .22
4.5 Normes décrivant des lignes directrices propres à un secteur .25
Annexe A (informative) Formes verbales pour exprimer des dispositions .27
Annexe B (informative) Termes et propriété des termes .28
Bibliographie .32
© ISO/IEC 2014 – Tous droits réservés iii

ISO/CEI 27000:2014(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l’ISO ou de l’IEC participent à l’élaboration de Normes internationales par l’intermédiaire de
comités techniques créés par l’organisme concerné pour traiter de domaines particuliers à une activité
technique de leur compétence. Les comités techniques de l’ISO et de l’IEC collaborent dans des domaines
d’intérêt commun. D’autres organismes internationaux, gouvernementaux et non gouvernementaux,
en liaison avec l’ISO et l’IEC participent également aux travaux. Dans le domaine des technologies de
l’information, l’ISO et l’IEC ont créé un comité technique mixte: l’ISO/IEC JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/IEC,
Partie 2.
La tâche principale du comité technique mixte est d’élaborer des Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux
pour vote. Leur publication en tant que Normes internationales requiert l’approbation d’au moins 75 %
des organismes nationaux votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet
de droits de propriété intellectuelle ou de droits analogues. L’ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L’ISO/IEC 27000 a été élaborée par le comité technique mixte ISO/IEC JTC 1, Technologies de l’information,
sous-comité SC 27, Techniques de sécurité des technologies de l’information.
Cette troisième édition annule et remplace la deuxième édition (ISO/IEC 27000:2012), qui a fait l’objet
d’une révision technique.
iv © ISO/IEC 2014 – Tous droits réservés

ISO/CEI 27000:2014(F)
0 Introduction
0.1 Vue d’ensemble
Les Normes internationales relatives aux systèmes de management fournissent un modèle en matière
d’établissement et d’exploitation d’un système de management. Ce modèle comprend les caractéristiques
que les experts dans le domaine s’accordent à reconnaître comme reflétant l’état de l’art au niveau
international. Le sous-comité ISO/IEC JTC 1/SC 27 bénéficie de l’expérience d’un comité d’experts qui se
consacre à l’élaboration des Normes internationales sur les systèmes de management pour la sécurité de
l’information, connues également comme famille de normes du Système de Management de la Sécurité
de l’Information (SMSI).
Grâce à l’utilisation de la famille de normes du SMSI, les organismes peuvent élaborer et mettre en œuvre
un cadre de référence pour gérer la sécurité de leurs actifs informationnels, y compris les informations
financières, la propriété intellectuelle, les informations sur les employés, ou les informations qui leur
sont confiées par des clients ou des tiers. Elles peuvent également utiliser ces normes pour se préparer
à une évaluation indépendante de leurs SMSI en matière de protection de l’information.
0.2 La famille de normes du SMSI
La famille de normes du SMSI (voir l’Article 4) a pour objet d’aider les organismes de tous types
et de toutes tailles à déployer et à exploiter un SMSI. Elle se compose des Normes internationales
suivantes (indiquées ci-dessous par ordre numérique) regroupées sous le titre général Technologies de
l’information — Techniques de sécurité:
— ISO/IEC 27000, Systèmes de management de la sécurité de l’information — Vue d’ensemble et vocabulaire
— ISO/IEC 27001, Systèmes de management de la sécurité de l’information — Exigences
— ISO/IEC 27002, Code de bonne pratique pour les mesures de sécurité de l’information
— ISO/IEC 27003, Lignes directrices pour la mise en oeuvre du système de management de la sécurité de
l’information
— ISO/IEC 27004, Management de la sécurité de l’information — Mesurage
— ISO/IEC 27005, Gestion des risques liés à la sécurité de l’information
— ISO/IEC 27006, Exigences pour les organismes procédant à l’audit et à la certification des systèmes de
management de la sécurité de l’information
— ISO/IEC 27007, Lignes directrices pour l’audit des systèmes de management de la sécurité de l’information
— ISO/IEC/TR 27008, Lignes directrices pour les auditeurs des contrôles de sécurité de l’information
— ISO/IEC 27010, Gestion de la sécurité de l’information des communications intersectorielles et
interorganisationnelles
— ISO/IEC 27011, Lignes directrices du management de la sécurité de l’information pour les organismes
de télécommunications sur la base de l’ISO/IEC 27002
— ISO/IEC 27013, Guide sur la mise en oeuvre intégrée de l’ISO/IEC 27001 et de l’ISO/IEC 20000-1
— ISO/IEC 27014, Gouvernance de la sécurité de l’information
— ISO/IEC/TR 27015, Lignes directrices pour le management de la sécurité de l’information pour les
services financiers
— ISO/IEC/TR 27016, Management de la sécurité de l’information — Économie organisationnelle
© ISO/IEC 2014 – Tous droits réservés v

ISO/CEI 27000:2014(F)
NOTE Le titre général «Technologies de l’information — Techniques de sécurité» indique que ces normes
ont été élaborées par le comité technique mixte ISO/IEC JTC 1, Technologies de l’information, sous-comité SC 27,
Techniques de sécurité des technologies de l’information.
Les Normes internationales qui font également partie de la famille de normes du SMSI, mais qui ne sont
pas regroupées sous le même titre général, sont les suivantes:
— ISO 27799:2008, Informatique de santé — Gestion de la sécurité de l’information relative à la santé en
utilisant l’ISO/IEC 27002
0.3 Objet de la présente Norme internationale
La présente Norme internationale offre une vue d’ensemble des systèmes de management de la sécurité
de l’information et définit les termes qui s’y rapportent.
NOTE L’Annexe A fournit des éclaircissements sur la façon dont les formes verbales sont utilisées pour
exprimer des exigences et/ou des préconisations dans la famille de normes du SMSI.
La famille de normes du SMSI comporte des normes qui:
a) définissent les exigences pour un SMSI et pour les organismes certifiant de tels systèmes;
b) apportent un soutien direct, des préconisations détaillées et/ou une interprétation du processus
général visant à établir, mettre en œuvre, entretenir et améliorer un SMSI;
c) traitent des lignes directrices propres à des secteurs particuliers en matière de SMSI;
d) traitent de l’évaluation de la conformité d’un SMSI.
Les termes et les définitions fournis dans la présente Norme internationale:
— couvrent les termes et les définitions d’usage courant dans la famille de normes du SMSI;
— ne couvrent pas l’ensemble des termes et des définitions utilisés dans la famille de normes du SMSI;
— ne limitent pas la famille de normes du SMSI en définissant de nouveaux termes à utiliser.
vi © ISO/IEC 2014 – Tous droits réservés

NORME INTERNATIONALE ISO/CEI 27000:2014(F)
Technologies de l’information — Techniques de sécurité —
Systèmes de management de la sécurité de l’information —
Vue d’ensemble et vocabulaire
1 Domaine d’application
La présente Norme internationale offre une vue d’ensemble des systèmes de management de la sécurité
de l’information, et des termes et définitions d’usage courant dans la famille de normes du SMSI. La
présente Norme internationale est applicable à tous les types et à toutes les tailles d’organismes (par
exemple: les entreprises commerciales, les organismes publics, les organismes à but non lucratif).
2 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
2.1
contrôle d’accès
moyens mis en œuvre pour assurer que l’accès aux actifs est autorisé et limité selon les exigences propres
à la sécurité et à l’activité métier
2.2
modèle analytique
algorithme ou calcul combinant une ou plusieurs mesures élémentaires (2.10) et/ou mesures dérivées
(2.22) avec les critères de décision associés
2.3
attaque
tentative de détruire, de rendre public, de modifier, d’invalider, de voler ou d’obtenir un accès non
autorisé ou d’utiliser sans autorisation un actif
2.4
attribut
propriété ou caractéristique d’un objet (2.55) qui peut être distingué quantitativement ou qualitativement
par des moyens humains ou automatiques
[SOURCE: ISO/IEC 15939:2007, modifiée – le terme «entité» a été remplacé par «objet» dans la définition.]
2.5
audit
processus méthodique, indépendant et documenté (2.61) permettant d’obtenir des preuves d’audit et de
les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits
Note 1 à l’article: Un audit peut être interne (audit de première partie) ou externe (audit de seconde ou de tierce
partie), et peut également être un audit combiné (combinant deux disciplines ou plus).
Note 2 à l’article: Les termes «preuves d’audit» et «critères d’audit» sont définis dans l’ISO 19011.
2.6
champ de l’audit
étendue et limites d’un audit (2.5)
[SOURCE: ISO 19011:2011]
ISO/CEI 27000:2014(F)
2.7
authentification
moyen pour une entité d’assurer la légitimité d’une caractéristique revendiquée
2.8
authenticité
propriété selon laquelle une entité est ce qu’elle revendique être
2.9
disponibilité
propriété d’être accessible et utilisable à la demande par une entité autorisée
2.10
mesure élémentaire
mesure (2.47) définie en fonction d’un attribut (2.4) et de la méthode de mesurage spécifiée pour le
quantifier
[SOURCE: ISO/IEC 15939:2007]
Note 1 à l’article: Une mesure élémentaire est fonctionnel
...

МЕЖДУНАРОДНЫЙ ISO/IEC
СТАНДАРТ 27000
Третье издание
2014-01-15
Информационные технологии. Методы
обеспечения защиты. Системы
управления защитой информации.
Общий обзор и словарь
Information technology – Security techniques – Information security
management systems – Overview and vocabulary

Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
©
ISO/IEC 2014
ISO/IEC 27000:2012(R)
ДОКУМЕНТ ЗАЩИЩЁН АВТОРСКИМ ПРАВОМ

©  ISO/IEC 2014
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного получения письменного согласия ISO по указанному ниже адресу или организации-члена ISO в стране
запрашивающей стороны.
Бюро ISO по авторским правам:
Case postale 56 • CH-1211 Geneva 20
Тел.: + 41 22 749 01 11
Факс: + 41 22 749 09 47
Эл. почта: copyright@iso.org
Веб-сайт: www.iso.org
Опубликовано в Швейцарии
ii © ISO/IEC 2014 – Все права сохраняются

Содержание Страница
Предисловие . iv
0  Введение . v
1  Область применения . 1
2  Термины и определения . 1
3  Системы управления защитой информации . 15
3.1  Вводные замечания. 15
3.2  Что такое СОИБ? . 16
3.3  Технологический подход. 18
3.4  Важная роль СОИБ . 18
3.5  Внедрение, текущий контроль, техническая поддержка и развитие СОИБ. 20
3.6  Критические факторы успеха СОИБ . 23
3.7  Выгоды, обеспечиваемые использованием стандартов семейства ISMS . 24
4  Семейство стандартов ISMS . 24
4.1  Общие сведения. 24
4.2  Стандарты, дающие общий обзор и используемую терминологию . 25
4.3  Стандарты, определяющие требования . 26
4.4  Стандарты, содержащие руководящие указания общего характера. 26
4.5  Стандарты, содержащие руководящие указания для подразделений организации29
Приложение A (информативное) Глагольные формы для выражения формулируемых
положений. 31
Приложение B (информативное) Указатель терминов . 32
Библиография. 36

© ISO/IEC 2014 – Все права сохраняются iii

Предисловие
Международная организация по стандартизации (ISO) и Международная электротехническая комиссия
(IEC) образуют специализированную организацию по международной стандартизации. Национальные
органы стандартизации, являющиеся членами ISO или IEC, участвуют в разработке Международных
стандартов через технические комитеты, учреждённые соответствующей организацией для
компетентного рассмотрения проблем в конкретных предметных областях. Технические комитеты ISO
и IEC сотрудничают в сфере общих интересов. Международные правительственные и
неправительственные организации, имеющие связь с ISO и IEC, также принимают участие в этой
работе. Применительно к сфере информационных технологий ISO и IEC учредили объединённый
технический комитет ISO/IEC JTC 1.
Проекты международных стандартов разрабатываются согласно правилам, приведённым в
Директивах ISO/IEC, Часть 2.
Разработка международных стандартов является основной задачей технических комитетов. Проекты
международных стандартов, принятые техническими комитетами, рассылаются комитетам-членам на
голосование. Для публикации в качестве международного стандарта требуется одобрение не менее
75 % комитетов-членов, принявших участие в голосовании.
Принимается во внимание тот факт, что некоторые из элементов настоящего документа могут быть
объектом патентных прав. ISO не принимает на себя обязательств по определению отдельных или
всех таких патентных прав.
ISO/IEC 27000 был подготовлен Объединённым техническим комитетом ISO/IEC JTC 1,
Информационные технологии, Подкомитетом SC 27, Методы обеспечения безопасности в ИТ.
Настоящее третье издание стандарта отменяет и заменяет собой второе издание ISO/IEC 27000:2012,
техническое содержание которого подверглось пересмотру.
iv © ISO/IEC 2012 – Все права сохраняются

0 Введение
0.1 Общие замечания
Международные стандарты, касающиеся систем управления, предоставляют эталонную модель для
настройки параметров и эксплуатации таких систем. Функциональная структура этой модели обладает
характеристиками, по которым достигнуто единогласное мнение специалистов отрасли ИТ,
подтверждающих реализацию в модели самых последних мировых достижений научно-технического
прогресса. В составе технического комитета ISO/IEC JTC 1/SC 27 имеется экспертная комиссия,
специализирующаяся на разработке международных стандартов в сфере систем управления защитой
информации, которые широко известны ещё и как семейство стандартов по системе обеспечения
информационной безопасности СОИБ [Information Security Management System (ISMS)].
Используя это семейство стандартов, организации получают возможность разработки и реализации
инфраструктуры системы управления защитой своих информационных активов, включая финансовую
информацию, интеллектуальную собственность и детали кадровой политики, или конфиденциальную
информацию, доверенную им клиентами или третьими сторонами. Семейство стандартов ISMS может
также использоваться для подготовки к независимой оценке уже внедрённых СОИБ, обеспечивающих
защиту информации.
0.2 Семейство стандартов ISMS
Семейство стандартов ISMS (см. раздел 4) предназначено для оказания помощи организациям любых
типов и масштабов в эффективной эксплуатации СОИБ и включает в себя перечисленные ниже в
порядке возрастания номеров международные стандарты под общим заголовком Информационные
технологии. Методы обеспечения защиты:
⎯ ISO/IEC 27000, Системы управления защитой информации. Общий обзор и словарь
⎯ ISO/IEC 27001, Системы управления информационной безопасностью. Требования
⎯ ISO/IEC 27002, Свод правил по управлению защитой информации
⎯ ISO/IEC 27003, Руководство по внедрению системы управления информационной
безопасностью
⎯ ISO/IEC 27004, Управление информационной безопасностью. Измерения
⎯ ISO/IEC 27005, Управление рисками информационной безопасности
⎯ ISO/IEC 27006, Требования для органов, обеспечивающих аудит и сертификацию систем
управления информационной безопасностью
⎯ ISO/IEC 27007:2011, Руководящие указания по аудиту систем управления информационной
безопасностью
⎯ ISO/IEC TR 27008, Руководящие указания для аудиторов по оценке средств управления систем
обеспечения безопасности
⎯ ISO/IEC 27010:2012, Руководящие указания по обеспечению защиты информационного обмена
между подразделениями и организациями
⎯ ISO/IEC 27011, Руководящие указания по управлению защитой информации организаций,
предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002
© ISO/IEC 2014 – Все права сохраняются v

⎯ ISO/IEC 27013, Руководство по интегрированному внедрению ISO/IEC 27001 и ISO/IEC 20000-1
⎯ ISO/IEC FDIS 27014, Управление защитой информации
⎯ ISO/IEC TR 27015, Руководящие указания по управлению защитой информации для финансовых
служб
⎯ ISO/IEC TR 27016, Управление защитой информации. Экономика организации
ПРИМЕЧАНИЕ Общий заголовок “Информационные технологии. Методы обеспечения защиты” указывает на
то, что данные стандарты были подготовлены подкомитетом SC 27 “Методы обеспечения защиты в ИТ”
Объединённого технического комитета ISO/IEC JTC 1 Информационные технологии. Методы обеспечения
защиты.
Частью семейства стандартов ISMS является также международный стандарт, не охваченный
вышеуказанным общим заголовком:
⎯ ISO 27799:2008, Информатика в здравоохранении. Управление информационной безопасностью
по стандарту ISO/IEC 27002
0.3 Целевое назначение настоящего международного стандарта
Данный международный стандарт содержит общий обзор систем управления защитой информации и
определяет соответствующие отраслевые термины.
ПРИМЕЧАНИЕ В Приложении A поясняется, каким образом в рамках семейства стандартов ISMS
используются глагольные словоформы для выражения требований и/или руководящих указаний.
В семейство ISMS входят стандарты, которые:
a) устанавливают требования к самим СОИБ и к органам, проводящим их сертификацию;
b) обеспечивают прямую поддержку, всестороннее консультирование и/или интерпретацию в рамках
всего процесса создания, внедрения, сопровождения и развития СОИБ;
c) содержат руководящие указания по использованию СОИБ в рамках определённой сферы их
назначения, и
d) касаются оценки соответствия СОИБ предъявляемым требованиям.
Представленные в настоящем стандарте термины и определения
⎯ охватывают понятия и определения, наиболее широко используемые в стандартах семейства
ISMS;
⎯ не охватывают всех терминов и определений, применяемых внутри семейства стандартов ISMS,
⎯ не накладывают никаких ограничений на использование в семействе ISMS новых терминов.

vi © ISO/IEC 2012 – Все права сохраняются

МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO/IEC 27000:2014(R)

Информационные технологии. Методы обеспечения
защиты. Системы управления защитой информации.
Общий обзор и словарь
1 Область применения
В настоящем международном стандарте приводится общий обзор систем управления защитой
информации, а также общепринятые термины и определения, используемые в рамках стандартов
семейства ISMS. Настоящий международный стандарт применим к организациям любого типа и
масштаба (например, к коммерческим организациям, государственным агентствам и
некоммерческим организациям).
2 Термины и определения
Термины и определения, используемые в рамках данного стандарта, представлены ниже.
2.1
управление доступом
access control
средство управления, призванное гарантировать, что доступ к активам (2.4) санкционирован и
ограничен в соответствии с установленными требованиями хозяйственной деятельности компании
и соблюдением условий безопасности
2.2
аналитическая модель
analytical model
алгоритм или вычислительный процесс, в котором комбинируются одна или несколько базовых мер
(2.10) или производных мер (2.22) с соответствующими критериями принятия решений
2.3
атака
attack
попытка разрушения, умышленного раскрытия, изменения, блокировки, кражи актива, получения
незаконного доступа к нему или его несанкционированного использования
2.4
атрибут
attribute
свойство или характеристика объекта (2.55), которые могут различаться по количественному или
качественному признаку человеком или автоматическими средствами
[ИСТОЧНИК: ISO/IEC 15939:2007, англоязычное определение модифицировано – термин “entity”
заменён термином “object”].
© ISO/IEC 2014 – Все права сохраняются 1

2.5
аудит, аудиторская проверка
audit
документируемый систематический независимый процесс (2.61) получения и объективного
оценивания данных, позволяющих определить степень выполнения критериев аудита
Примечание 1 к статье: Аудиторская проверка может быть внутренней (при проведении первой стороной),
внешней (при проведении второй либо третьей стороной) и комплексной (по двум и более направлениям)
Примечание 2 к статье: Термины “audit evidence” (результат ревизии) и “audit criteria” (критерии аудита)
определены в ISO 19011.
2.6
объём аудита
audit scope
масштабы и границы аудиторской проверки (2.5)
[ИСТОЧНИК: ISO 19011:2011]
2.7
аутентификация
authentication
подтверждение достоверности декларированной характеристики объекта
2.8
аутентичность
authenticity
подлинность представляемого объекта
2.9
готовность
availability
свойство, характеризующее доступность и пригодность объекта для использования по запросу
уполномоченного лица
2.10
базовая мера
base measure
мера (2.47), определяемая применительно к атрибуту (2.4) и методу его количественного
выражения
[ИСТОЧНИК: ISO/IEC 15939:2007]
ПРИМЕЧАНИЕ Базовая мера в функциональном плане не зависит от других мер.
2.11
компетентность
competence
способность применять знания и опыт для достижения желаемых результатов
2.12
конфиденциальность
confidentiality
характеристика, указывающая на то, что данная информация не подлежит передаче либо
раскрытию сторонним лицам, организациям или процессам (2.61)
2 © ISO/IEC 2014 – Все права сохраняются

2.13
соответствие
conformity
выполнение установленного требования (2.63)
Примечание 1 к статье В английском языке имеется синонимичный термин “conformance”, однако он не
рекомендуется к применению.
2.14
последствие
consequence
исход события (2.25), влияющий на достижение целей (2.56)
[ИСТОЧНИК: ISO Guide 73:2009]
Примечание 1 к статье Событие может вызывать целый ряд последствий.
Примечание 2 к статье Последствие может быть определённым или неопределённым, и в аспекте защиты
информации, как правило, негативным.
Примечание 3 к статье Последствия могут оцениват
...

SLOVENSKI STANDARD
01-september-2013
Informacijska tehnologija - Varnostne tehnike - Sistemi upravljanja informacijske
varnosti - Pregled in izrazje
Information technology -- Security techniques -- Information security management
systems -- Overview and vocabulary
Technologies de l'information -- Techniques de sécurité -- Systèmes de management de
la sécurité de l'information -- Vue d'ensemble et vocabulaire
Ta slovenski standard je istoveten z: ISO/IEC DIS 27000
ICS:
01.040.35 Informacijska tehnologija. Information technology.
Pisarniški stroji (Slovarji) Office machines
(Vocabularies)
35.040 Nabori znakov in kodiranje Character sets and
informacij information coding
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

DRAFT INTERNATIONAL STANDARD ISO/IEC DIS 27000
ISO/IEC JTC 1 Secretariat: ANSI

Voting begins on Voting terminates on
2013-07-16 2013-10-16
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION • МЕЖДУНАРОДНАЯ ОРГАНИЗАЦИЯ ПО СТАНДАРТИЗАЦИИ • ORGANISATION INTERNATIONALE DE NORMALISATION
INTERNATIONAL ELECTROTECHNICAL COMMISSION • МЕЖДУНАРОДНАЯ ЭЛЕКТРОТЕХНИЧЕСКАЯ КОММИСИЯ • COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE

Information technology — Security techniques — Information
security management systems — Overview and vocabulary
Technologies de l'information — Techniques de sécurité — Systèmes de management de la sécurité de
l'information — Vue d'ensemble et vocabulaire
[Revision of second edition (ISO/IEC 27000:2012)]
ICS 01.040.35; 35.040
To expedite distribution, this document is circulated as received from the committee
secretariat. ISO Central Secretariat work of editing and text composition will be undertaken at
publication stage.
Pour accélérer la distribution, le présent document est distribué tel qu'il est parvenu du
secrétariat du comité. Le travail de rédaction et de composition de texte sera effectué au
Secrétariat central de l'ISO au stade de publication.

THIS DOCUMENT IS A DRAFT CIRCULATED FOR COMMENT AND APPROVAL. IT IS THEREFORE SUBJECT TO CHANGE AND MAY NOT BE
REFERRED TO AS AN INTERNATIONAL STANDARD UNTIL PUBLISHED AS SUCH.
R PURPOSES,
IN ADDITION TO THEIR EVALUATION AS BEING ACCEPTABLE FOR INDUSTRIAL, TECHNOLOGICAL, COMMERCIAL AND USE
DRAFT INTERNATIONAL STANDARDS MAY ON OCCASION HAVE TO BE CONSIDERED IN THE LIGHT OF THEIR POTENTIAL TO BECOME
STANDARDS TO WHICH REFERENCE MAY BE MADE IN NATIONAL REGULATIONS.
RECIPIENTS OF THIS DRAFT ARE INVITED TO SUBMIT, WITH THEIR COMMENTS, NOTIFICATION OF ANY RELEVANT PATENT RIGHTS OF WHICH
THEY ARE AWARE AND TO PROVIDE SUPPORTING DOCUMENTATION.
International Organization for Standardization, 2013
©
International Electrotechnical Commission, 2013

ISO/IEC DIS 27000
©  ISO/IEC 2013
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form or by any
means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior written permission.
Permission can be requested from either ISO at the address below or ISO’s member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2013 — All rights reserved

ISO/IEC DIS 27000
Contents Page
Foreword . vi
0 Introduction . viii
0.1 Overview . viii
0.2 ISMS family of standards . viii
0.3 Purpose of this International Standard . ix
1 Scope . 10
2 Terms and definitions . 10
3 Information security management systems . 24
3.1 Introduction . 24
3.2 What is an ISMS? . 25
3.2.1 Overview and principles . 25
3.2.2 Information . 25
3.2.3 Information security. 26
3.2.4 Management . 26
3.2.5 NoteorganizationManagement system. 26
3.3 Process approach . 27
3.4 Why an ISMS is important . 27
3.5 Establishing, monitoring, maintaining and improving an ISMS . 29
3.5.1 Overview . 29
3.5.2 Identifying information security requirements . 29
3.5.3 Assessing information security risks . 29
3.5.4 Treating information security risks . 30
3.5.5 Selecting and implementing controls . 31
3.5.6 Monitor, maintain and improve the effectiveness of the ISMS . 32
3.5.7 Continual improvement . 32
3.6 ISMS critical success factors . 33
3.7 Benefits of the ISMS family of standards . 33
4 ISMS family of standards . 34
4.1 General information . 34
4.2 Standards describing an overview and terminology . 36
4.2.1 ISO/IEC 27000 (this document) . 36
4.3 Standards specifying requirements . 36
4.3.1 ISO/IEC 27001 . 36
4.3.2 ISO/IEC 27006 . 37
4.4 Standards describing general guidelines . 37
4.4.1 ISO/IEC 27002 . 37
4.4.2 ISO/IEC 27003 . 38
4.4.3 ISO/IEC 27004 . 38
4.4.4 ISO/IEC 27005 . 38
4.4.5 ISO/IEC 27007 . 38
4.4.6 ISO/IEC TR 27008 . 39
4.4.7 ISO/IEC 27013 . 39
4.4.8 ISO/IEC 27014 . 39

iv © ISO/IEC 2011 – All rights reserved

ISO/IEC DIS 27000
4.4.9 ISO/IEC TR 27016 . 40
4.5 Standards describing sector-specific guidelines . 40
4.5.1 ISO/IEC 27010 . 40
4.5.2 ISO/IEC 27011 . 41
4.5.3 ISO/IEC TR 27015 . 41
4.5.4 ISO 27799 . 41
Annex A (informative) Verbal forms for the expression of provisions . 42
Annex B (informative) Terms and Terms Ownership . 43
B.1 Term ownership . 43
B.2 Terms ordered by Standards . 44
1. ISO/IEC 27001 . 44
2. ISO/IEC 27002 . 44
3. ISO/IEC 27003 . 44
4. ISO/IEC 27004 . 44
5. ISO/IEC 27005 . 45
6. ISO/IEC 27006 . 45
7. ISO/IEC 27007 . 45
8. ISO/IEC 27008 . 45
9. ISO/IEC 27010 . 45
10. ISO/IEC 27011 . 45
11. ISO/IEC 27014 . 46
12. ISO/IEC 27015 . 46
13. ISO/IEC 27016 . 46
Bibliography . 47

© ISO/IEC 2011 – All rights reserved v

ISO/IEC DIS 27000
Foreword
ISO (the International Organization for Standardization) and IEC (the International
Electrotechnical Commission) form the specialized system for worldwide standardization.
National bodies that are members of ISO or IEC participate in the development of
International Standards through technical committees established by the respective
organization to deal with particular fields of technical activity. ISO and IEC technical
committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
In the field of information technology, ISO and IEC have established a joint technical
committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the
ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft
International Standards adopted by the joint technical committee are circulated to national
bodies for voting. Publication as an International Standard requires approval by at least
75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the
subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all
such patent rights.
ISO/IEC 27000 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information
technology, Subcommittee SC 27, IT Security techniques.
This third edition cancels and replaces the second edition (ISO/IEC 27000:2012).

vi © ISO/IEC 2011 – All rights reserved

ISO/IEC DIS 27000
0 Introduction
0.1 Overview
International Standards for management systems provide a model to follow in setting up
and operating a management system. This model incorporates the features on which
experts in the field have reached a consensus as being the international state of the art.
ISO/IEC JTC 1/SC 27 maintains an expert committee dedicated to the development of
international management systems standards for information security, otherwise known as
the Information Security Management System (ISMS) family of standards.
Through the use of the ISMS family of standards, organizations can develop and implement
a framework for managing the security of their information assets inclu
...