1. کلیات
این استاندارد بین المللی جهت ارائه الزامات استقرار، پیاده سازی، نگهداری و بهبود مستمر سیستم مدیریت امنیت اطلاعات تهیه شده است. پذیرش سیستم مدیریت امنیت اطلاعات یک تصمیم مدیریتی استراتژیک برای سازمان است. استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات در یک سازمان تحت تاثیر نیازها، اهداف، الزامات امنیتی، فرآیندهای سازمانی، اندازه و ساختار آن سازمان است. انتظار می­رود که تمامی این معیارهای تاثیرگذار به مرور زمان تغییر کنند.

سیستم مدیریت امنیت اطلاعات از محرمانگی، صحت و دسترس پذیری اطلاعات با بکارگیری فرآیند مدیریت ریسک محافظت کرده و به طرف­های ذینفع این اطمینان را می­دهد که ریسک­ها به میزان کافی مدیریت می­شوند.

باید دانست که سیستم مدیریت امنیت اطلاعات با فرآیندهای سازمان و ساختار کلی مدیریت، یکپارچه بوده و بخشی از آن است و همچنین امنیت اطلاعات در طراحی فرآیندها، سیستم­های اطلاعاتی و کنترل­ها لحاظ می­شود. انتظار می­رود که مقیاس پیاده سازی سیستم مدیریت امنیت اطلاعات منطبق بر نیازهای سازمان باشد.

این استاندارد بین المللی می­تواند توسط نهادهای درونی و بیرونی به منظور ارزیابی توانایی سازمان در برآورده سازی الزامات امنیت اطلاعات خود مورد استفاده قرارگیرد. ترتیب ارایه الزامات در این استاندارد بین المللی بیان کننده­ی اهمیت یا ترتیب پیاده سازی آن­ها نیست. موارد فهرست شده تنها به عنوان مرجع، برشمرده شده­اند.

استاندارد ISO/IEC 27000 توصیف کننده­ی نمای کلی و واژگان سیستم مدیریت امنیت اطلاعات است و مرجع استانداردهای خانواده­ی سیستم مدیریت امنیت اطلاعات (شامل استانداردهای ISO/IEC 27005[4] ، ISO/IEC 27004[3]، ISO/IEC 27003[2] )

به همراه تعاریف و اصطلاحات مرتبط به شمار می­رود.

2. سازگاری با دیگر استانداردهای سیستم مدیریت

این استاندارد بین المللی، ساختار سطح بالا، عناوین زیر بند یکسان، متن یکسان، اصطلاحات مشترک و تعاریف اصلی تعریف شده در پیوست SL از بخش 1 رهنمودهای ISO/IEC با عنوان الحاقیه­ی تلفیقی ISO را به کار می­برد.

رویکرد مشترکی که در پیوست SL تعریف شده است، برای سازمان­هایی که اجرای یک سیستم مدیریت واحد در راستای برآورده سازی الزامات دو یا چند استاندارد سیستم مدیریت را انتخاب می­کنند، سود بخش خواهد بود.

3. قلمرو

این استاندارد بین المللی مشخص کننده الزامات استقرار، پیاده سازی، نگهداری و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات در زمینه­ی سازمان است.

همچنین، این استاندارد بین المللی، الزامات ارزیابی و مقابله با ریسک­های امنیت اطلاعات را که به فراخور نیازهای سازمان تبیین شده­اند، دربرمی­گیرند. الزاماتی که در این استاندارد بین المللی اشاره شده است عمومی بوده و برای تمامی سازمان­ها صرف نظر از نوع، اندازه یا طبیعت آن­ها کاربردپذیر است. مستثنی کردن هر یک از الزامات مشخص شده در بندهای 4 تا 10، چنانچه سازمان تطابق با این استاندارد بین المللی را ادعا کن، قابل پذیرش نخواهد بود.

Introduction

General
This International Standard has been prepared to provide requirements for establishing, implementing, maintaining and continually improving an information security management system. The adoption of an information security management system is a strategic decision for an organization. The establishment and implementation of an organization's needs and objectives, security requirements, the organizational processes used and the size and structure of the organization. All of these influencing factors are expected to change over time.

The information security management system preserves the confidentiality, integrity and availability of information by applying a risk management process and gives confidence to interested parties that risks are adequately managed. It is important that the information security management system is part of and integrated with the organization's processes and overall management structure and that information security is considered in the design of processes, information systems, and controls. It is expected that an information security management system implementation will be scaled in accordance with the needs of the organization.

This international Standard can be used by internal and external parties to assess the organization's ability to meet the organization's own information security requirements.

The order in which requirements are presented in this International Standard does not reflect their importance or imply the order in which they are to be implemented. The list items are enumerated for reference purpose only.

ISO/IEC 27000 describes the overview and the vocabulary of information security management systems, referencing the information security management system family of standards (including ISO/IEC 27003[2], ISO/IEC 27004[3] and ISO/IEC 27005[4]), with related terms and definitions.

    Compatibility with other management system standards

This International Standard applies the high-level structure, identical sub-clause titles, identical text, common terms, and core definitions defined in Annex SL of ISO/IEC Directives. Part 1, Consolidated ISO Supplement, and therefore maintains compatibility with other management system standards that have adopted the Annex SL.

This common approach defined in the Annex SL will be useful for those organizations that choose to operate a single management system that meets the requirements of two or more management system standards