標準解讀

《GB/T 29246-2017 信息技術 安全技術 信息安全管理體系 概述和詞匯》與《GB/T 29246-2012 信息技術 安全技術 信息安全管理體系 概述和詞匯》相比,在內(nèi)容上進行了更新和完善。這些變化主要體現(xiàn)在以下幾個方面:

一、結構上的調(diào)整:新版標準對整體結構進行了優(yōu)化,使得信息更加條理化,便于讀者理解和查閱。

二、術語定義的更新:隨著信息技術的發(fā)展以及信息安全領域新概念的出現(xiàn),《GB/T 29246-2017》中增加了部分新的術語及其定義,并且對于一些原有的術語進行了修訂或刪除,以反映當前信息安全領域的最新實踐和技術趨勢。

三、與其他標準的一致性增強:為了保證不同標準之間術語使用的一致性和準確性,《GB/T 29246-2017》加強了與其他相關國際國內(nèi)標準(如ISO/IEC 27000系列)之間的協(xié)調(diào)工作,在某些術語的選擇上盡量保持一致。

四、案例和示例的增加:為了幫助用戶更好地理解信息安全管理體系的概念及應用,《GB/T 29246-2017》增加了更多實際操作中的案例分析和示例說明,這有助于提高標準的實際指導意義。

五、強調(diào)持續(xù)改進:新版標準更加注重組織在建立、實施、維護和持續(xù)改進信息安全管理體系過程中的重要性,鼓勵通過定期評估來不斷提升安全水平。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現(xiàn)行標準GB/T 29246-2023
  • 2017-12-29 頒布
  • 2018-07-01 實施
?正版授權
GB/T 29246-2017信息技術安全技術信息安全管理體系概述和詞匯_第1頁
GB/T 29246-2017信息技術安全技術信息安全管理體系概述和詞匯_第2頁
GB/T 29246-2017信息技術安全技術信息安全管理體系概述和詞匯_第3頁
GB/T 29246-2017信息技術安全技術信息安全管理體系概述和詞匯_第4頁
GB/T 29246-2017信息技術安全技術信息安全管理體系概述和詞匯_第5頁
已閱讀5頁,還剩31頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 29246-2017信息技術安全技術信息安全管理體系概述和詞匯-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T29246—2017/ISO/IEC270002016

代替:

GB/T29246—2012

信息技術安全技術

信息安全管理體系概述和詞匯

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystems—Overviewandvocabulary

(ISO/IEC27000:2016,IDT)

2017-12-29發(fā)布2018-07-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T29246—2017/ISO/IEC270002016

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

概述

0.1…………………Ⅳ

信息安全管理體系標準族

0.2…………Ⅳ

本標準的目的

0.3………………………Ⅴ

范圍

1………………………1

術語和定義

2………………1

信息安全管理體系

3………………………10

概要

3.1…………………10

什么是

3.2ISMS………………………11

過程方法

3.3……………12

為什么重要

3.4ISMS…………………12

建立監(jiān)視保持和改進

3.5、、ISMS……………………13

關鍵成功因素

3.6ISMS………………15

標準族的益處

3.7ISMS………………15

信息安全管理體系標準族

4………………16

一般信息

4.1……………16

給出概述和術語的標準

4.2……………16

規(guī)范要求的標準

4.3……………………17

給出一般指南的標準

4.4………………17

給出行業(yè)特定指南的標準

4.5…………19

附錄資料性附錄條款表達的措辭形式

A()……………21

附錄資料性附錄術語和術語歸屬

B()…………………22

參考文獻

……………………26

GB/T29246—2017/ISO/IEC270002016

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息技術安全技術信息安全管理體系概述和詞匯與

GB/T29246—2012《》,

相比主要技術變化如下

GB/T29246—2012:

標準族的組成標準由項增加至項見和年版的和

———ISMS1019(0.24.1~4.5,20120.24.1~4.5);

術語和定義由條增加至條見年版的

———4689(2.1~2.89,20122.1~2.46);

將附錄術語分類改為術語和術語歸屬見附錄年版的附錄

———“”“”(B,2012B)。

本標準使用翻譯法等同采用信息技術安全技術信息安全管理體系概

ISO/IEC27000:2016《

述和詞匯

》。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中電長城網(wǎng)際系統(tǒng)應用有限公司中國電子技術標準化研究院中國信息安全研

:、、

究院有限公司

本標準主要起草人閔京華上官曉麗許玉娜王惠蒞羅鋒盈左曉棟周亞超馬洪軍廖飛鳴

:、、、、、、、、、

黃凱峰馬文荷

、。

本標準所代替的歷次版本發(fā)布情況為

:

———GB/T29246—2012。

GB/T29246—2017/ISO/IEC270002016

:

引言

01概述

.

管理體系標準提供一個在建立和運行管理體系時可遵循的模型專門為信息安全開發(fā)的管理體系

。

標準稱為信息安全管理體系簡稱標準族

(InformationSecurityManagementSystem,ISMS)。

通過使用標準族組織能夠開發(fā)和實施管理其信息資產(chǎn)安全的框架包括財務信息知識產(chǎn)

ISMS,,、

權和員工詳細資料或者受客戶或第三方委托的信息這些標準還可用于對組織應用保護其信

,。ISMS

息做獨立評估準備

。

02信息安全管理體系標準族

.

信息安全管理體系標準族見第章旨在幫助所有類型和規(guī)模的組織實施和運行

(ISMS)(4)ISMS。

在信息技術安全技術通用標題下標準族由下列標準組成按標準號排序

《》,ISMS():

信息安全管理體系概述和詞匯

———ISO/IEC27000(Informationsecuritymanagementsys-

tems—Overviewandvocabulary)

信息安全管理體系要求

———ISO/IEC27001(Informationsecuritymanagementsystems—Re-

quirements)

信息安全控制實踐指南

———ISO/IEC27002(Codeofpracticeforinformationsecuritycontrols)

信息安全管理體系實施指南

———ISO/IEC27003(Informationsecuritymanagementsystemim-

plementationguidance)

信息安全管理測量

———ISO/IEC27004(Informationsecuritymanagement—Measurement)

信息安全風險管理

———ISO/IEC27005(Informationsecurityriskmanagement)

信息安全管理體系審核認證機構的要求

———ISO/IEC27006(Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems)

信息安全管理體系審核指南

———ISO/IEC27007(Guidelinesforinformationsecuritymanage-

mentsystemsauditing)

信息安全控制措施審核員指南

———ISO/IECTR27008(Guidelinesforauditorsoninformation

securitycontrols)

的行業(yè)特定應用要求

———ISO/IEC27009ISO/IEC27001(Sector-specificapplicationofISO/

IEC27001—Requirements)

行業(yè)間和組織間通信的信息安全管理

———ISO/IEC27010(Informationsecuritymanagement

forinter-sectorandinter-organizationalcommunications)

基于的電信組織信息安全管理指南

———ISO/IEC27011ISO/IEC27002(Informationsecurity

managementguidelinesfortelecommunicationsorganizationsbasedonISO/IEC27002)

和綜合實施指南

———ISO/IEC27013ISO/IEC27001ISO/IEC20000-1(Guidanceontheinte-

gratedimplementationofISO/IEC27001andISO/IEC20000-1)

信息安全治理

———ISO/IEC27014(Governanceofinformationsecurity)

金融服務信息安全管理指南

———ISO/IECTR27015(Informationsecuritymanagementguide-

linesforfinancialservices)

信息安全管理組織經(jīng)濟學

———ISO/IECTR27016(Informationsecuritymanagement—Or-

GB/T29246—2017/ISO/IEC270002016

:

ganizationaleconomics)

基于的云服務信息安全控制實踐指南

———ISO/IEC27017ISO/IEC27002(Codeofpracticefor

informationsecuritycontrolsbasedonISO/IEC27002forcloudservices)

可識別個人信息處理者在公有云中保護的實踐指南

———ISO/IEC27018(PII)PII(Codeofprac-

ticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPII

processors)

基于的能源供給行業(yè)過程控制系統(tǒng)信息安全管理指南

———ISO/IEC27019ISO/IEC27002(In-

formationsecuritymanagementguidelinesbasedonISO/IEC27002forprocesscontrolsys-

temsspecifictotheenergyutilityindustry)

注通用標題信息技術安全技術是指這些標準是由的信息技術委員會下屬的安全技術分委

:《》ISO/IEC(JTC1)

員會制定的

(SC27)。

不在通用標題信息技術安全技術之下但也屬于標準族的標準如下

《》,ISMS:

健康信息學使用的健康信息安全管理

———ISO27799ISO/IEC27002(Healthinformatics—

InformationsecuritymanagementinhealthusingISO/IEC27002)

03本標準的目的

.

本標準提供信息安全管理體系概述并定義相關術語

,。

注附錄闡明在標準族中表達要求和或指南的措辭形式

:AISMS()。

標準族包括的標準

ISMS:

定義及其認證機構的要求

a)ISMS;

為建立實施維護和改進的整個過程提供直接支持詳細指南和或解釋

b)、、ISMS、();

提出行業(yè)特定的指南

c)ISMS;

提出的符合性評估

d)ISMS。

本標準提供的術語和定義

:

包含標準族中的通用術語和定義

———ISMS;

不包含標準族中的所有術語和定義

———ISMS;

不限制標準族定義所需的新術語

———ISMS。

GB/T29246—2017/ISO/IEC270002016

:

信息技術安全技術

信息安全管理體系概述和詞匯

1范圍

本標準概述了信息安全管理體系提供了標準族中常用的術語及其定義本標準適

(ISMS),ISMS。

用于所有類型和規(guī)模的組織例如商業(yè)企業(yè)政府機構非盈利組織

(,、、)。

2術語和定義

下列術語和定義適用于本文件

。

21

.

訪問控制accesscontrol

確保對資產(chǎn)的訪問是基于業(yè)務和安全要求263進行授權和限制的手段

(.)。

22

.

分析模型analyticalmodel

將一個或多個基本測度210和或?qū)С鰷y度222關聯(lián)到?jīng)Q策準則221的算法或計算

(.)()(.)(.)

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論