GB/T 29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

ICS35040

L80.

中華人民共和國國家標準

GB/T29246—2017/ISO/IEC270002016

代替:

GB/T29246—2012

信息技術(shù)安全技術(shù)

信息安全管理體系概述和詞匯

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystems—Overviewandvocabulary

(ISO/IEC27000:2016,IDT)

2017-12-29發(fā)布2018-07-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T29246—2017/ISO/IEC270002016

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

概述

0.1…………………Ⅳ

信息安全管理體系標準族

0.2…………Ⅳ

本標準的目的

0.3………………………Ⅴ

范圍

1………………………1

術(shù)語和定義

2………………1

信息安全管理體系

3………………………10

概要

3.1…………………10

什么是

3.2ISMS………………………11

過程方法

3.3……………12

為什么重要

3.4ISMS…………………12

建立監(jiān)視保持和改進

3.5、、ISMS……………………13

關(guān)鍵成功因素

3.6ISMS………………15

標準族的益處

3.7ISMS………………15

信息安全管理體系標準族

4………………16

一般信息

4.1……………16

給出概述和術(shù)語的標準

4.2……………16

規(guī)范要求的標準

4.3……………………17

給出一般指南的標準

4.4………………17

給出行業(yè)特定指南的標準

4.5…………19

附錄資料性附錄條款表達的措辭形式

A()……………21

附錄資料性附錄術(shù)語和術(shù)語歸屬

B()…………………22

參考文獻

……………………26

Ⅰ

GB/T29246—2017/ISO/IEC270002016

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯與

GB/T29246—2012《》,

相比主要技術(shù)變化如下

GB/T29246—2012:

標準族的組成標準由項增加至項見和年版的和

———ISMS1019(0.24.1~4.5,20120.24.1~4.5);

術(shù)語和定義由條增加至條見年版的

———4689(2.1~2.89,20122.1~2.46);

將附錄術(shù)語分類改為術(shù)語和術(shù)語歸屬見附錄年版的附錄

———“”“”(B,2012B)。

本標準使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系概

ISO/IEC27000:2016《

述和詞匯

》。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中電長城網(wǎng)際系統(tǒng)應用有限公司中國電子技術(shù)標準化研究院中國信息安全研

:、、

究院有限公司

。

本標準主要起草人閔京華上官曉麗許玉娜王惠蒞羅鋒盈左曉棟周亞超馬洪軍廖飛鳴

:、、、、、、、、、

黃凱峰馬文荷

、。

本標準所代替的歷次版本發(fā)布情況為

:

———GB/T29246—2012。

Ⅲ

GB/T29246—2017/ISO/IEC270002016

:

引言

01概述

.

管理體系標準提供一個在建立和運行管理體系時可遵循的模型專門為信息安全開發(fā)的管理體系

。

標準稱為信息安全管理體系簡稱標準族

(InformationSecurityManagementSystem,ISMS)。

通過使用標準族組織能夠開發(fā)和實施管理其信息資產(chǎn)安全的框架包括財務信息知識產(chǎn)

ISMS,,、

權(quán)和員工詳細資料或者受客戶或第三方委托的信息這些標準還可用于對組織應用保護其信

,。ISMS

息做獨立評估準備

。

02信息安全管理體系標準族

.

信息安全管理體系標準族見第章旨在幫助所有類型和規(guī)模的組織實施和運行

(ISMS)(4)ISMS。

在信息技術(shù)安全技術(shù)通用標題下標準族由下列標準組成按標準號排序

《》,ISMS():

信息安全管理體系概述和詞匯

———ISO/IEC27000(Informationsecuritymanagementsys-

tems—Overviewandvocabulary)

信息安全管理體系要求

———ISO/IEC27001(Informationsecuritymanagementsystems—Re-

quirements)

信息安全控制實踐指南

———ISO/IEC27002(Codeofpracticeforinformationsecuritycontrols)

信息安全管理體系實施指南

———ISO/IEC27003(Informationsecuritymanagementsystemim-

plementationguidance)

信息安全管理測量

———ISO/IEC27004(Informationsecuritymanagement—Measurement)

信息安全風險管理

———ISO/IEC27005(Informationsecurityriskmanagement)

信息安全管理體系審核認證機構(gòu)的要求

———ISO/IEC27006(Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems)

信息安全管理體系審核指南

———ISO/IEC27007(Guidelinesforinformationsecuritymanage-

mentsystemsauditing)

信息安全控制措施審核員指南

———ISO/IECTR27008(Guidelinesforauditorsoninformation

securitycontrols)

的行業(yè)特定應用要求

———ISO/IEC27009ISO/IEC27001(Sector-specificapplicationofISO/

IEC27001—Requirements)

行業(yè)間和組織間通信的信息安全管理

———ISO/IEC27010(Informationsecuritymanagement

forinter-sectorandinter-organizationalcommunications)

基于的電信組織信息安全管理指南

———ISO/IEC27011ISO/IEC27002(Informationsecurity

managementguidelinesfortelecommunicationsorganizationsbasedonISO/IEC27002)

和綜合實施指南

———ISO/IEC27013ISO/IEC27001ISO/IEC20000-1(Guidanceontheinte-

gratedimplementationofISO/IEC27001andISO/IEC20000-1)

信息安全治理

———ISO/IEC27014(Governanceofinformationsecurity)

金融服務信息安全管理指南

———ISO/IECTR27015(Informationsecuritymanagementguide-

linesforfinancialservices)

信息安全管理組織經(jīng)濟學

———ISO/IECTR27016(Informationsecuritymanagement—Or-

Ⅳ

GB/T29246—2017/ISO/IEC270002016

:

ganizationaleconomics)

基于的云服務信息安全控制實踐指南

———ISO/IEC27017ISO/IEC27002(Codeofpracticefor

informationsecuritycontrolsbasedonISO/IEC27002forcloudservices)

可識別個人信息處理者在公有云中保護的實踐指南

———ISO/IEC27018(PII)PII(Codeofprac-

ticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPII

processors)

基于的能源供給行業(yè)過程控制系統(tǒng)信息安全管理指南

———ISO/IEC27019ISO/IEC27002(In-

formationsecuritymanagementguidelinesbasedonISO/IEC27002forprocesscontrolsys-

temsspecifictotheenergyutilityindustry)

注通用標題信息技術(shù)安全技術(shù)是指這些標準是由的信息技術(shù)委員會下屬的安全技術(shù)分委

:《》ISO/IEC(JTC1)

員會制定的

(SC27)。

不在通用標題信息技術(shù)安全技術(shù)之下但也屬于標準族的標準如下

《》,ISMS:

健康信息學使用的健康信息安全管理

———ISO27799ISO/IEC27002(Healthinformatics—

InformationsecuritymanagementinhealthusingISO/IEC27002)

03本標準的目的

.

本標準提供信息安全管理體系概述并定義相關(guān)術(shù)語

,。

注附錄闡明在標準族中表達要求和或指南的措辭形式

:AISMS()。

標準族包括的標準

ISMS:

定義及其認證機構(gòu)的要求

a)ISMS;

為建立實施維護和改進的整個過程提供直接支持詳細指南和或解釋

b)、、ISMS、();

提出行業(yè)特定的指南

c)ISMS;

提出的符合性評估

d)ISMS。

本標準提供的術(shù)語和定義

:

包含標準族中的通用術(shù)語和定義

———ISMS;

不包含標準族中的所有術(shù)語和定義

———ISMS;

不限制標準族定義所需的新術(shù)語

———ISMS。

Ⅴ

GB/T29246—2017/ISO/IEC270002016

:

信息技術(shù)安全技術(shù)

信息安全管理體系概述和詞匯

1范圍

本標準概述了信息安全管理體系提供了標準族中常用的術(shù)語及其定義本標準適

(ISMS),ISMS。

用于所有類型和規(guī)模的組織例如商業(yè)企業(yè)政府機構(gòu)非盈利組織

(,、、)。

2術(shù)語和定義

下列術(shù)語和定義適用于本文件

。

21

.

訪問控制accesscontrol

確保對資產(chǎn)的訪問是基于業(yè)務和安全要求263進行授權(quán)和限制的手段

(.)。

22

.

分析模型analyticalmodel

將一個或多個基本測度210和或?qū)С鰷y度222關(guān)聯(lián)到?jīng)Q策準則221的算法或計算

(.)()(.)(.)