GB/T 29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T29246—2017/ISO/IEC270002016

代替:

GB/T29246—2012

信息技術(shù)安全技術(shù)

信息安全管理體系概述和詞匯

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystems—Overviewandvocabulary

(ISO/IEC27000:2016,IDT)

2017-12-29發(fā)布2018-07-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T29246—2017/ISO/IEC270002016

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

概述

0.1…………………Ⅳ

信息安全管理體系標(biāo)準(zhǔn)族

0.2…………Ⅳ

本標(biāo)準(zhǔn)的目的

0.3………………………Ⅴ

范圍

1………………………1

術(shù)語和定義

2………………1

信息安全管理體系

3………………………10

概要

3.1…………………10

什么是

3.2ISMS………………………11

過程方法

3.3……………12

為什么重要

3.4ISMS…………………12

建立監(jiān)視保持和改進

3.5、、ISMS……………………13

關(guān)鍵成功因素

3.6ISMS………………15

標(biāo)準(zhǔn)族的益處

3.7ISMS………………15

信息安全管理體系標(biāo)準(zhǔn)族

4………………16

一般信息

4.1……………16

給出概述和術(shù)語的標(biāo)準(zhǔn)

4.2……………16

規(guī)范要求的標(biāo)準(zhǔn)

4.3……………………17

給出一般指南的標(biāo)準(zhǔn)

4.4………………17

給出行業(yè)特定指南的標(biāo)準(zhǔn)

4.5…………19

附錄資料性附錄條款表達的措辭形式

A()……………21

附錄資料性附錄術(shù)語和術(shù)語歸屬

B()…………………22

參考文獻

……………………26

Ⅰ

GB/T29246—2017/ISO/IEC270002016

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯與

GB/T29246—2012《》,

相比主要技術(shù)變化如下

GB/T29246—2012:

標(biāo)準(zhǔn)族的組成標(biāo)準(zhǔn)由項增加至項見和年版的和

———ISMS1019(0.24.1~4.5,20120.24.1~4.5);

術(shù)語和定義由條增加至條見年版的

———4689(2.1~2.89,20122.1~2.46);

將附錄術(shù)語分類改為術(shù)語和術(shù)語歸屬見附錄年版的附錄

———“”“”(B,2012B)。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系概

ISO/IEC27000:2016《

述和詞匯

》。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司中國電子技術(shù)標(biāo)準(zhǔn)化研究院中國信息安全研

:、、

究院有限公司

。

本標(biāo)準(zhǔn)主要起草人閔京華上官曉麗許玉娜王惠蒞羅鋒盈左曉棟周亞超馬洪軍廖飛鳴

:、、、、、、、、、

黃凱峰馬文荷

、。

本標(biāo)準(zhǔn)所代替的歷次版本發(fā)布情況為

:

———GB/T29246—2012。

Ⅲ

GB/T29246—2017/ISO/IEC270002016

:

引言

01概述

.

管理體系標(biāo)準(zhǔn)提供一個在建立和運行管理體系時可遵循的模型專門為信息安全開發(fā)的管理體系

。

標(biāo)準(zhǔn)稱為信息安全管理體系簡稱標(biāo)準(zhǔn)族

(InformationSecurityManagementSystem,ISMS)。

通過使用標(biāo)準(zhǔn)族組織能夠開發(fā)和實施管理其信息資產(chǎn)安全的框架包括財務(wù)信息知識產(chǎn)

ISMS,,、

權(quán)和員工詳細(xì)資料或者受客戶或第三方委托的信息這些標(biāo)準(zhǔn)還可用于對組織應(yīng)用保護其信

,。ISMS

息做獨立評估準(zhǔn)備

。

02信息安全管理體系標(biāo)準(zhǔn)族

.

信息安全管理體系標(biāo)準(zhǔn)族見第章旨在幫助所有類型和規(guī)模的組織實施和運行

(ISMS)(4)ISMS。

在信息技術(shù)安全技術(shù)通用標(biāo)題下標(biāo)準(zhǔn)族由下列標(biāo)準(zhǔn)組成按標(biāo)準(zhǔn)號排序

《》,ISMS():

信息安全管理體系概述和詞匯

———ISO/IEC27000(Informationsecuritymanagementsys-

tems—Overviewandvocabulary)

信息安全管理體系要求

———ISO/IEC27001(Informationsecuritymanagementsystems—Re-

quirements)

信息安全控制實踐指南

———ISO/IEC27002(Codeofpracticeforinformationsecuritycontrols)

信息安全管理體系實施指南

———ISO/IEC27003(Informationsecuritymanagementsystemim-

plementationguidance)

信息安全管理測量

———ISO/IEC27004(Informationsecuritymanagement—Measurement)

信息安全風(fēng)險管理

———ISO/IEC27005(Informationsecurityriskmanagement)

信息安全管理體系審核認(rèn)證機構(gòu)的要求

———ISO/IEC27006(Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems)

信息安全管理體系審核指南

———ISO/IEC27007(Guidelinesforinformationsecuritymanage-

mentsystemsauditing)

信息安全控制措施審核員指南

———ISO/IECTR27008(Guidelinesforauditorsoninformation

securitycontrols)

的行業(yè)特定應(yīng)用要求

———ISO/IEC27009ISO/IEC27001(Sector-specificapplicationofISO/

IEC27001—Requirements)

行業(yè)間和組織間通信的信息安全管理

———ISO/IEC27010(Informationsecuritymanagement

forinter-sectorandinter-organizationalcommunications)

基于的電信組織信息安全管理指南

———ISO/IEC27011ISO/IEC27002(Informationsecurity

managementguidelinesfortelecommunicationsorganizationsbasedonISO/IEC27002)

和綜合實施指南

———ISO/IEC27013ISO/IEC27001ISO/IEC20000-1(Guidanceontheinte-

gratedimplementationofISO/IEC27001andISO/IEC20000-1)

信息安全治理

———ISO/IEC27014(Governanceofinformationsecurity)

金融服務(wù)信息安全管理指南

———ISO/IECTR27015(Informationsecuritymanagementguide-

linesforfinancialservices)

信息安全管理組織經(jīng)濟學(xué)

———ISO/IECTR27016(Informationsecuritymanagement—Or-

Ⅳ

GB/T29246—2017/ISO/IEC270002016

:

ganizationaleconomics)

基于的云服務(wù)信息安全控制實踐指南

———ISO/IEC27017ISO/IEC27002(Codeofpracticefor

informationsecuritycontrolsbasedonISO/IEC27002forcloudservices)

可識別個人信息處理者在公有云中保護的實踐指南

———ISO/IEC27018(PII)PII(Codeofprac-

ticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPII

processors)

基于的能源供給行業(yè)過程控制系統(tǒng)信息安全管理指南

———ISO/IEC27019ISO/IEC27002(In-

formationsecuritymanagementguidelinesbasedonISO/IEC27002forprocesscontrolsys-

temsspecifictotheenergyutilityindustry)

注通用標(biāo)題信息技術(shù)安全技術(shù)是指這些標(biāo)準(zhǔn)是由的信息技術(shù)委員會下屬的安全技術(shù)分委

:《》ISO/IEC(JTC1)

員會制定的

(SC27)。

不在通用標(biāo)題信息技術(shù)安全技術(shù)之下但也屬于標(biāo)準(zhǔn)族的標(biāo)準(zhǔn)如下

《》,ISMS:

健康信息學(xué)使用的健康信息安全管理

———ISO27799ISO/IEC27002(Healthinformatics—

InformationsecuritymanagementinhealthusingISO/IEC27002)

03本標(biāo)準(zhǔn)的目的

.

本標(biāo)準(zhǔn)提供信息安全管理體系概述并定義相關(guān)術(shù)語

,。

注附錄闡明在標(biāo)準(zhǔn)族中表達要求和或指南的措辭形式

:AISMS()。

標(biāo)準(zhǔn)族包括的標(biāo)準(zhǔn)

ISMS:

定義及其認(rèn)證機構(gòu)的要求

a)ISMS;

為建立實施維護和改進的整個過程提供直接支持詳細(xì)指南和或解釋

b)、、ISMS、();

提出行業(yè)特定的指南

c)ISMS;

提出的符合性評估

d)ISMS。

本標(biāo)準(zhǔn)提供的術(shù)語和定義

:

包含標(biāo)準(zhǔn)族中的通用術(shù)語和定義

———ISMS;

不包含標(biāo)準(zhǔn)族中的所有術(shù)語和定義

———ISMS;

不限制標(biāo)準(zhǔn)族定義所需的新術(shù)語

———ISMS。

Ⅴ

GB/T29246—2017/ISO/IEC270002016

:

信息技術(shù)安全技術(shù)

信息安全管理體系概述和詞匯

1范圍

本標(biāo)準(zhǔn)概述了信息安全管理體系提供了標(biāo)準(zhǔn)族中常用的術(shù)語及其定義本標(biāo)準(zhǔn)適

(ISMS),ISMS。

用于所有類型和規(guī)模的組織例如商業(yè)企業(yè)政府機構(gòu)非盈利組織

(,、、)。

2術(shù)語和定義

下列術(shù)語和定義適用于本文件

。

21

.

訪問控制accesscontrol

確保對資產(chǎn)的訪問是基于業(yè)務(wù)和安全要求263進行授權(quán)和限制的手段

(.)。

22

.

分析模型analyticalmodel

將一個或多個基本測度210和或?qū)С鰷y度222關(guān)聯(lián)到?jīng)Q策準(zhǔn)則221的算法或計算

(.)()(.)(.)