GB/T 29246-2017信息技术安全技术信息安全管理体系概述和词汇

ICS35040

L80.

中华人民共和国国家标准

GB/T29246—2017/ISO/IEC270002016

代替:

GB/T29246—2012

信息技术安全技术

信息安全管理体系概述和词汇

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystems—Overviewandvocabulary

(ISO/IEC27000:2016,IDT)

2017-12-29发布2018-07-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T29246—2017/ISO/IEC270002016

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

概述

0.1…………………Ⅳ

信息安全管理体系标准族

0.2…………Ⅳ

本标准的目的

0.3………………………Ⅴ

范围

1………………………1

术语和定义

2………………1

信息安全管理体系

3………………………10

概要

3.1…………………10

什么是

3.2ISMS………………………11

过程方法

3.3……………12

为什么重要

3.4ISMS…………………12

建立监视保持和改进

3.5、、ISMS……………………13

关键成功因素

3.6ISMS………………15

标准族的益处

3.7ISMS………………15

信息安全管理体系标准族

4………………16

一般信息

4.1……………16

给出概述和术语的标准

4.2……………16

规范要求的标准

4.3……………………17

给出一般指南的标准

4.4………………17

给出行业特定指南的标准

4.5…………19

附录资料性附录条款表达的措辞形式

A()……………21

附录资料性附录术语和术语归属

B()…………………22

参考文献

……………………26

Ⅰ

GB/T29246—2017/ISO/IEC270002016

:

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息技术安全技术信息安全管理体系概述和词汇与

GB/T29246—2012《》,

相比主要技术变化如下

GB/T29246—2012:

标准族的组成标准由项增加至项见和年版的和

———ISMS1019(0.24.1~4.5,20120.24.1~4.5);

术语和定义由条增加至条见年版的

———4689(2.1~2.89,20122.1~2.46);

将附录术语分类改为术语和术语归属见附录年版的附录

———“”“”(B,2012B)。

本标准使用翻译法等同采用信息技术安全技术信息安全管理体系概

ISO/IEC27000:2016《

述和词汇

》。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中电长城网际系统应用有限公司中国电子技术标准化研究院中国信息安全研

:、、

究院有限公司

。

本标准主要起草人闵京华上官晓丽许玉娜王惠莅罗锋盈左晓栋周亚超马洪军廖飞鸣

:、、、、、、、、、

黄凯峰马文荷

、。

本标准所代替的历次版本发布情况为

:

———GB/T29246—2012。

Ⅲ

GB/T29246—2017/ISO/IEC270002016

:

引言

01概述

.

管理体系标准提供一个在建立和运行管理体系时可遵循的模型专门为信息安全开发的管理体系

。

标准称为信息安全管理体系简称标准族

(InformationSecurityManagementSystem,ISMS)。

通过使用标准族组织能够开发和实施管理其信息资产安全的框架包括财务信息知识产

ISMS,,、

权和员工详细资料或者受客户或第三方委托的信息这些标准还可用于对组织应用保护其信

,。ISMS

息做独立评估准备

。

02信息安全管理体系标准族

.

信息安全管理体系标准族见第章旨在帮助所有类型和规模的组织实施和运行

(ISMS)(4)ISMS。

在信息技术安全技术通用标题下标准族由下列标准组成按标准号排序

《》,ISMS():

信息安全管理体系概述和词汇

———ISO/IEC27000(Informationsecuritymanagementsys-

tems—Overviewandvocabulary)

信息安全管理体系要求

———ISO/IEC27001(Informationsecuritymanagementsystems—Re-

quirements)

信息安全控制实践指南

———ISO/IEC27002(Codeofpracticeforinformationsecuritycontrols)

信息安全管理体系实施指南

———ISO/IEC27003(Informationsecuritymanagementsystemim-

plementationguidance)

信息安全管理测量

———ISO/IEC27004(Informationsecuritymanagement—Measurement)

信息安全风险管理

———ISO/IEC27005(Informationsecurityriskmanagement)

信息安全管理体系审核认证机构的要求

———ISO/IEC27006(Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems)

信息安全管理体系审核指南

———ISO/IEC27007(Guidelinesforinformationsecuritymanage-

mentsystemsauditing)

信息安全控制措施审核员指南

———ISO/IECTR27008(Guidelinesforauditorsoninformation

securitycontrols)

的行业特定应用要求

———ISO/IEC27009ISO/IEC27001(Sector-specificapplicationofISO/

IEC27001—Requirements)

行业间和组织间通信的信息安全管理

———ISO/IEC27010(Informationsecuritymanagement

forinter-sectorandinter-organizationalcommunications)

基于的电信组织信息安全管理指南

———ISO/IEC27011ISO/IEC27002(Informationsecurity

managementguidelinesfortelecommunicationsorganizationsbasedonISO/IEC27002)

和综合实施指南

———ISO/IEC27013ISO/IEC27001ISO/IEC20000-1(Guidanceontheinte-

gratedimplementationofISO/IEC27001andISO/IEC20000-1)

信息安全治理

———ISO/IEC27014(Governanceofinformationsecurity)

金融服务信息安全管理指南

———ISO/IECTR27015(Informationsecuritymanagementguide-

linesforfinancialservices)

信息安全管理组织经济学

———ISO/IECTR27016(Informationsecuritymanagement—Or-

Ⅳ

GB/T29246—2017/ISO/IEC270002016

:

ganizationaleconomics)

基于的云服务信息安全控制实践指南

———ISO/IEC27017ISO/IEC27002(Codeofpracticefor

informationsecuritycontrolsbasedonISO/IEC27002forcloudservices)

可识别个人信息处理者在公有云中保护的实践指南

———ISO/IEC27018(PII)PII(Codeofprac-

ticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPII

processors)

基于的能源供给行业过程控制系统信息安全管理指南

———ISO/IEC27019ISO/IEC27002(In-

formationsecuritymanagementguidelinesbasedonISO/IEC27002forprocesscontrolsys-

temsspecifictotheenergyutilityindustry)

注通用标题信息技术安全技术是指这些标准是由的信息技术委员会下属的安全技术分委

:《》ISO/IEC(JTC1)

员会制定的

(SC27)。

不在通用标题信息技术安全技术之下但也属于标准族的标准如下

《》,ISMS:

健康信息学使用的健康信息安全管理

———ISO27799ISO/IEC27002(Healthinformatics—

InformationsecuritymanagementinhealthusingISO/IEC27002)

03本标准的目的

.

本标准提供信息安全管理体系概述并定义相关术语

,。

注附录阐明在标准族中表达要求和或指南的措辞形式

:AISMS()。

标准族包括的标准

ISMS:

定义及其认证机构的要求

a)ISMS;

为建立实施维护和改进的整个过程提供直接支持详细指南和或解释

b)、、ISMS、();

提出行业特定的指南

c)ISMS;

提出的符合性评估

d)ISMS。

本标准提供的术语和定义

:

包含标准族中的通用术语和定义

———ISMS;

不包含标准族中的所有术语和定义

———ISMS;

不限制标准族定义所需的新术语

———ISMS。

Ⅴ

GB/T29246—2017/ISO/IEC270002016

:

信息技术安全技术

信息安全管理体系概述和词汇

1范围

本标准概述了信息安全管理体系提供了标准族中常用的术语及其定义本标准适

(ISMS),ISMS。

用于所有类型和规模的组织例如商业企业政府机构非盈利组织

(,、、)。

2术语和定义

下列术语和定义适用于本文件

。

21

.

访问控制accesscontrol

确保对资产的访问是基于业务和安全要求263进行授权和限制的手段

(.)。

22

.

分析模型analyticalmodel

将一个或多个基本测度210和或导出测度222关联到决策准则221的算法或计算

(.)()(.)(.)