GB/T29246—2017 《信息技术 安全技术 信息安全管理体系 概述和词汇》使用翻译法等同采用 ISO/IEC27000:2016《信息技术 安全技术 信息安全管理体系 概述和词汇》,2017年12月29日发布,2018年7月1日实施。标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。TC260负责专业范围为国内信息安全,秘书处所在单位为中国电子技术标准化研究院。 本文仅列举标准主要条款,为准确理解标准全部要求,请通过正规渠道获取标准全文。 0.1 概述 管理体系标准提供一个在建立和运行管理体系时可遵循的模型。专门为信息安全开发的管理体系标准称为信息安全管理体系(Information Security Management System,简称ISMS)标准族。 0.2 信息安全管理体系标准族 信息安全管理体系(ISMS)标准族旨在帮助所有类型和规模的组织(例如商业企业、政府机构、非盈利组织)实施和运行ISMS。 ISMS标准族关系 注:信息技术标准的代号为ISO/IEC TR ISO/IEC 27000
| 信息技术 安全技术 信息安全管理体系 概述和词汇 | ISO/IEC 27001
| 信息技术 安全技术 信息安全管理体系 要求 | ISO/IEC 27002
| 信息技术 安全技术 信息安全控制实践指南 | ISO/IEC 27003
| 信息技术 安全技术 信息安全管理体系实施指南 | ISO/IEC 27004
| 信息技术 安全技术 信息安全管理 测量 | ISO/IEC 27005
| 信息技术 安全技术 信息安全风险管理 | ISO/IEC 27006
| 信息技术 安全技术 信息安全管理体系审核认证机构要求 | ISO/IEC 27007
| 信息技术 安全技术 信息安全管理体系审核指南 | ISO/IEC TR 27008
| 信息技术 安全技术 ISMS 控制措施的审核员指南 | ISO/IEC 27009
| ISO/IEC 27001的行业特定应用 要求 | ISO/IEC 27010
| 行业间和组织间通信的信息安全管理 | ISO/IEC 27011
| 基于ISO/IEC 27002的电信组织信息安全管理指南 | ISO/IEC 27013
| ISO/IEC 27001和ISO/IEC20000-1综合实施指南 | ISO/IEC 27014
| 信息安全治理 | ISO/IEC 27015
| 金融服务信息安全管理指南 | ISO/IEC TR 27016
| 信息安全管理 组织经济学 | ISO/IEC 27017
| 基于ISO/IEC 27002的云服务信息安全控制实践指南 | ISO/IEC 27018
| 可识别个人信息处理者(PII)在公有云中保护PII的实践指南 | ISO/IEC TR 27019
| 基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南 |
确保对资产的访问是基于业务和安全要求进行授权和控制的手段。
企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。
获取审核证据并客观地对其评价以确定满足审核准则程度的,系统的、独立的和文档化的过程。
根据授权实体的要求可访问和可使用的特性
信息对未授权的个人、实体或过程不可用或不泄露的特性。
对要求的满足 改变风险的措施,包括任何改变风险的过程、策略、设备、实践或其他措施。
消除已查明的不符合的措施
2.19 整改措施 corrective action消除不符合成因以防再次发生的措施。
一组特定情形的发生或改变。
注1:一个事态可能是一个或多个发生,并可能有多种原因。 注2:一个事态可能由一些未发生的事情组成。 注3:一个事态可能有时被称为“事件”或“事故”。 2.28 信息安全治理 governance of information security指导和控制组织信息安全活动的体系
2.32 信息处理设施 information processing facilities任何的信息处理系统、服务或基础设施,或者其安置的物理位置。
2.33 信息安全 information security对信息的保密性、完整性和可用性的保持。
2.35 信息安全事态 information security event识别到的一种系统、服务或网络状态的发生,表明可能违反信息安全策略或控制失效,或者一种可能与信息安全相关但还不为人知的情况。
2.36 信息安全事件 information security incident单一或一系列不希望或意外的,极有可能损害业务运行和威胁信息安全的信息安全事态。
2.37 信息安全事件管理 information security incident management发现、报告、评估、响应、处理和总结信息安全事件的过程。
2.39 信息系统 information system应用、服务、信息技术资产或其他信息处理组件。
2.46 管理体系 management system组织中相互关联或相互作用的要素集,用来建立策略和目标以及达到这些目标的过程。 注2:体系要素包括组织结构、角色和责任、规划、运行。 注3:一个管理体系范围可能包括组织的整体、组织的特定且确定的功能、组织的特定且确定的部门,或者跨一组组织的一个或多个功能。 做出由外部组织执行部分的组织功能或过程的安排。外部组织在管理体系的范围之外,尽管外包的功能或过程在范围之内。 针对实现所设立目标的主题,为确定其适宜性、充分性和有效性而采取的活动。 2.69 风险接受 risk acceptance
接纳特定风险的有根据的决定。
注1:可不经风险处置或在风险处置过程中做出风险接受。
注2:接受的风险要受到监视和评审。 2.71 风险评估 risk assessment 评价风险重要性的参照条款,风险准则可来自标准、法律、策略和其他要求。 2.74 风险评价 risk evaluation将风险分析的结果与风险准则比较以确定风险和(或)其大小是否可接受或可容忍的过程。2.75 风险识别 risk identification注1:风险识别涉及风险源、事态及其原因和潜在后果的识别。注2:风险识别可能涉及历史数据、理论分析、知情者和专家的意见以及利益相关方的需要。2.76 风险管理 risk management2.77 风险管理过程 risk management process管理策略、规程和实践在沟通、咨询、语境建立以及识别、分析、评价、处置、监视和评审风险活动上的系统性应用。 2.84 最高管理者 top management 3.5.3 评估信息安全风险
|