信息技术 安全技术 信息安全管理体系 概述和词汇(GB/T29246—2017）

GB/T29246—2017 《信息技术 安全技术 信息安全管理体系 概述和词汇》使用翻译法等同采用 ISO/IEC27000:2016《信息技术 安全技术 信息安全管理体系 概述和词汇》，2017年12月29日发布，2018年7月1日实施。标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。TC260负责专业范围为国内信息安全，秘书处所在单位为中国电子技术标准化研究院。

本文仅列举标准主要条款，为准确理解标准全部要求，请通过正规渠道获取标准全文。

引言

0.1 概述

管理体系标准提供一个在建立和运行管理体系时可遵循的模型。专门为信息安全开发的管理体系标准称为信息安全管理体系（Information Security Management System，简称ISMS）标准族。

0.2 信息安全管理体系标准族

信息安全管理体系（ISMS）标准族旨在帮助所有类型和规模的组织（例如商业企业、政府机构、非盈利组织）实施和运行ISMS。

ISMS标准族关系

注：信息技术标准的代号为ISO/IEC TR

ISO/IEC  27000	信息技术     安全技术    信息安全管理体系    概述和词汇
ISO/IEC  27001	信息技术    安全技术    信息安全管理体系    要求
ISO/IEC  27002	信息技术    安全技术    信息安全控制实践指南
ISO/IEC  27003	信息技术    安全技术    信息安全管理体系实施指南
ISO/IEC  27004	信息技术    安全技术     信息安全管理    测量
ISO/IEC  27005	信息技术    安全技术    信息安全风险管理
ISO/IEC  27006	信息技术    安全技术    信息安全管理体系审核认证机构要求
ISO/IEC  27007	信息技术    安全技术     信息安全管理体系审核指南
ISO/IEC TR 27008	信息技术    安全技术    ISMS 控制措施的审核员指南
ISO/IEC  27009	ISO/IEC 27001的行业特定应用 要求
ISO/IEC  27010	行业间和组织间通信的信息安全管理
ISO/IEC  27011	基于ISO/IEC 27002的电信组织信息安全管理指南
ISO/IEC  27013	ISO/IEC 27001和ISO/IEC20000-1综合实施指南
ISO/IEC  27014	信息安全治理
ISO/IEC  27015	金融服务信息安全管理指南
ISO/IEC TR  27016	信息安全管理 组织经济学
ISO/IEC  27017	基于ISO/IEC 27002的云服务信息安全控制实践指南
ISO/IEC  27018	可识别个人信息处理者（PII）在公有云中保护PII的实践指南
ISO/IEC TR  27019	基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南

2 术语和定义

2.1 访问控制 access control

确保对资产的访问是基于业务和安全要求进行授权和控制的手段。

2.3 攻击 attack

企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。

2.5 审核 audit

获取审核证据并客观地对其评价以确定满足审核准则程度的，系统的、独立的和文档化的过程。

2.9 可用性 availability

根据授权实体的要求可访问和可使用的特性

2.12 保密性 confidentiality

信息对未授权的个人、实体或过程不可用或不泄露的特性。

2.13 符合性 conformity

对要求的满足

2.16 控制 control

改变风险的措施，包括任何改变风险的过程、策略、设备、实践或其他措施。

2.18 纠正 correction

消除已查明的不符合的措施

2.19 整改措施 corrective action

消除不符合成因以防再次发生的措施。

2.25 事态 event

一组特定情形的发生或改变。

注1：一个事态可能是一个或多个发生，并可能有多种原因。

注2：一个事态可能由一些未发生的事情组成。

注3：一个事态可能有时被称为“事件”或“事故”。

2.28 信息安全治理 governance of information security

指导和控制组织信息安全活动的体系

2.32 信息处理设施 information processing facilities

任何的信息处理系统、服务或基础设施，或者其安置的物理位置。

2.33 信息安全 information security

对信息的保密性、完整性和可用性的保持。

2.35 信息安全事态 information security event

识别到的一种系统、服务或网络状态的发生，表明可能违反信息安全策略或控制失效，或者一种可能与信息安全相关但还不为人知的情况。

2.36 信息安全事件 information security incident

单一或一系列不希望或意外的，极有可能损害业务运行和威胁信息安全的信息安全事态。

2.37 信息安全事件管理 information security incident management

发现、报告、评估、响应、处理和总结信息安全事件的过程。

2.39 信息系统 information system

应用、服务、信息技术资产或其他信息处理组件。

2.40 完整性 integrity

准确和完备的特性。

2.44 风险程度 level of risk

以后果和其可能性的组合来表示的风险大小。

2.46 管理体系 management system

组织中相互关联或相互作用的要素集，用来建立策略和目标以及达到这些目标的过程。

注2：体系要素包括组织结构、角色和责任、规划、运行。

注3：一个管理体系范围可能包括组织的整体、组织的特定且确定的功能、组织的特定且确定的部门，或者跨一组组织的一个或多个功能。

2.52 监视 monitoring

确定系统、过程或活动状态的行为。

2.53 不符合 nonconformity

对要求的不满足。

2.54 抗抵赖 non-repudiation

证明所声称事态或行为的发生及其源头的能力。

2.56 目标 objective

2.58 外包 outsource

做出由外部组织执行部分的组织功能或过程的安排。外部组织在管理体系的范围之外，尽管外包的功能或过程在范围之内。

2.60 策略 policy

由最高管理者正式表达的组织的意图和方向。

2.62 可靠性 reliability

与预期行为和结果一致的特性。

2.64 残余风险 residual risk

风险出之后余下的风险。

注1：残余风险可能包含未识别的风险。

注2：残余风险也可以被称为“保留风险” 

2.65 评审 review

针对实现所设立目标的主题，为确定其适宜性、充分性和有效性而采取的活动。

2.68 风险 risk

对目标的不确定性影响

2.69 风险接受 risk acceptance

接纳特定风险的有根据的决定。

注1：可不经风险处置或在风险处置过程中做出风险接受。

注2：接受的风险要受到监视和评审。

2.70 风险分析 risk analysis

理解风险本质和确定风险等级的过程。

2.71 风险评估 risk assessment

风险识别、风险分析和风险评价的整个过程。

2.73 风险准则  risk criteria

评价风险重要性的参照条款，风险准则可来自标准、法律、策略和其他要求。

2.74 风险评价 risk evaluation

将风险分析的结果与风险准则比较以确定风险和（或）其大小是否可接受或可容忍的过程。

2.75 风险识别 risk identification

发现、识别和描述风险的过程。

注1：风险识别涉及风险源、事态及其原因和潜在后果的识别。

注2：风险识别可能涉及历史数据、理论分析、知情者和专家的意见以及利益相关方的需要。

2.76 风险管理 risk management

指导和控制组织相关风险的协调活动。

2.77 风险管理过程 risk management process

管理策略、规程和实践在沟通、咨询、语境建立以及识别、分析、评价、处置、监视和评审风险活动上的系统性应用。

2.79 风险处置 risk treatment

改变风险的过程

2.83 威胁 threat

可能对系统或组织造成危害的不期望事件的潜在原由。

2.84 最高管理者 top management

最高层知道和控制组织的人或一组人。

2.89 脆弱性 vulnerability

可能被一个或多个威胁利用的资产或控制的弱点。

3 信息安全管理体系

    

3.1 概要 

  

3.2 什么是ISMS

3.2.1 概述和原则

3.2.3 信息安全

3.2.4 管理

3.3  过程方法

3.4 为什么ISMS重要

3.5 建立、监视、保持和改进ISMS

3.5.1 概述

3.5.2 识别信息安全要求

3.5.3 评估信息安全风险

3.5.4 处置信息安全风险

3.5.5 选择和实施控制

3.5.6 监视、保持和改进ISMS有效性

3.5.7 持续改进

3.6 ISMS关键成功因素