ICS35040

L80.

中華人民共和國國家標準

GB/T29246—2017/ISO/IEC270002016

代替:

GB/T29246—2012

信息技術安全技術

信息安全管理體系概述和詞匯

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystems—Overviewandvocabulary

(ISO/IEC27000:2016,IDT)

2017-12-29發布2018-07-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T29246—2017/ISO/IEC270002016

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

概述

0.1…………………Ⅳ

信息安全管理體系標準族

0.2…………Ⅳ

本標準的目的

0.3………………………Ⅴ

范圍

1………………………1

術語和定義

2………………1

信息安全管理體系

3………………………10

概要

3.1…………………10

什么是

3.2ISMS………………………11

過程方法

3.3……………12

為什么重要

3.4ISMS…………………12

建立監視保持和改進

3.5、、ISMS……………………13

關鍵成功因素

3.6ISMS………………15

標準族的益處

3.7ISMS………………15

信息安全管理體系標準族

4………………16

一般信息

4.1……………16

給出概述和術語的標準

4.2……………16

規范要求的標準

4.3……………………17

給出一般指南的標準

4.4………………17

給出行業特定指南的標準

4.5…………19

附錄資料性附錄條款表達的措辭形式

A()……………21

附錄資料性附錄術語和術語歸屬

B()…………………22

參考文獻

……………………26

Ⅰ

GB/T29246—2017/ISO/IEC270002016

:

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準代替信息技術安全技術信息安全管理體系概述和詞匯與

GB/T29246—2012《》,

相比主要技術變化如下

GB/T29246—2012:

標準族的組成標準由項增加至項見和年版的和

———ISMS1019(0.24.1~4.5,20120.24.1~4.5);

術語和定義由條增加至條見年版的

———4689(2.1~2.89,20122.1~2.46);

將附錄術語分類改為術語和術語歸屬見附錄年版的附錄

———“”“”(B,2012B)。

本標準使用翻譯法等同采用信息技術安全技術信息安全管理體系概

ISO/IEC27000:2016《

述和詞匯

》。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中電長城網際系統應用有限公司中國電子技術標準化研究院中國信息安全研

:、、

究院有限公司

。

本標準主要起草人閔京華上官曉麗許玉娜王惠蒞羅鋒盈左曉棟周亞超馬洪軍廖飛鳴

:、、、、、、、、、

黃凱峰馬文荷

、。

本標準所代替的歷次版本發布情況為

:

———GB/T29246—2012。

Ⅲ

GB/T29246—2017/ISO/IEC270002016

:

引言

01概述

.

管理體系標準提供一個在建立和運行管理體系時可遵循的模型專門為信息安全開發的管理體系

。

標準稱為信息安全管理體系簡稱標準族

(InformationSecurityManagementSystem,ISMS)。

通過使用標準族組織能夠開發和實施管理其信息資產安全的框架包括財務信息知識產

ISMS,,、

權和員工詳細資料或者受客戶或第三方委托的信息這些標準還可用于對組織應用保護其信

,。ISMS

息做獨立評估準備

。

02信息安全管理體系標準族

.

信息安全管理體系標準族見第章旨在幫助所有類型和規模的組織實施和運行

(ISMS)(4)ISMS。

在信息技術安全技術通用標題下標準族由下列標準組成按標準號排序

《》,ISMS():

信息安全管理體系概述和詞匯

———ISO/IEC27000(Informationsecuritymanagementsys-

tems—Overviewandvocabulary)

信息安全管理體系要求

———ISO/IEC27001(Informationsecuritymanagementsystems—Re-

quirements)

信息安全控制實踐指南

———ISO/IEC27002(Codeofpracticeforinformationsecuritycontrols)

信息安全管理體系實施指南

———ISO/IEC27003(Informationsecuritymanagementsystemim-

plementationguidance)

信息安全管理測量

———ISO/IEC27004(Informationsecuritymanagement—Measurement)

信息安全風險管理

———ISO/IEC27005(Informationsecurityriskmanagement)

信息安全管理體系審核認證機構的要求

———ISO/IEC27006(Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems)

信息安全管理體系審核指南

———ISO/IEC27007(Guidelinesforinformationsecuritymanage-

mentsystemsauditing)

信息安全控制措施審核員指南

———ISO/IECTR27008(Guidelinesforauditorsoninformation

securitycontrols)

的行業特定應用要求

———ISO/IEC27009ISO/IEC27001(Sector-specificapplicationofISO/

IEC27001—Requirements)

行業間和組織間通信的信息安全管理

———ISO/IEC27010(Informationsecuritymanagement

forinter-sectorandinter-organizationalcommunications)

基于的電信組織信息安全管理指南

———ISO/IEC27011ISO/IEC27002(Informationsecurity

managementguidelinesfortelecommunicationsorganizationsbasedonISO/IEC27002)

和綜合實施指南

———ISO/IEC27013ISO/IEC27001ISO/IEC20000-1(Guidanceontheinte-

gratedimplementationofISO/IEC27001andISO/IEC20000-1)

信息安全治理

———ISO/IEC27014(Governanceofinformationsecurity)

金融服務信息安全管理指南

———ISO/IECTR27015(Informationsecuritymanagementguide-

linesforfinancialservices)

信息安全管理組織經濟學

———ISO/IECTR27016(Informationsecuritymanagement—Or-

Ⅳ

GB/T29246—2017/ISO/IEC270002016

:

ganizationaleconomics)

基于的云服務信息安全控制實踐指南

———ISO/IEC27017ISO/IEC27002(Codeofpracticefor

informationsecuritycontrolsbasedonISO/IEC27002forcloudservices)

可識別個人信息處理者在公有云中保護的實踐指南

———ISO/IEC27018(PII)PII(Codeofprac-

ticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPII

processors)

基于的能源供給行業過程控制系統信息安全管理指南

———ISO/IEC27019ISO/IEC27002(In-

formationsecuritymanagementguidelinesbasedonISO/IEC27002forprocesscontrolsys-

temsspecifictotheenergyutilityindustry)

注通用標題信息技術安全技術是指這些標準是由的信息技術委員會下屬的安全技術分委

:《》ISO/IEC(JTC1)

員會制定的

(SC27)。

不在通用標題信息技術安全技術之下但也屬于標準族的標準如下

《》,ISMS:

健康信息學使用的健康信息安全管理

———ISO27799ISO/IEC27002(Healthinformatics—

InformationsecuritymanagementinhealthusingISO/IEC27002)

03本標準的目的

.

本標準提供信息安全管理體系概述并定義相關術語

,。

注附錄闡明在標準族中表達要求和或指南的措辭形式

:AISMS()。

標準族包括的標準

ISMS:

定義及其認證機構的要求

a)ISMS;

為建立實施維護和改進的整個過程提供直接支持詳細指南和或解釋

b)、、ISMS、();

提出行業特定的指南

c)ISMS;

提出的符合性評估

d)ISMS。

本標準提供的術語和定義

:

包含標準族中的通用術語和定義

———ISMS;

不包含標準族中的所有術語和定義

———ISMS;

不限制標準族定義所需的新術語

———ISMS。

Ⅴ

GB/T29246—2017/ISO/IEC270002016

:

信息技術安全技術

信息安全管理體系概述和詞匯

1范圍

本標準概述了信息安全管理體系提供了標準族中常用的術語及其定義本標準適

(ISMS),ISMS。

用于所有類型和規模的組織例如商業企業政府機構非盈利組織

(,、、)。

2術語和定義

下列術語和定義適用于本文件

。

21

.

訪問控制accesscontrol

確保對資產的訪問是基于業務和安全要求263進行授權和限制的手段

(.)。

22

.

分析模型analyticalmodel

將一個或多個基本測度210和或導出測度222關聯到決策準則221的算法或計算

(.)()(.)(.)