GB/T 29246-2012信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

ICS35040

L80.

中華人民共和國國家標準

GB/T29246—2012/ISO/IEC270002009

:

信息技術(shù)安全技術(shù)

信息安全管理體系概述和詞匯

Informationtechnology—Securitytechniques—Informationsecurity

managementsystems—Overviewandvocabulary

(ISO/IEC27000:2009,IDT)

2012-12-31發(fā)布2013-06-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T29246—2012/ISO/IEC270002009

:

目次

前言…………………………

Ⅰ

引言…………………………

Ⅱ

范圍………………………

11

術(shù)語和定義………………

21

信息安全管理體系………………………

35

介紹…………………

3.15

什么是………………………

3.2ISMS6

過程方法……………

3.37

為什么重要…………………

3.4ISMS7

建立監(jiān)視保持和改進……………………

3.5、、ISMS8

關(guān)鍵成功因素………………

3.6ISMS9

標準族的益處………………

3.7ISMS9

標準族……………

4ISMS9

一般信息……………

4.19

概述和術(shù)語標準……………………

4.210

要求標準……………

4.311

一般指南標準………………………

4.411

行業(yè)特定指南標準…………………

4.512

附錄資料性附錄條款表達的措辭形式……………

A()13

附錄資料性附錄術(shù)語分類…………

B()14

參考文獻……………………

16

GB/T29246—2012/ISO/IEC270002009

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系概

ISO/IEC27000:2009《

述和詞匯

》。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術(shù)標準化研究所上海三零衛(wèi)士有限公司北京信息安全測評中心

:、、。

本標準主要起草人上官曉麗許玉娜閔京華趙章界

:、、、。

Ⅰ

GB/T29246—2012/ISO/IEC270002009

:

引言

01概述

.

管理體系標準為建立和運行管理體系提供一個可遵循的模型這個模型綜合了該領(lǐng)域中專家已達

。

成一致的可代表國際技術(shù)發(fā)展水平的特征國際信息安全技術(shù)標準化組織設(shè)

、。ISO/IECJTC1SC27()

置了一個專家委員會專門開發(fā)信息安全管理體系國際標準也稱為信息安全管理體系

,(Information

簡稱標準族

SecurityManagementSystem,ISMS)。

組織通過使用標準族能夠開發(fā)和實施管理其信息資產(chǎn)安全的框架并為保護組織信息諸

ISMS,,(

如財務信息知識產(chǎn)權(quán)員工詳細資料或者受客戶或第三方委托的信息的的獨立評估做準備

,、、,)ISMS。

02ISMS標準族

.

標準族1)旨在幫助所有類型和規(guī)模的組織實施和運行在信息技術(shù)安全技術(shù)這一

ISMSISMS?！丁?/p>

通用標題下標準族由下列標準組成

,ISMS:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———ISO/IEC27000:2009

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2008/ISO/IEC27001:2005

信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則

———GB/T22081—2008/ISO/IEC27002:2005

信息技術(shù)安全技術(shù)信息安全管理體系實施指南

———ISO/IEC27003:2010

信息技術(shù)安全技術(shù)信息安全管理測量

———ISO/IEC27004:2009

信息技術(shù)安全技術(shù)信息安全風險管理

———ISO/IEC27005:2008

信息技術(shù)安全技術(shù)信息安全管理體系審核認

———GB/T25067—2010/ISO/IEC27006:2007

證機構(gòu)的要求

信息技術(shù)安全技術(shù)信息安全管理體系審核指南

———ISO/IEC27007

信息技術(shù)安全技術(shù)基于的電信行業(yè)組織的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

注通用標題信息技術(shù)安全技術(shù)是指這些標準是由制定的

:《》ISO/IECJTC1SC27。

不在通用標題信息技術(shù)安全技術(shù)之列同時也屬于標準族的標準如下所示

“”,ISMS:

健康信息學使用的健康信息安全管理

———ISO27799:2008ISO/IEC27002

03本標準的目的

.

本標準提供了信息安全管理體系的概述該體系形成了標準族的主題并定義了相關(guān)術(shù)語

,ISMS,。

注附錄闡明了標準族在文字表達上如何區(qū)分要求和或指南

:AISMS/。

標準族包括的標準

ISMS:

定義的要求及其認證機構(gòu)的要求

a)ISMS;

提供對整個規(guī)劃實施檢查處置過程和要求的直接支持詳細指南和或

b)“———”(PDCA)、()

解釋

;

闡述特定行業(yè)的指南

c)ISMS;

闡述的一致性評估

d)ISMS。

本標準提供的術(shù)語和定義

:

本節(jié)中列出的沒有指明發(fā)布年的標準仍在開發(fā)中

1)。

Ⅱ

GB/T29246—2012/ISO/IEC270002009

:

包含標準族中通用的術(shù)語和定義

———ISMS;

未包含標準族使用的所有術(shù)語和定義

———ISMS;

不限制標準族定義各自使用的術(shù)語

———ISMS。

相對于涉及中所有控制措施的標準而言那些僅闡述中控制措施

ISO/IEC27002,ISO/IEC27002

實施的標準不包括在標準族內(nèi)

,ISMS。

Ⅲ

GB/T29246—2012/ISO/IEC270002009

:

信息技術(shù)安全技術(shù)

信息安全管理體系概述和詞匯

1范圍

本標準提供

:

標準族的概述

a)ISMS;

信息安全管理體系的介紹

b)(ISMS);

規(guī)劃實施檢查處置過程的簡要描述

c)“———”(PDCA);

標準族所用的術(shù)語和定義

d)ISMS。

本標準適用于所有類型的組織例如商業(yè)企業(yè)政府機構(gòu)非贏利組織

(,、、)。

2術(shù)語和定義

下列術(shù)語和定義適用于本文件

。

注定義或注中的術(shù)語如果在條款的其他地方被定義則以黑體標出并在其后的圓括號中標明其條目號這種黑

:,。

體術(shù)語可以在定義中替換為其完整的定義

。

示例

:

攻擊被定義為破壞泄露篡改損傷偷竊未授權(quán)訪問或未授權(quán)使用資產(chǎn)的企圖

(2.4)“、、、、、(2.3)”;

資產(chǎn)被定義為對組織有價值的任何東西

“”。

如果術(shù)語