信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯-編制說明

PAGE3PAGE任務來源根據(jù)國家標準化管理委員會下達的2015年國家標準制修訂計劃，國家標準GB/T29246—2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》修訂由中電長城網(wǎng)際系統(tǒng)應用有限公司主辦，中國電子技術(shù)標準化研究院、中國信息安全研究院等單位參與，標準計劃號為20151596-T-469。任務背景2012年發(fā)布的國家標準GB/T29246—2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》等同采用國際信息安全標準化組織ISO/IECJTC1SC27于2009年5月1日發(fā)布的國際標準ISO/IEC27000:2009《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯（Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary）》（第一版）。ISO/IEC27000《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》是信息安全管理體系（ISMS）標準族中的標準之一。ISO/IECJTC1SC27WG1（信息安全管理工作組）專門負責ISMS標準族的研究和制定。ISMS標準族作為一套具有一定科學理論基礎和實踐價值的標準，被廣泛用于不同國家、不同領域，為不同信息安全管理需求的用戶提供了參考和指導。截至目前，我國在持續(xù)跟蹤研究該系列標準的基礎上，已經(jīng)以等同采用方式轉(zhuǎn)化了ISMS標準族中的十項國際標準為國家標準，分別是：GB/T29246—2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（等同采用ISO/IEC27000:2009）、GB/T22080—2016《信息技術(shù)安全技術(shù)信息安全管理體系要求》（等同采用ISO/IEC27001:2013）、GB/T22081—2016《信息技術(shù)安全技術(shù)信息安全控制措施實踐指南》（等同采用ISO/IEC27002:2013）、GB/T31496—2015《信息技術(shù)安全技術(shù)信息安全管理體系實施指南》（等同采用ISO/IEC27003:2010）、GB/T31497—2015《信息技術(shù)安全技術(shù)信息安全管理測量》（等同采用ISO/IEC27004:2009）、GB/T31722—2015《信息技術(shù)安全技術(shù)信息安全風險管理》（等同采用ISO/IEC27005:2008）、GB/T25067—2010《信息技術(shù)安全技術(shù)信息安全管理體系認證機構(gòu)認可要求》（等同采用ISO/IEC27006:2007）、GB/Z32916-2016《信息技術(shù)安全技術(shù)信息安全控制措施審核員指南》（等同采用ISO/IECTR27008）、GB/T32920—2016《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》（等同采用ISO/IEC27010）、GB/T32923—2016《信息技術(shù)安全技術(shù)信息安全治理》（等同采用ISO/IEC27014）。隨著信息技術(shù)及其應用的迅猛發(fā)展，信息安全管理體系（ISMS）在不斷發(fā)展并取得新進展，新的術(shù)語也不斷出現(xiàn)。ISO/IECJTC1SC27于2012年12月1日、2014年1月15日和2016年2月15日先后發(fā)布了國際標準ISO/IEC27000:2012（第二版）、ISO/IEC27000:2014（第三版）和ISO/IEC27000:2016（第四版），其中，相對于第一版的46條，第二、三和四版分別增加到了81、89和89條術(shù)語定義。為了適應發(fā)展，有必要更新GB/T29246—2012，為ISMS相關(guān)技術(shù)和應用提供最新的基礎標準支撐。編制原則等同采用：基于目前國內(nèi)對國際ISMS標準族相關(guān)標準的研究和轉(zhuǎn)化情況，以及我國整體信息安全管理理論和技術(shù)發(fā)展現(xiàn)狀，決定等同采用國際標準ISO/IEC27000《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》最新版本。準確理解：在充分理解國際標準原文的基礎上進行等同翻譯，做到準確表達原意。語言通暢：在等同翻譯時，盡量符合中文的語言習慣，做到表述通暢。主要工作過程1、2014年12月9日，中央網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)司正式下達了修訂國家標準GB/T29246—2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》的任務，在全國信息安全標準化技術(shù)委員會（以下簡稱信安標委）的項目編號為2014bzxd-WG7-002。2、2014年12月25日，項目牽頭單位中電長城網(wǎng)際系統(tǒng)應用有限公司（以下簡稱“長城網(wǎng)際”）與中央網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)司正式簽訂了課題委托合同書。3、2015年1月，由項目牽頭單位和參與單位共同組成的標準編制組正式成立并啟動工作。4、2015年1月至2015年6月，研究ISO/IEC27000:2014《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（第三版），同時跟蹤和研究ISMS標準族的其他相關(guān)標準。5、2015年7月至2016年1月，翻譯ISO/IEC27000:2014《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（第三版），并繼續(xù)跟蹤和研究ISMS標準族的其他相關(guān)標準。6、2016年2月，鑒于ISO/IECJTC1SC27發(fā)布了ISO/IEC27000:2016《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（第四版），決定基于此最新版本修訂GB/T29246—2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》。7、2016年3月至7月，翻譯ISO/IEC27000:2016《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（第四版），并繼續(xù)跟蹤和研究ISMS標準族的其他相關(guān)標準。8、2016年8月，形成GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》修訂草案（中英文對照）及編制說明，并提交至信安標委“信息安全標準項目管理與服務平臺”（）。9、2016年10月，在“全國信息安全標準化技術(shù)委員會2016年第二次會議周”期間的信息安全管理工作組（WG7）會議上聽取工作組成員單位對該標準修訂草案的反饋意見。此次會議決定該標準修訂進入征求意見稿階段。10、2016年11月，根據(jù)標準草案的反饋意見，對標準文本進一步修改完善，形成該標準修訂的征求意見稿（中英文對照）第1稿、編制說明和意見匯總處理表，并提交至信安標委“信息安全標準項目管理與服務平臺”。11、2016年12月22日，信安標委WG7組織了專家審查會。12月23日，根據(jù)會上專家意見對征求意見稿第1稿進行修改完善，形成征求意見（中英文對照）第2稿，同時更新編制說明和意見匯總表，并提交至WG7組。主要內(nèi)容該標準闡述了信息安全管理體系（ISMS），介紹了ISMS標準族及族中的19項標準，給出了ISMS標準族中89條常用的術(shù)語及其定義。該標準內(nèi)容目次如下：前言0引言0.1概述0.2ISMS標準族0.3本標準的目的1范圍2術(shù)語和定義3信息安全管理體系3.1概要3.2什么是ISMS3.3過程方法3.4為什么ISMS重要3.5建立、監(jiān)視、保持和改進ISMS3.6ISMS關(guān)鍵成功因素3.7ISMS標準族的益處4ISMS標準族4.1一般信息4.2描述概述和術(shù)語的標準4.3規(guī)范要求的標準4.4描述一般指南的標準4.5描述行業(yè)特定指南的標準附錄A（資料性附錄）條款表達的措辭形式附錄B（資料性附錄）術(shù)語和術(shù)語歸屬參考文獻主要試驗（或驗證）的分析、綜述報告，技術(shù)經(jīng)濟論證，預期的經(jīng)濟效果該標準所提供的信息安全相關(guān)概念和術(shù)語是信息安全管理的基礎，為信息安全管理提供了體系化的方法和通用、準確的術(shù)語集。采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的對比情況，或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況該標準等同采用國際標準ISO/IEC27000:2016《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（第四版）。與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標準的關(guān)系該標準符合我國現(xiàn)行的法律、法規(guī)和強制性國家標準。重大分歧意見的處理經(jīng)過和依據(jù)尚無。國家標準作為強制性國家標準或推薦性國家標準的建議建議該標準作為推薦性國家標準發(fā)布實施。貫徹國家標準的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）該標準是信息安全管理的基礎性標準，是在信息安全管理領域中進行溝通、研究、開發(fā)和實施的基本工具，因此建議在所有信息安全管理相關(guān)人員中進行宣貫和培訓。其他事項說明在翻譯國際標準ISO/IEC27000:2016《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（第四版）過程中，發(fā)現(xiàn)一