ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T29246—2012/ISO/IEC270002009

:

信息技術(shù)安全技術(shù)

信息安全管理體系概述和詞匯

Informationtechnology—Securitytechniques—Informationsecurity

managementsystems—Overviewandvocabulary

(ISO/IEC27000:2009,IDT)

2012-12-31發(fā)布2013-06-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T29246—2012/ISO/IEC270002009

:

目次

前言…………………………

Ⅰ

引言…………………………

Ⅱ

范圍………………………

11

術(shù)語(yǔ)和定義………………

21

信息安全管理體系………………………

35

介紹…………………

3.15

什么是………………………

3.2ISMS6

過(guò)程方法……………

3.37

為什么重要…………………

3.4ISMS7

建立監(jiān)視保持和改進(jìn)……………………

3.5、、ISMS8

關(guān)鍵成功因素………………

3.6ISMS9

標(biāo)準(zhǔn)族的益處………………

3.7ISMS9

標(biāo)準(zhǔn)族……………

4ISMS9

一般信息……………

4.19

概述和術(shù)語(yǔ)標(biāo)準(zhǔn)……………………

4.210

要求標(biāo)準(zhǔn)……………

4.311

一般指南標(biāo)準(zhǔn)………………………

4.411

行業(yè)特定指南標(biāo)準(zhǔn)…………………

4.512

附錄資料性附錄條款表達(dá)的措辭形式……………

A()13

附錄資料性附錄術(shù)語(yǔ)分類…………

B()14

參考文獻(xiàn)……………………

16

GB/T29246—2012/ISO/IEC270002009

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系概

ISO/IEC27000:2009《

述和詞匯

》。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所上海三零衛(wèi)士有限公司北京信息安全測(cè)評(píng)中心

:、、。

本標(biāo)準(zhǔn)主要起草人上官曉麗許玉娜閔京華趙章界

:、、、。

Ⅰ

GB/T29246—2012/ISO/IEC270002009

:

引言

01概述

.

管理體系標(biāo)準(zhǔn)為建立和運(yùn)行管理體系提供一個(gè)可遵循的模型這個(gè)模型綜合了該領(lǐng)域中專家已達(dá)

。

成一致的可代表國(guó)際技術(shù)發(fā)展水平的特征國(guó)際信息安全技術(shù)標(biāo)準(zhǔn)化組織設(shè)

、。ISO/IECJTC1SC27()

置了一個(gè)專家委員會(huì)專門開(kāi)發(fā)信息安全管理體系國(guó)際標(biāo)準(zhǔn)也稱為信息安全管理體系

,(Information

簡(jiǎn)稱標(biāo)準(zhǔn)族

SecurityManagementSystem,ISMS)。

組織通過(guò)使用標(biāo)準(zhǔn)族能夠開(kāi)發(fā)和實(shí)施管理其信息資產(chǎn)安全的框架并為保護(hù)組織信息諸

ISMS,,(

如財(cái)務(wù)信息知識(shí)產(chǎn)權(quán)員工詳細(xì)資料或者受客戶或第三方委托的信息的的獨(dú)立評(píng)估做準(zhǔn)備

,、、,)ISMS。

02ISMS標(biāo)準(zhǔn)族

.

標(biāo)準(zhǔn)族1)旨在幫助所有類型和規(guī)模的組織實(shí)施和運(yùn)行在信息技術(shù)安全技術(shù)這一

ISMSISMS?！丁?/p>

通用標(biāo)題下標(biāo)準(zhǔn)族由下列標(biāo)準(zhǔn)組成

,ISMS:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———ISO/IEC27000:2009

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2008/ISO/IEC27001:2005

信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則

———GB/T22081—2008/ISO/IEC27002:2005

信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南

———ISO/IEC27003:2010

信息技術(shù)安全技術(shù)信息安全管理測(cè)量

———ISO/IEC27004:2009

信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理

———ISO/IEC27005:2008

信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)

———GB/T25067—2010/ISO/IEC27006:2007

證機(jī)構(gòu)的要求

信息技術(shù)安全技術(shù)信息安全管理體系審核指南

———ISO/IEC27007

信息技術(shù)安全技術(shù)基于的電信行業(yè)組織的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

注通用標(biāo)題信息技術(shù)安全技術(shù)是指這些標(biāo)準(zhǔn)是由制定的

:《》ISO/IECJTC1SC27。

不在通用標(biāo)題信息技術(shù)安全技術(shù)之列同時(shí)也屬于標(biāo)準(zhǔn)族的標(biāo)準(zhǔn)如下所示

“”,ISMS:

健康信息學(xué)使用的健康信息安全管理

———ISO27799:2008ISO/IEC27002

03本標(biāo)準(zhǔn)的目的

.

本標(biāo)準(zhǔn)提供了信息安全管理體系的概述該體系形成了標(biāo)準(zhǔn)族的主題并定義了相關(guān)術(shù)語(yǔ)

,ISMS,。

注附錄闡明了標(biāo)準(zhǔn)族在文字表達(dá)上如何區(qū)分要求和或指南

:AISMS/。

標(biāo)準(zhǔn)族包括的標(biāo)準(zhǔn)

ISMS:

定義的要求及其認(rèn)證機(jī)構(gòu)的要求

a)ISMS;

提供對(duì)整個(gè)規(guī)劃實(shí)施檢查處置過(guò)程和要求的直接支持詳細(xì)指南和或

b)“———”(PDCA)、()

解釋

;

闡述特定行業(yè)的指南

c)ISMS;

闡述的一致性評(píng)估

d)ISMS。

本標(biāo)準(zhǔn)提供的術(shù)語(yǔ)和定義

:

本節(jié)中列出的沒(méi)有指明發(fā)布年的標(biāo)準(zhǔn)仍在開(kāi)發(fā)中

1)。

Ⅱ

GB/T29246—2012/ISO/IEC270002009

:

包含標(biāo)準(zhǔn)族中通用的術(shù)語(yǔ)和定義

———ISMS;

未包含標(biāo)準(zhǔn)族使用的所有術(shù)語(yǔ)和定義

———ISMS;

不限制標(biāo)準(zhǔn)族定義各自使用的術(shù)語(yǔ)

———ISMS。

相對(duì)于涉及中所有控制措施的標(biāo)準(zhǔn)而言那些僅闡述中控制措施

ISO/IEC27002,ISO/IEC27002

實(shí)施的標(biāo)準(zhǔn)不包括在標(biāo)準(zhǔn)族內(nèi)

,ISMS。

Ⅲ

GB/T29246—2012/ISO/IEC270002009

:

信息技術(shù)安全技術(shù)

信息安全管理體系概述和詞匯

1范圍

本標(biāo)準(zhǔn)提供

:

標(biāo)準(zhǔn)族的概述

a)ISMS;

信息安全管理體系的介紹

b)(ISMS);

規(guī)劃實(shí)施檢查處置過(guò)程的簡(jiǎn)要描述

c)“———”(PDCA);

標(biāo)準(zhǔn)族所用的術(shù)語(yǔ)和定義

d)ISMS。

本標(biāo)準(zhǔn)適用于所有類型的組織例如商業(yè)企業(yè)政府機(jī)構(gòu)非贏利組織

(,、、)。

2術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件

。

注定義或注中的術(shù)語(yǔ)如果在條款的其他地方被定義則以黑體標(biāo)出并在其后的圓括號(hào)中標(biāo)明其條目號(hào)這種黑

:,。

體術(shù)語(yǔ)可以在定義中替換為其完整的定義

。

示例

:

攻擊被定義為破壞泄露篡改損傷偷竊未授權(quán)訪問(wèn)或未授權(quán)使用資產(chǎn)的企圖

(2.4)“、、、、、(2.3)”;

資產(chǎn)被定義為對(duì)組織有價(jià)值的任何東西

“”。

如果術(shù)語(yǔ)