GB/T 29246-2012信息技术安全技术信息安全管理体系概述和词汇

ICS35040

L80.

中华人民共和国国家标准

GB/T29246—2012/ISO/IEC270002009

:

信息技术安全技术

信息安全管理体系概述和词汇

Informationtechnology—Securitytechniques—Informationsecurity

managementsystems—Overviewandvocabulary

(ISO/IEC27000:2009,IDT)

2012-12-31发布2013-06-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T29246—2012/ISO/IEC270002009

:

目次

前言…………………………

Ⅰ

引言…………………………

Ⅱ

范围………………………

11

术语和定义………………

21

信息安全管理体系………………………

35

介绍…………………

3.15

什么是………………………

3.2ISMS6

过程方法……………

3.37

为什么重要…………………

3.4ISMS7

建立监视保持和改进……………………

3.5、、ISMS8

关键成功因素………………

3.6ISMS9

标准族的益处………………

3.7ISMS9

标准族……………

4ISMS9

一般信息……………

4.19

概述和术语标准……………………

4.210

要求标准……………

4.311

一般指南标准………………………

4.411

行业特定指南标准…………………

4.512

附录资料性附录条款表达的措辞形式……………

A()13

附录资料性附录术语分类…………

B()14

参考文献……………………

16

GB/T29246—2012/ISO/IEC270002009

:

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准使用翻译法等同采用信息技术安全技术信息安全管理体系概

ISO/IEC27000:2009《

述和词汇

》。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国电子技术标准化研究所上海三零卫士有限公司北京信息安全测评中心

:、、。

本标准主要起草人上官晓丽许玉娜闵京华赵章界

:、、、。

Ⅰ

GB/T29246—2012/ISO/IEC270002009

:

引言

01概述

.

管理体系标准为建立和运行管理体系提供一个可遵循的模型这个模型综合了该领域中专家已达

。

成一致的可代表国际技术发展水平的特征国际信息安全技术标准化组织设

、。ISO/IECJTC1SC27()

置了一个专家委员会专门开发信息安全管理体系国际标准也称为信息安全管理体系

,(Information

简称标准族

SecurityManagementSystem,ISMS)。

组织通过使用标准族能够开发和实施管理其信息资产安全的框架并为保护组织信息诸

ISMS,,(

如财务信息知识产权员工详细资料或者受客户或第三方委托的信息的的独立评估做准备

,、、,)ISMS。

02ISMS标准族

.

标准族1)旨在帮助所有类型和规模的组织实施和运行在信息技术安全技术这一

ISMSISMS。《》

通用标题下标准族由下列标准组成

,ISMS:

信息技术安全技术信息安全管理体系概述和词汇

———ISO/IEC27000:2009

信息技术安全技术信息安全管理体系要求

———GB/T22080—2008/ISO/IEC27001:2005

信息技术安全技术信息安全管理实用规则

———GB/T22081—2008/ISO/IEC27002:2005

信息技术安全技术信息安全管理体系实施指南

———ISO/IEC27003:2010

信息技术安全技术信息安全管理测量

———ISO/IEC27004:2009

信息技术安全技术信息安全风险管理

———ISO/IEC27005:2008

信息技术安全技术信息安全管理体系审核认

———GB/T25067—2010/ISO/IEC27006:2007

证机构的要求

信息技术安全技术信息安全管理体系审核指南

———ISO/IEC27007

信息技术安全技术基于的电信行业组织的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

注通用标题信息技术安全技术是指这些标准是由制定的

:《》ISO/IECJTC1SC27。

不在通用标题信息技术安全技术之列同时也属于标准族的标准如下所示

“”,ISMS:

健康信息学使用的健康信息安全管理

———ISO27799:2008ISO/IEC27002

03本标准的目的

.

本标准提供了信息安全管理体系的概述该体系形成了标准族的主题并定义了相关术语

,ISMS,。

注附录阐明了标准族在文字表达上如何区分要求和或指南

:AISMS/。

标准族包括的标准

ISMS:

定义的要求及其认证机构的要求

a)ISMS;

提供对整个规划实施检查处置过程和要求的直接支持详细指南和或

b)“———”(PDCA)、()

解释

;

阐述特定行业的指南

c)ISMS;

阐述的一致性评估

d)ISMS。

本标准提供的术语和定义

:

本节中列出的没有指明发布年的标准仍在开发中

1)。

Ⅱ

GB/T29246—2012/ISO/IEC270002009

:

包含标准族中通用的术语和定义

———ISMS;

未包含标准族使用的所有术语和定义

———ISMS;

不限制标准族定义各自使用的术语

———ISMS。

相对于涉及中所有控制措施的标准而言那些仅阐述中控制措施

ISO/IEC27002,ISO/IEC27002

实施的标准不包括在标准族内

,ISMS。

Ⅲ

GB/T29246—2012/ISO/IEC270002009

:

信息技术安全技术

信息安全管理体系概述和词汇

1范围

本标准提供

:

标准族的概述

a)ISMS;

信息安全管理体系的介绍

b)(ISMS);

规划实施检查处置过程的简要描述

c)“———”(PDCA);

标准族所用的术语和定义

d)ISMS。

本标准适用于所有类型的组织例如商业企业政府机构非赢利组织

(,、、)。

2术语和定义

下列术语和定义适用于本文件

。

注定义或注中的术语如果在条款的其他地方被定义则以黑体标出并在其后的圆括号中标明其条目号这种黑

:,。

体术语可以在定义中替换为其完整的定义

。

示例

:

攻击被定义为破坏泄露篡改损伤偷窃未授权访问或未授权使用资产的企图

(2.4)“、、、、、(2.3)”;

资产被定义为对组织有价值的任何东西

“”。

如果术语