标准解读

《GB/T 29246-2017 信息技术 安全技术 信息安全管理体系 概述和词汇》与《GB/T 29246-2012 信息技术 安全技术 信息安全管理体系 概述和词汇》相比,在内容上进行了更新和完善。这些变化主要体现在以下几个方面:

一、结构上的调整:新版标准对整体结构进行了优化,使得信息更加条理化,便于读者理解和查阅。

二、术语定义的更新:随着信息技术的发展以及信息安全领域新概念的出现,《GB/T 29246-2017》中增加了部分新的术语及其定义,并且对于一些原有的术语进行了修订或删除,以反映当前信息安全领域的最新实践和技术趋势。

三、与其他标准的一致性增强:为了保证不同标准之间术语使用的一致性和准确性,《GB/T 29246-2017》加强了与其他相关国际国内标准(如ISO/IEC 27000系列)之间的协调工作,在某些术语的选择上尽量保持一致。

四、案例和示例的增加:为了帮助用户更好地理解信息安全管理体系的概念及应用,《GB/T 29246-2017》增加了更多实际操作中的案例分析和示例说明,这有助于提高标准的实际指导意义。

五、强调持续改进:新版标准更加注重组织在建立、实施、维护和持续改进信息安全管理体系过程中的重要性,鼓励通过定期评估来不断提升安全水平。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 被代替
  • 已被新标准代替,建议下载现行标准GB/T 29246-2023
  • 2017-12-29 颁布
  • 2018-07-01 实施
©正版授权
GB/T 29246-2017信息技术安全技术信息安全管理体系概述和词汇_第1页
GB/T 29246-2017信息技术安全技术信息安全管理体系概述和词汇_第2页
GB/T 29246-2017信息技术安全技术信息安全管理体系概述和词汇_第3页
GB/T 29246-2017信息技术安全技术信息安全管理体系概述和词汇_第4页
GB/T 29246-2017信息技术安全技术信息安全管理体系概述和词汇_第5页
已阅读5页,还剩31页未读 继续免费阅读

下载本文档

免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T29246—2017/ISO/IEC270002016

代替:

GB/T29246—2012

信息技术安全技术

信息安全管理体系概述和词汇

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystems—Overviewandvocabulary

(ISO/IEC27000:2016,IDT)

2017-12-29发布2018-07-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T29246—2017/ISO/IEC270002016

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

概述

0.1…………………Ⅳ

信息安全管理体系标准族

0.2…………Ⅳ

本标准的目的

0.3………………………Ⅴ

范围

1………………………1

术语和定义

2………………1

信息安全管理体系

3………………………10

概要

3.1…………………10

什么是

3.2ISMS………………………11

过程方法

3.3……………12

为什么重要

3.4ISMS…………………12

建立监视保持和改进

3.5、、ISMS……………………13

关键成功因素

3.6ISMS………………15

标准族的益处

3.7ISMS………………15

信息安全管理体系标准族

4………………16

一般信息

4.1……………16

给出概述和术语的标准

4.2……………16

规范要求的标准

4.3……………………17

给出一般指南的标准

4.4………………17

给出行业特定指南的标准

4.5…………19

附录资料性附录条款表达的措辞形式

A()……………21

附录资料性附录术语和术语归属

B()…………………22

参考文献

……………………26

GB/T29246—2017/ISO/IEC270002016

:

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息技术安全技术信息安全管理体系概述和词汇与

GB/T29246—2012《》,

相比主要技术变化如下

GB/T29246—2012:

标准族的组成标准由项增加至项见和年版的和

———ISMS1019(0.24.1~4.5,20120.24.1~4.5);

术语和定义由条增加至条见年版的

———4689(2.1~2.89,20122.1~2.46);

将附录术语分类改为术语和术语归属见附录年版的附录

———“”“”(B,2012B)。

本标准使用翻译法等同采用信息技术安全技术信息安全管理体系概

ISO/IEC27000:2016《

述和词汇

》。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中电长城网际系统应用有限公司中国电子技术标准化研究院中国信息安全研

:、、

究院有限公司

本标准主要起草人闵京华上官晓丽许玉娜王惠莅罗锋盈左晓栋周亚超马洪军廖飞鸣

:、、、、、、、、、

黄凯峰马文荷

、。

本标准所代替的历次版本发布情况为

:

———GB/T29246—2012。

GB/T29246—2017/ISO/IEC270002016

:

引言

01概述

.

管理体系标准提供一个在建立和运行管理体系时可遵循的模型专门为信息安全开发的管理体系

标准称为信息安全管理体系简称标准族

(InformationSecurityManagementSystem,ISMS)。

通过使用标准族组织能够开发和实施管理其信息资产安全的框架包括财务信息知识产

ISMS,,、

权和员工详细资料或者受客户或第三方委托的信息这些标准还可用于对组织应用保护其信

,。ISMS

息做独立评估准备

02信息安全管理体系标准族

.

信息安全管理体系标准族见第章旨在帮助所有类型和规模的组织实施和运行

(ISMS)(4)ISMS。

在信息技术安全技术通用标题下标准族由下列标准组成按标准号排序

《》,ISMS():

信息安全管理体系概述和词汇

———ISO/IEC27000(Informationsecuritymanagementsys-

tems—Overviewandvocabulary)

信息安全管理体系要求

———ISO/IEC27001(Informationsecuritymanagementsystems—Re-

quirements)

信息安全控制实践指南

———ISO/IEC27002(Codeofpracticeforinformationsecuritycontrols)

信息安全管理体系实施指南

———ISO/IEC27003(Informationsecuritymanagementsystemim-

plementationguidance)

信息安全管理测量

———ISO/IEC27004(Informationsecuritymanagement—Measurement)

信息安全风险管理

———ISO/IEC27005(Informationsecurityriskmanagement)

信息安全管理体系审核认证机构的要求

———ISO/IEC27006(Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems)

信息安全管理体系审核指南

———ISO/IEC27007(Guidelinesforinformationsecuritymanage-

mentsystemsauditing)

信息安全控制措施审核员指南

———ISO/IECTR27008(Guidelinesforauditorsoninformation

securitycontrols)

的行业特定应用要求

———ISO/IEC27009ISO/IEC27001(Sector-specificapplicationofISO/

IEC27001—Requirements)

行业间和组织间通信的信息安全管理

———ISO/IEC27010(Informationsecuritymanagement

forinter-sectorandinter-organizationalcommunications)

基于的电信组织信息安全管理指南

———ISO/IEC27011ISO/IEC27002(Informationsecurity

managementguidelinesfortelecommunicationsorganizationsbasedonISO/IEC27002)

和综合实施指南

———ISO/IEC27013ISO/IEC27001ISO/IEC20000-1(Guidanceontheinte-

gratedimplementationofISO/IEC27001andISO/IEC20000-1)

信息安全治理

———ISO/IEC27014(Governanceofinformationsecurity)

金融服务信息安全管理指南

———ISO/IECTR27015(Informationsecuritymanagementguide-

linesforfinancialservices)

信息安全管理组织经济学

———ISO/IECTR27016(Informationsecuritymanagement—Or-

GB/T29246—2017/ISO/IEC270002016

:

ganizationaleconomics)

基于的云服务信息安全控制实践指南

———ISO/IEC27017ISO/IEC27002(Codeofpracticefor

informationsecuritycontrolsbasedonISO/IEC27002forcloudservices)

可识别个人信息处理者在公有云中保护的实践指南

———ISO/IEC27018(PII)PII(Codeofprac-

ticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPII

processors)

基于的能源供给行业过程控制系统信息安全管理指南

———ISO/IEC27019ISO/IEC27002(In-

formationsecuritymanagementguidelinesbasedonISO/IEC27002forprocesscontrolsys-

temsspecifictotheenergyutilityindustry)

注通用标题信息技术安全技术是指这些标准是由的信息技术委员会下属的安全技术分委

:《》ISO/IEC(JTC1)

员会制定的

(SC27)。

不在通用标题信息技术安全技术之下但也属于标准族的标准如下

《》,ISMS:

健康信息学使用的健康信息安全管理

———ISO27799ISO/IEC27002(Healthinformatics—

InformationsecuritymanagementinhealthusingISO/IEC27002)

03本标准的目的

.

本标准提供信息安全管理体系概述并定义相关术语

,。

注附录阐明在标准族中表达要求和或指南的措辞形式

:AISMS()。

标准族包括的标准

ISMS:

定义及其认证机构的要求

a)ISMS;

为建立实施维护和改进的整个过程提供直接支持详细指南和或解释

b)、、ISMS、();

提出行业特定的指南

c)ISMS;

提出的符合性评估

d)ISMS。

本标准提供的术语和定义

:

包含标准族中的通用术语和定义

———ISMS;

不包含标准族中的所有术语和定义

———ISMS;

不限制标准族定义所需的新术语

———ISMS。

GB/T29246—2017/ISO/IEC270002016

:

信息技术安全技术

信息安全管理体系概述和词汇

1范围

本标准概述了信息安全管理体系提供了标准族中常用的术语及其定义本标准适

(ISMS),ISMS。

用于所有类型和规模的组织例如商业企业政府机构非盈利组织

(,、、)。

2术语和定义

下列术语和定义适用于本文件

21

.

访问控制accesscontrol

确保对资产的访问是基于业务和安全要求263进行授权和限制的手段

(.)。

22

.

分析模型analyticalmodel

将一个或多个基本测度210和或导出测度222关联到决策准则221的算法或计算

(.)()(.)(.)

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论