GB/T 29246-2023信息安全技术信息安全管理体系概述和词汇

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T29246—2023/ISO/IEC270002018

:

代替GB/T29246—2017

信息安全技术信息安全管理体系

概述和词汇

Informationsecuritytechnology—Informationsecuritymanagementsystems—

Overviewandvocabulary

ISO/IEC270002018Informationtechnolo—Securittechniues—

(:,gyyq

Informationsecuritmanaementsstems—OverviewandvocabularIDT

ygyy,)

2023-12-28发布2024-07-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T29246—2023/ISO/IEC270002018

:

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

信息安全管理体系

4(ISMS)………………9

概要

4.1…………………9

概念

4.2ISMS…………………………10

过程方法

4.3……………11

重要性

4.4ISMS………………………11

建立监视保持和改进

4.5、、ISMS……………………12

关键成功因素

4.6ISMS………………14

标准族的益处

4.7ISMS………………14

信息安全管理体系标准族

5………………14

一般信息

5.1……………14

概述和术语标准

5.2:ISO/IEC27000(GB/T29246)………………15

要求标准

5.3……………16

一般指南标准

5.4………………………16

具体行业指南标准

5.5…………………18

参考文献

……………………21

索引

…………………………23

Ⅱ

GB/T29246—2023/ISO/IEC270002018

:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技术安全技术信息安全管理体系概述和词汇与

GB/T29246—2017《》,

相比除结构调整和编辑性改动外主要技术变化如下

GB/T29246—2017,,:

删除了术语分析模型属性数据决策准则执行管理者信息安全管理体系专

a)“”“”“”“”“”“(ISMS)

业人员信息安全管理体系项目测量结果对象尺度测量单位确认验证见

”“”“”“”“”“”“”“”(

年版的第章

20173);

合并了定义相同的术语受益相关方见年版的和利益相关方见年版的

b)“”(20172.41)“”(2017

为利益相关方见

2.82)“”(3.37);

增加了对的说明见

c)ISO/IEC27009(5.3.3);

增加了对的说明见

d)ISO/IEC27021(5.4.10);

更新了对信息安全管理体系标准族中一些标准的说明见第章年版的第章

e)(5,20174)。

本文件等同采用信息技术安全技术信息安全管理体系概述和词汇

ISO/IEC27000:2018《》。

本文做了下列最小限度的编辑性改动

:

为与现有标准协调将标准名称改为信息安全技术信息安全管理体系概述和词汇

———,《》。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中电长城网际系统应用有限公司中国电子技术标准化研究院杭州安恒信息技

:、、

术股份有限公司中国软件评测中心中国信息通信研究院北京赛西认证有限责任公司中通服咨询设

、、、、

计研究院有限公司国家计算机网络应急技术处理协调中心深信服科技股份有限公司启明星辰信息

、、、

技术集团股份有限公司长扬科技北京有限公司公安部第三研究所深圳大学北京百度网讯科技有

、()、、、

限公司北京时代新威信息技术有限公司中国长江三峡集团有限公司

、、。

本文件主要起草人闵京华王惠莅范博周亚超左冉李杺恬李汪蔚赵丽华高丽芬王文磊

:、、、、、、、、、、

刘晨朱宇泽赵华王宁刘伟丽王海棠郭建领潘文博唐进王秉政

、、、、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2012GB/T29246—2012;

年第一次修订

———2017;

本次为第二次修订

———。

Ⅰ

GB/T29246—2023/ISO/IEC270002018

:

信息安全技术信息安全管理体系

概述和词汇

1范围

本文件给出了信息安全管理体系概述界定了标准族中常用的术语和定义

(ISMS),ISMS。

本文件适用于所有类型和规模的组织例如商业企业政府机构非营利组织

(,、、)。

本文件中提供的术语和定义

:

包含标准族中的通用术语和定义

———ISMS;

不包含标准族中应用的所有术语和定义

———ISMS;

不限制标准族定义新的使用术语

———ISMS。

2规范性引用文件

本文件没有规范性引用文件

。

3术语和定义

31

.

访问控制accesscontrol

确保对资产访问是基于业务和安全要求进行授权和限制的手段

(3.56)。

32

.

攻击attack

企图破坏泄露篡改禁用窃取或者未经授权访问或未经授权使用资产的行为

、、、、。

33

.

审核audit

为获取审核证据并对其进行客