信息技术 安全技术 信息安全管理体系 概述和词汇-编制说明

PAGE3PAGE任务来源根据国家标准化管理委员会下达的2015年国家标准制修订计划，国家标准GB/T29246—2012《信息技术安全技术信息安全管理体系概述和词汇》修订由中电长城网际系统应用有限公司主办，中国电子技术标准化研究院、中国信息安全研究院等单位参与，标准计划号为20151596-T-469。任务背景2012年发布的国家标准GB/T29246—2012《信息技术安全技术信息安全管理体系概述和词汇》等同采用国际信息安全标准化组织ISO/IECJTC1SC27于2009年5月1日发布的国际标准ISO/IEC27000:2009《信息技术安全技术信息安全管理体系概述和词汇（Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary）》（第一版）。ISO/IEC27000《信息技术安全技术信息安全管理体系概述和词汇》是信息安全管理体系（ISMS）标准族中的标准之一。ISO/IECJTC1SC27WG1（信息安全管理工作组）专门负责ISMS标准族的研究和制定。ISMS标准族作为一套具有一定科学理论基础和实践价值的标准，被广泛用于不同国家、不同领域，为不同信息安全管理需求的用户提供了参考和指导。截至目前，我国在持续跟踪研究该系列标准的基础上，已经以等同采用方式转化了ISMS标准族中的十项国际标准为国家标准，分别是：GB/T29246—2012《信息技术安全技术信息安全管理体系概述和词汇》（等同采用ISO/IEC27000:2009）、GB/T22080—2016《信息技术安全技术信息安全管理体系要求》（等同采用ISO/IEC27001:2013）、GB/T22081—2016《信息技术安全技术信息安全控制措施实践指南》（等同采用ISO/IEC27002:2013）、GB/T31496—2015《信息技术安全技术信息安全管理体系实施指南》（等同采用ISO/IEC27003:2010）、GB/T31497—2015《信息技术安全技术信息安全管理测量》（等同采用ISO/IEC27004:2009）、GB/T31722—2015《信息技术安全技术信息安全风险管理》（等同采用ISO/IEC27005:2008）、GB/T25067—2010《信息技术安全技术信息安全管理体系认证机构认可要求》（等同采用ISO/IEC27006:2007）、GB/Z32916-2016《信息技术安全技术信息安全控制措施审核员指南》（等同采用ISO/IECTR27008）、GB/T32920—2016《信息技术安全技术行业间和组织间通信的信息安全管理》（等同采用ISO/IEC27010）、GB/T32923—2016《信息技术安全技术信息安全治理》（等同采用ISO/IEC27014）。随着信息技术及其应用的迅猛发展，信息安全管理体系（ISMS）在不断发展并取得新进展，新的术语也不断出现。ISO/IECJTC1SC27于2012年12月1日、2014年1月15日和2016年2月15日先后发布了国际标准ISO/IEC27000:2012（第二版）、ISO/IEC27000:2014（第三版）和ISO/IEC27000:2016（第四版），其中，相对于第一版的46条，第二、三和四版分别增加到了81、89和89条术语定义。为了适应发展，有必要更新GB/T29246—2012，为ISMS相关技术和应用提供最新的基础标准支撑。编制原则等同采用：基于目前国内对国际ISMS标准族相关标准的研究和转化情况，以及我国整体信息安全管理理论和技术发展现状，决定等同采用国际标准ISO/IEC27000《信息技术安全技术信息安全管理体系概述和词汇》最新版本。准确理解：在充分理解国际标准原文的基础上进行等同翻译，做到准确表达原意。语言通畅：在等同翻译时，尽量符合中文的语言习惯，做到表述通畅。主要工作过程1、2014年12月9日，中央网信办网络安全协调司正式下达了修订国家标准GB/T29246—2012《信息技术安全技术信息安全管理体系概述和词汇》的任务，在全国信息安全标准化技术委员会（以下简称信安标委）的项目编号为2014bzxd-WG7-002。2、2014年12月25日，项目牵头单位中电长城网际系统应用有限公司（以下简称“长城网际”）与中央网信办网络安全协调司正式签订了课题委托合同书。3、2015年1月，由项目牵头单位和参与单位共同组成的标准编制组正式成立并启动工作。4、2015年1月至2015年6月，研究ISO/IEC27000:2014《信息技术安全技术信息安全管理体系概述和词汇》（第三版），同时跟踪和研究ISMS标准族的其他相关标准。5、2015年7月至2016年1月，翻译ISO/IEC27000:2014《信息技术安全技术信息安全管理体系概述和词汇》（第三版），并继续跟踪和研究ISMS标准族的其他相关标准。6、2016年2月，鉴于ISO/IECJTC1SC27发布了ISO/IEC27000:2016《信息技术安全技术信息安全管理体系概述和词汇》（第四版），决定基于此最新版本修订GB/T29246—2012《信息技术安全技术信息安全管理体系概述和词汇》。7、2016年3月至7月，翻译ISO/IEC27000:2016《信息技术安全技术信息安全管理体系概述和词汇》（第四版），并继续跟踪和研究ISMS标准族的其他相关标准。8、2016年8月，形成GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》修订草案（中英文对照）及编制说明，并提交至信安标委“信息安全标准项目管理与服务平台”（）。9、2016年10月，在“全国信息安全标准化技术委员会2016年第二次会议周”期间的信息安全管理工作组（WG7）会议上听取工作组成员单位对该标准修订草案的反馈意见。此次会议决定该标准修订进入征求意见稿阶段。10、2016年11月，根据标准草案的反馈意见，对标准文本进一步修改完善，形成该标准修订的征求意见稿（中英文对照）第1稿、编制说明和意见汇总处理表，并提交至信安标委“信息安全标准项目管理与服务平台”。11、2016年12月22日，信安标委WG7组织了专家审查会。12月23日，根据会上专家意见对征求意见稿第1稿进行修改完善，形成征求意见（中英文对照）第2稿，同时更新编制说明和意见汇总表，并提交至WG7组。主要内容该标准阐述了信息安全管理体系（ISMS），介绍了ISMS标准族及族中的19项标准，给出了ISMS标准族中89条常用的术语及其定义。该标准内容目次如下：前言0引言0.1概述0.2ISMS标准族0.3本标准的目的1范围2术语和定义3信息安全管理体系3.1概要3.2什么是ISMS3.3过程方法3.4为什么ISMS重要3.5建立、监视、保持和改进ISMS3.6ISMS关键成功因素3.7ISMS标准族的益处4ISMS标准族4.1一般信息4.2描述概述和术语的标准4.3规范要求的标准4.4描述一般指南的标准4.5描述行业特定指南的标准附录A（资料性附录）条款表达的措辞形式附录B（资料性附录）术语和术语归属参考文献主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果该标准所提供的信息安全相关概念和术语是信息安全管理的基础，为信息安全管理提供了体系化的方法和通用、准确的术语集。采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况该标准等同采用国际标准ISO/IEC27000:2016《信息技术安全技术信息安全管理体系概述和词汇》（第四版）。与有关的现行法律、法规和强制性国家标准的关系该标准符合我国现行的法律、法规和强制性国家标准。重大分歧意见的处理经过和依据尚无。国家标准作为强制性国家标准或推荐性国家标准的建议建议该标准作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）该标准是信息安全管理的基础性标准，是在信息安全管理领域中进行沟通、研究、开发和实施的基本工具，因此建议在所有信息安全管理相关人员中进行宣贯和培训。其他事项说明在翻译国际标准ISO/IEC27000:2016《信息技术安全技术信息安全管理体系概述和词汇》（第四版）过程中，发现一