GB∕ T 29246-2023 信息安全技术 信息安全管理体系 概述和词汇（正式版）

GB/T29246—2023/ISO/IEC2代替GB/T29246—2017信息安全技术信息安全管理体系国家市场监督管理总局国家标准化管理委员会ⅡGB/T29246—2023/ISO/IEC27000:2018 I 12规范性引用文件 13术语和定义 4信息安全管理体系(ISMS) 94.1概要 9 4.3过程方法 4.4ISMS重要性 4.6ISMS关键成功因素 4.7ISMS标准族的益处 5信息安全管理体系标准族 5.1一般信息 5.3要求标准 5.4一般指南标准 5.5具体行业指南标准 I本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件代替GB/T29246—2017《信息技术安全技术信息安全管理体系概述和词汇》,与2017年版的第3章);b)合并了定义相同的术语“受益相关方”(见2017年版的2.41)和“利益相关方”(见2017年版的c)增加了对ISO/IEC27009的说明(见5.3.3);d)增加了对ISO/IEC27021的说明(见5.4.10);e)更新了对信息安全管理体系标准族中一些标准的说明(见第5章，2017年版的第4章)。本文件等同采用ISO/IEC27000:2018《信息技术安全技术信息安全管理体系概述和词汇》。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件及其所代替文件的历次版本发布情况为：——2012年首次发布为GB/T29246—2012;——2017年第一次修订；——本次为第二次修订。1信息安全技术信息安全管理体系概述和词汇本文件中提供的术语和定义： ——不限制ISMS标准族定义新的使用术语。注1:审核可能是内部审核(第一方)或外部审核(第二方或第三方),也可能是联合审核(结合两个或更多管理确保实体所声称其特征是正确的一种措施。2GB/T29246—2023/ISO/IEC27000:20183.6一个实体是其所声称实体的性质。3.73.8注：基本测度在功能上独立于其他测度。3.93.103.113.12注1:一个事态(3.21)可能导致一系列后果。注2:一个后果可能是确定的或不确定的，在信息安全(3.28)的语境下通常是负面的。注3:后果可能定性或定量表示。注4:初始后果可能通过连锁效应升级。3.133.14注2:控制可能并不总是发挥出预期或假定的改变效果。3.153.163GB/T29246—2023/ISO/IEC27000:20183.173.183.19注1:文档化信息可能采用任何格式，存于任何媒体中和出自任何来源。注2:文档化信息可能涉及 为组织(3.50)运营而创建的信息(文档);——取得结果的证据(记录)。有效性effectiveness实现所计划活动和达成所计划结果的程度。3.21事态event一组特殊情况的发生或改变。注2:一个事态可能由未发生的事情组成。3.22——影响组织(3.50)目标(3.49)的关键驱动力和趋势；--—与外部利益相关方(3.37)的关系及其认知和价值观。3.233.243.25提供估算或评价的测度(3.42)。4GB/T29246—2023/ISO/IEC27000:20183.263.27信息处理设施informationprocessingfacilities3.283.293.30识别到的一种系统、服务或网络状态的发生，表明可能违反信息安全(3.28)策略(3.53)或控制3.31单个或一系列不希望或意外的、极有可能危及业务运营并威胁信息安全(3.28)的信息安全事态3.323.333.343.353.363.373.38组织(3.50)寻求实现其目标的内部环境。5GB/T29246—2023/ISO/IEC27000:2018注：内部语境可能包括如下方面： 在资源和知识(如资本、时间、人员、过程(3.54)、系统和技 与内部利益相关方(3.37)的关系及其认知和价值观；——组织(3.50)的文化； 合同关系的形式和范围。3.39风险级别levelofrisk3.40可能性likelihood某事发生的机会。[来源：ISOGuide73:2009,3.6.1.1,有修改：删除注1和注2]3.41组织(3.50)中相互关联或相互作用，用来建立策略(3.53)和目标(3.49)以及实现这些目标过程注1:管理体系可能专注于单一学科或多个学科。注3:管理体系范围可能包括组织(3.50)的整体、组织的具体且确定的功能或部门，或者跨组织群的一项或多项3.423.433.443.45注：测量方法的类型取决于属性量化操作的性质。可能区分为以下两种类型： 6证明所声称事态(3.21)或行动的发生及其起源实注1:目标可能是战略性的、战术性的或操作性的。注2:目标可能涉及不同学科(诸如金融、健康与安全以及环境目标),可能适用于不同层次(诸如战略、组织、项目、实现特定结果。一种可测量的属性。注1:性能可能与定量或定性的调查发现相关。注：总策略一般称为方针。对于包括总策略的策略集称为方针策略。将输入转化为输出的相互关联或相关作用的活动集合。与预期行为和结果一致的性质。7GB/T29246—2023/ISO/IEC27000:20183.56注1:“通常隐含的”意指所考虑的需要或期望是不言而喻的，对于组织(3.50)或利益相关方(3.37)是惯例或常见做法。注2:规定的要求是明示的，例如在文档化信息(3.19)中明示。3.57注1:残余风险可能包含未识别的风险(3.61)。3.583.59被评审的特定事项。3.603.61注1:影响是指与期望的偏离(正向的或反向的)。注4:风险常被表示为事态(3.21)(包括情况改变)的后果(3.12)和其发生“可能性”(3.40)的组合。注5:在信息安全(3.28)管理体系(3.41)的语境下，信息安全风险能被表示为对信息安全目标(3.49)的不确定性注6:信息安全(3.28)风险与威胁(3.74)利用信息资产或信息资产组的脆弱性(3.77)对组织(3.50)造成伤害的潜力相关。3.62注1:风险接受可能是在不经风险处置(3.72)或风险处置过程(3.54)中做出。注2:接受的风险(3.61)处于监视(3.46)和评审(3.58)中。3.63风险分析riskanalysis注1:风险分析为风险评价(3.67)和风险处置(3.72)决策提供基础。注2:风险分析包括风险估算。8GB/T29246—2023/ISO/IEC27000:20183.643.65注2:咨询是对问题进行决策或确定方向之前，在组织(3.50)和其利益相关方(3.37)之间进行知情沟通的双向过程——通过影响力而不是权力来影响决策的过程(3.54);3.66注1:风险准则是基于组织的目标以及外部语境(3.22)和内部语境(3.38)。3.67注：风险评价有助于风险处置(3.72)的决策。3.68风险识别riskidentificati注1:风险识别涉及风险源、事态(3.21)及其原因和注2:风险识别可能涉及历史数据、理论分析、知情者和专家的意见以及利益相关方(3.37)的需要。3.693.703.71具有责任和权力来管理风险(3.61)的个人或实体。9GB/T29246—2023/ISO/IEC27000:20183.72注1:风险处置可能涉及如下方面：——承担或增加风险(3.61)以追求机会；——消除风险源；——改变可能性(3.40); 改变后果(3.12):——有根据地选择保留风险。注3:风险处置可能产生新的风险(3.61)或改变现有风险。3.73规定授权的安全实现方式的文件。3.743.75注1:最高管理层有权在组织(3.50)内授权和提供资源。注2:如果管理体系(3.41)的范围仅涵盖组织(3.50)的一部分，则最高管理层就是指指导和控制组织这一部分的个人或集体。注3:最高管理层有时称为执行管理层，可能包括首席执行官、首席财务官、首席信息官和类似角色。3.764信息安全管理体系(ISMS)c)面对一系列可能影响资产运作的风险；d)通过实施信息安全控制解决其感知到的因暴露带来的风险。止丧失保密性、完整性和可用性。使已授权的需要者能及时获得准确、完整的信息，有助于促进提升业其法律合规性和形象至关重要。这些指导实施适当控制和处置不可接受的信息安全风险的协调活动通常被称为信息安全管理的元素。a)监视和评价已实施的控制和规程的有效性；b)识别待处置的新风险；管理体系有效地实现这些目标。的系统方法。它是基于风险评估和组织的风险接受程度，为有效地处置和管理风险而设计的。分析信息资产保护的需求，并根据需要应用适当的控制来切实保护这些信息资产，有助于ISMS的成功实施。下列基本原则也有助于ISMS的成功实施：a)认识到信息安全的需要；b)分配信息安全的责任；c)整合管理者的承诺和利益相关方的利益；d)提升社会价值；f)将安全作为信息网络和系统的基本元素；g)主动防范和发现信息安全事件；h)确保信息安全管理方法的全面性；i)持续对信息安全进行再评估并酌情进行修改。信息可能以多种形式存储，包括：数字形式(如存储在电子或光媒体上的数据文件)、物质形式(如纸关的信息安全控制也是期望与组织业务过程无缝集成。织中可以是由许多人组成的管理层级。就ISMS而言，管理涉及通过保护组织的信息资产来实现业务目标所需的监督和决策。信息安全a)满足客户和其他利益相关方的信息安全需求；b)改进组织的计划和活动；c)满足组织的信息安全目标；组织需要识别和管理许多活动，以便既有效果又有效率地运作。任何使用资源的活动需要被管能直接形成另一个过程的输入，通常这种转换是在计划和受控的条件下进行的。组织内过程系统的应需要解决与组织信息资产相关的风险。实现信息安全需要管理风险，包括与组织内部或组织使用采用ISMS是期望其成为组织的一项战略决策，并且该决策有必要根据组织的需要进行无缝集成、ISMS对于公共和私营部门业务都很重要。在任何行业中，ISMS都使电子商务成为可能，对风险管理活动至关重要。公共和私营网络的互联以及信息资产的共享增加了信息访问控制和处理的难度。此外，包含信息资产的移动存储设备的分布可能削弱传统控制的有效性。当组织采用了ISMS标准全可能是无效的。将安全性集成到功能完备的信息系统中可能是困难和昂贵的。ISMS涉及确认哪些d)有效地遵从法律法规。a)识别信息资产及其相关的信息安全需求(见4.5.2);b)评估信息安全风险(见4.5.3)和处置信息安全风险(见4.5.4);为确保ISMS持续有效地保护组织的信息资产，有必要不断重复步骤a)至d),以识别风险或组织战略或业务目标的变化。在组织的总体战略和业务目标、规模和地理分布的范围内，能通过了解如下方面来识别信息安全a)已识别的信息资产及其价值；风险成为现实后感知到的业务影响相称。管理信息安全需要一种适合的风险评估和风险处置方法，该方法可能包括对成本和收益、法律要风险评估宜根据风险接受准则和与组织相关的目标来识别、量化并按重要性排列风险。评估结果宜指导和确定适当的管理行动及其优先级，以管理信息安全风险，并实施为防范这些风险而选择的控制。——系统性估算风险大小的方法(风险分析);险评价以及发生重大变化时的变化。这些风险评估宜以能够产生可比较和可重现结果的有条不紊的方信息安全风险评估宜具有明确界定的范围以保障其有效性，还宜包括与其他区域风险评估的关系风险监视和风险评审的建议。风险评估方法的例子也包括在内。a)采用适当的控制来降低风险；c)通过不允许可能导致风险发生的行为来规避风险；一旦识别了信息安全需求(见4.5.2),确定和评估了所识别信息资产的信息安全风险(见4.5.3),并a)国家和国际法律法规的要求和约束。b)组织目标。c)运行要求和约束。e)监视、评价和改进信息安全控制的效果和效率以支持组织目的的目标。控制的选择和实施宜f)控制的实施和运行投入与信息安全事件可能导致的损失之间平衡的需要。模和复杂性的组织。ISMS标准族中的其他标准为选择和应用ISMS的ISO/IEC27002:2022控制提宜在系统和项目需求规范和设计阶段考虑信息安全控制。如果不这样做，可能会导致额外的成本准则宜涵盖控制实施期间短期风险的可承受性。随着控制的逐步实施，宜将在不同时间点估算或预计的风险程度告知利益相关方。和改进ISMS。这种ISMS评审检查ISMS是否包括适用于处置ISMS范围内风险的特定控制。此ISMS持续改进的目的是提高实现信息保密性、可用性和完整性目标的可能性。持续改进的重点改进措施包括：c)寻找实现目标的可能解决方案；d)评价这些解决方案并做出选择；e)实施选定的解决方案；g)正式确认改进。4.6ISMS关键成功因素许多因素对于ISMS的成功实施至关重要，以使组织能实现其业务目标。关键成功因素的例子d)对应用信息安全风险管理(见ISO/IEC27005实现的信息资产保护要求的理解);f)有效的信息安全事件管理过程；g)有效的业务持续性管理方法；h)用于评价信息安全管理绩效和反馈改进建议的度量系统。ISMS提高了组织持续实现其信息资产所需关键成功因素的可能性。实施ISMS的益处主要来自降低信息安全风险(即降低信息安全事件发生的可能性和/或造成的影b)在企业风险管理和治理的语境下，协助管理层以负责任的方式持续管理和运用其信息安全管c)以非指定的方式促进全球公认的良好信息安全实践，使组织有自由采纳和改进适合其具体环果他们需要由一个被认可的认证机构根据ISO/IEC27001:2022进行认证；e)增加利益相关方对组织的信任；f)满足社会的需要和期望；g)对信息安全投资进行更有效的经济管理。5信息安全管理体系标准族信息安全管理体系(ISMS)标准族由已发布或制定中的相互关联的标准组成，并包含许多重要的结构组件。这些组件的重点是规定如下要求的标准：—-—ISMS的要求(ISO/IEC27001:2022);ISMS标准族中各标准之间的关系如图1所示。词汇标准ISO/IEC27000(GB/T29246)要求标准ISO/IEC27001ISO/IEC27006ISO/IEC27009ISO/IEC27002ISO/IEC27003(GB/T31496)ISO/IEC27004ISO/IEC27005ISO/IEC27007ISO/IECTS27008ISO/IEC27013ISO/IEC27014ISO/IECTR27016ISO/IEC27021ISO/IEC27010ISO/IEC27018(GB/T41574)ISO/IEC27011ISO/IEC27017ISO/IEC27019ISO27799(本文件范围之外)ISO/IEC2704X注：对于已转国家标准的国际标准编号，加括号标出对应的国家标准编号，具体发布年号详见参考文献。以下对ISMS标准族的每个标准按其在ISMS标准族中的类型(或角色)及其编号进行说明。信息技术安全技术信息安全管理体系概述和词汇(信息安全技术信息安全管理体系概述和词汇)b)信息安全管理体系的介绍；c)ISMS标准族中使用的术语和定义。5.3.1ISO/IEC27001(GB/T2208还包括了根据组织需求所剪裁的信息安全风险评估和处置的要求。该文件规定的要求是通用的，适用低与组织试图通过运行其ISMS来保护的信息资产相关的风险。组织可对其运行的ISMS的符合性进行审核和认证。作为ISMS过程的一部分，从ISO/IEC27001:2022的附录A中5.3.2ISO/IEC27006(GB/T25067)范围：除了ISO/IEC17021中包含的要求外，该文件还为依据ISO/IEC27001:2022提供审核和ISMS认证的机构规定了要求，并提供了指南。其主要目的是对依据ISO/IEC27001:2022提供ISMS认证的认证机构进行认可提供支持。该文件中包含的要求需要由提供ISMS认证的任何机构在胜任力和可靠性方面进行证明，该文件中包含的指南为提供ISMS认证的任何机构提供了这些要求的附加解释。对认证机构的认可要求，从而允许这些机构依据ISO/IEC27001:2022中规定的要求提供一致的合规认证。5.3.3ISO/IEC27009(GB/T38631)具体行业应用要求(信息技术安全技术GB/T22080具体行业应用要求)——细化或解释ISO/IEC27001:2022的任何要求；——修改ISO/IEC27001:2022的附录A和ISO/IEC27002:2022的任何控制； 5.4.1ISO/IEC27002(GB/T22081)指南)组织使用：a)基于ISO/IEC27001:2022实施信息安全管理系统(ISMS);b)基于国际公认的最佳实践实施信息安全控制；c)制定特定于组织的信息安全管理指南。提供关于信息安全控制实施的指南，其中，第5章～第8章为支持ISO/IEC27001:2022的表A.1中列出的控制提供实施指南。5.4.2ISO/IEC27003(GB/T314信息技术安全技术信息安全管理体系指南(信息技术安全技术信息安全管理体系实施指南)5.4.3ISO/IEC27004(G信息技术安全技术信息安全管理监视、测量、分析和评价(信息技术安全技术信息安全管理测量)2022中9.1的要求。它解决：a)信息安全性能的监视和测量；c)监视和测量结果的分析和评价。5.4.4ISO/IEC27005(GB/T31722)就实施面向过程的风险管理方法提供指导，以帮助圆满实施和满足ISO/IEC27001:2022的信息安全风险管理要求。5.4.5ISO/IEC27007(G信息安全管理体系审核指南(信息技术安全技术信息中包含的适用于一般管理体系的指南外，该文件还提供了进行或管理ISMS审核方案的组织提供指导。信息技术安全技术信息安全控制评估指南(信息技术安全技术信息安全控制措施审核员指南)范围：该文件为评审和评估信息安全控制的实施和运行提供了指南，包括信息系统控制的技术评范围：该文件为打算以如下其中一种方式综合实施ISO/IEC27001:2022和ISO/IEC20000-1的组织提供了指南：a)当ISO/IEC20000-1已经实施时实施ISO/IEC27001:2022,或者反之；b)同时实施ISO/IEC27001:2022和ISO/IEC20000-1;c)整合现有的ISO/IEC27001:2022和ISO/IEC20000-1管理体系。于规划同时符合这两个标准的综合管理体系。5.4.8ISO/IEC27014(GB/T32923)效也会直接影响其声誉。因此，作为其治理责任的一部分，越来越多地要求治理层对信息安全进行监息资产，评估这些信息资产面临的潜在风险，评估为这些信息资产所采取的信息保护控制带来的价2022的信息安全管理体系过程的ISMS专业人员的胜任力要求。a)希望证明其作为信息安全管理体系(ISMS)专业人员的胜任力，或希望了解并完成该领域工作b)寻找潜在ISMS专业候选人的组织，以确定ISMS相关职位所需的胜任力；c)需要一个知识体系(BOK)作为考试来源，来开发ISMS专业人员认证的机构；5.5.1ISO/IEC27010(GB/T32920)指南。设施相关的信息交换与共享。信息技术安全技术基于ISO/IEC27002的电信组织信息安全控制实践指南信息技术安全技术基于ISO/IEC27002的云服务信息安全控制实践指南范围：ISO/IEC27017通—--—ISO/IEC27002:2022中提供的相关控制的附加实施指导；——具体与云服务相关的附加控制及其实施指导。5.5.4ISO/IEC27018(GB/T41括公共和私营企业、政府机构和非营利组织。该文件中的指南也可能与作为PII控制者的组织相关。范围：该文件提供了基于ISO/IEC27002:2022,适用于能源公用事业使用的过程控制系统的指——数字控制器和自动化组件，如控制和现场设备或可编程逻辑控制器(PLC),包括数字传感器和——安装在上述系统上的所有软件、固件和(配电管理系统)应用程序或OMS(停电管理系统);该文件不适用于核设施的过程控制领域。IEC62645涵盖了该领域。该文件还包括使ISO/IEC27001:2022中所述的风险评估和处置过程适应该文件提供的能源公用供者使用的系统提供了满足进一步特殊要求的信息安全控制指南。范围：该文件给出了组织信息安全标准和信息安全管理实践的指南，包括控制的选择、实施和管能有效地用于管理健康信息安全。为健康组织提供适用于其行业的ISO/IEC27002:2022指南，是对指导满足ISO/IEC27001:2022的附录A要求的补充。21[1]GB/T22080信息技术安全技术信息安全管理体系要求[2]GB/T22081信息技术安全技术信息安全控制实践指南[3]GB/T25067信息技术安全技术信息安全管理体系审核和认证机构要求[4]GB/T28450信息技术安全技术信息安全管理体系审核指南[5]GB/T31496信息技术安全技术信息安全管理体系指南[6]GB/T31497信息技术安全技术信息安全管理测量[7]GB/T31722信息技术安全技术信息安全风险管理[8]GB/Z32916信息技术安全技术信息安全控制措施审核员指南[9]GB/T32920信息安全技术行业间和组织间通信的信息安全管理[10]GB/T32923信息技术安全技术信息安全治理[11]GB/T38631信息技术安全技术GB.T22080具体行业应用要求[12]GB/T41574信息技术安全技术公有云中个人信息保护实践指南[15]ISOGuide73:2009Riskmanagement—Vocabu[16]ISO/IEC17021Confcertificationofmanagementsystems[18]ISO/IEC20000-1:2011Informationtechnology—Servicemanagement—Part1:Serv-icemanagementsystemrequirements[19]ISO/IEC27001:2022Informationsecurity,cybersecurityandprivacyprotection—Infor-mationsecuritymanagementsystems—Require[20]ISO/IEC27002:2022Informationsecurity,cybersecurityandprivacyprotection—Infor-[21]ISO/IEC27003Informationtechnology—Securitytechniques—Informationsecuritymanage-ment—Guidance[22]ISO/IEC27004Informationtechnology—Securitytechniques—Informations[23]ISO/IEC27005Informationsecu[24]ISO/IEC27006Informationtechnology—Securitytechniques—Requirementsprovidingauditandcertifica[25]ISO/IEC27007Informationsecurity,cybersecu[26]ISO/IECTS27008Informationtechnology—SecuritytesessmentofinformationseplicationofISO/IEC27001—Requirements[28]ISO/IEC27010Informationtechnology—Securitytechniques—Informationsecuritymanage-22[29]ISO/IEC27011Informationtechnology—Securitytechniques—Codeofpracticeforinfor-mationsecuritycontrolsbasedonISO/IEC27002fortelecommunicationsorganizations[30]ISO/IEC27013Informationsecurity,cybersecurityandprivacyprotection—GuidanceontheintegratedimplementationofISO/IEC27001andISO/IEC20000-1[31]ISO/IEC27014Informationsecurity,cybersecuofinformationsecurity[32]ISO/IECTR27016Informationtechnology—Securitytechniques—I[33]ISO/IEC27017Informationtechnology—Securitytechniques—CodeofpracticeformationsecuritycontrolsbasedonISO/IEC27002forcloudservic[34]ISO/IEC27018Informationtechnology—Securitytechniques—Codeofpracticeforpro-tectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPIIproces[35]ISO/IEC27019Informationtechnology—Securitytechniques—Informationsecuritycon-[36]ISO/IEC27021Informationtechnology—Securitytechniques—CompetencerequirementsforinformationsecuritymanagementsystemsprofessionalsABCDF风险处置……3.72风险分析……3.63GHJK控制…………3.14LMNPS事态……………3.21W外包……………3.51外部语境………3.22完整性…………3.36威胁……………3.74文档化信息……3.19X信息安全………3.28信息安全持续性………………3.29信息安全管理体系(ISMS)专业人员…………3.33信息安全事件…………………3.31信息安全事件管理……………3.32信息安全事态…………………3.30信息安全治理…………………3.23信息处理设施…………………3.27信息共享群组…………………3.34信息系统………3.35信息需要………3.26性能……………3.52Y要求……………3.56有效性…………3.20Z真实性……………3.6整改措施………3.17指标……………3.25治理层…………3.24组织……………3.50最高管理层……3.75英文对应词索引Aaccesscontrol…………………3.1attack……………………………3.2audit……………………………3.3auditscope……………………3.4authentication…………………3.5authenticity……………………3.6availability……………………Bbasemeasure……………Ccompetence…………conformity…………………3.11consequence…………………3.12continualimprovement……………………3.13controlobjective……………correction……………………3.16correctiveaction……………GB/T29246—2023/ISO/IEC27000:2018Dderivedmeasure…………documentedinformation……………………3.19Eevent…………………………3.21externalcontext………………3.22Ggovernanceofinformationsecurity………………………3.23governingbody………………3.24Iindicator………………………3.25informationneed……………3.26informationprocessingfacilities……………3.27informationsecurity………………………3.28informationsecuritycontinuity……………3.29informationsecurityevent…………………3.30informationsecurityincident………………3.31informationsecurityincidentmanagement………………3.32informationsecuritymanagementsystem(ISMS)professional…………3.33informationsharingcommunity……………3.34informationsystem…………………………3.35integrity……………………3.36interestedparty………………3.37internalcontext………………………Llevelofrisk…………………3.39likelihood……………………3.40Mmanagementsystem…………………………3.41measure…………………measurement…………………3.43measurementfunction………………………3.44measurementmethod…