路径: 主页 > GB/T > 第210页 > GB/T 29246-2012 | 标准编号 | GB/T 29246-2012 (GB/T29246-2012) | | 中文名称 | 信息技术 安全技术 信息安全管理体系 概述和词汇 | | 英文名称 | Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 22,262 | | 采用标准 | ISO/IEC 27000-2009, IDT | | 标准依据 | 国家标准公告2012年第41号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准提供:a)ISMS标准族的概述;b)信息安全管理体系(ISMS)的介绍;c)“规划一实施一检查一处置”(PDCA)过程的简要描述;d)ISMS标准族所用的术语和定义。本标准适用于所有类型的组织(例如, 商业企业、政府机构、非赢利组织)。 | GB/T 29246-2012
ICS 35.040
L80
中华人民共和国国家标准
信息技术 安全技术
信息安全管理体系 概述和词汇
(ISO/IEC 27000:2009,IDT)
2012-12-31发布
2013-06-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 术语和定义 1
3 信息安全管理体系 5
3.1 介绍 5
3.2 什么是ISMS 6
3.3 过程方法 7
3.4 ISMS为什么重要 7
3.5 建立、监视、保持和改进ISMS 8
3.6 ISMS关键成功因素 9
3.7 ISMS标准族的益处 9
4 ISMS标准族 9
4.1 一般信息 9
4.2 概述和术语标准 10
4.3 要求标准 11
4.4 一般指南标准 11
4.5 行业特定指南标准 12
附录A(资料性附录) 条款表达的措辞形式 13
附录B(资料性附录) 术语分类 14
参考文献 16
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准使用翻译法等同采用ISO/IEC 27000:2009《信息技术 安全技术 信息安全管理体系 概
述和词汇》。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国电子技术标准化研究所、上海三零卫士有限公司、北京信息安全测评中心。
本标准主要起草人:上官晓丽、许玉娜、闵京华、赵章界。
引 言
0.1 概述
管理体系标准为建立和运行管理体系提供一个可遵循的模型。这个模型综合了该领域中专家已达
成一致的、可代表国际技术发展水平的特征。ISO/IEC JTC1SC27(国际信息安全技术标准化组织)设
置了一个专家委员会专门开发信息安全管理体系国际标准,也称为信息安全管理体系(Information
组织通过使用ISMS标准族,能够开发和实施管理其信息资产安全的框架,并为保护组织信息(诸
如,财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的ISMS的独立评估做准备。
0.2 ISMS标准族
ISMS标准族1)旨在帮助所有类型和规模的组织实施和运行ISMS。在《信息技术 安全技术》这一
通用标题下,ISMS标准族由下列标准组成:
1) 本节中列出的没有指明发布年的标准仍在开发中。
---ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和词汇
---GB/T 22080-2008/ISO/IEC 27001:2005 信息技术 安全技术 信息安全管理体系 要求
---GB/T 22081-2008/ISO/IEC 27002:2005 信息技术 安全技术 信息安全管理实用规则
---ISO/IEC 27003:2010 信息技术 安全技术 信息安全管理体系实施指南
---ISO/IEC 27004:2009 信息技术 安全技术 信息安全管理测量
---ISO/IEC 27005:2008 信息技术 安全技术 信息安全风险管理
---GB/T 25067-2010/ISO/IEC 27006:2007 信息技术 安全技术 信息安全管理体系审核认
证机构的要求
---ISO/IEC 27007 信息技术 安全技术 信息安全管理体系审核指南
---ISO/IEC 27011:2008 信息技术 安全技术 基于ISO/IEC 27002的电信行业组织的信息
安全管理指南
注:通用标题《信息技术 安全技术》是指这些标准是由ISO/IEC JTC1SC27制定的。
不在通用标题“信息技术 安全技术”之列,同时也属于ISMS标准族的标准如下所示:
---ISO 27799:2008 健康信息学 使用ISO/IEC 27002的健康信息安全管理
0.3 本标准的目的
本标准提供了信息安全管理体系的概述,该体系形成了ISMS标准族的主题,并定义了相关术语。
注:附录A阐明了ISMS标准族在文字表达上如何区分要求和/或指南。
ISMS标准族包括的标准:
a) 定义ISMS的要求及其认证机构的要求;
b) 提供对整个“规划-实施-检查-处置”(PDCA)过程和要求的直接支持、详细指南和(或)
解释;
c) 阐述特定行业的ISMS指南;
d) 阐述ISMS的一致性评估。
本标准提供的术语和定义:
---包含ISMS标准族中通用的术语和定义;
---未包含ISMS标准族使用的所有术语和定义;
---不限制ISMS标准族定义各自使用的术语。
相对于涉及ISO/IEC 27002中所有控制措施的标准而言,那些仅阐述ISO/IEC 27002中控制措施
实施的标准,不包括在ISMS标准族内。
信息技术 安全技术
信息安全管理体系 概述和词汇
1 范围
本标准提供:
a) ISMS标准族的概述;
b) 信息安全管理体系(ISMS)的介绍;
c) “规划-实施-检查-处置”(PDCA)过程的简要描述;
d) ISMS标准族所用的术语和定义。
本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。
2 术语和定义
下列术语和定义适用于本文件。
注:定义或注中的术语如果在条款的其他地方被定义,则以黑体标出并在其后的圆括号中标明其条目号。这种黑
体术语可以在定义中替换为其完整的定义。
示例:
攻击(2.4)被定义为“破坏、泄露、篡改、损伤、偷窃、未授权访问或未授权使用资产(2.3)的企图”;
资产被定义为“对组织有价值的任何东西”。
如果术语“资产”被其定义替换,则:
攻击的定义变为“破坏、泄露、篡改、损伤、偷窃、未授权访问或未授权使用对组织有价值的任何东西的企图”。
2.1
访问控制 accesscontrol
基于业务要求和安全要求,确保授权和受限地访问资产(2.3)的手段。
2.2
可核查性 accountability
实体的一种特性,表征对自己的动作和做出的决定负......
|