[PDF] GB/T 29246-2017 - 自动发货. 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/T 29246-2017 | 500 | GB/T 29246-2017 | 9秒内发货PDF | 信息技术 安全技术信息安全管理体系 概述和词汇 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 29246-2017 (GB/T29246-2017) |
| 中文名称 | 信息技术 安全技术信息安全管理体系 概述和词汇 |
| 英文名称 | Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary |
| 行业 | 国家标准 (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.040 |
| 字数估计 | 34,345 |
| 发布日期 | 2017-12-29 |
| 实施日期 | 2018-07-01 |
| 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
GB/T 29246-2017
Information technology-Security techniques-Information security management systems-Overview and vocabulary
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 29246-2012
信息技术 安全技术
信息安全管理体系 概述和词汇
(ISO/IEC 27000.2016,IDT)
2017-12-29发布
2018-07-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
0.1 概述 Ⅳ
0.2 信息安全管理体系标准族 Ⅳ
0.3 本标准的目的 Ⅴ
1 范围 1
2 术语和定义 1
3 信息安全管理体系 10
3.1 概要 10
3.2 什么是ISMS 11
3.3 过程方法 12
3.4 为什么ISMS重要 12
3.5 建立、监视、保持和改进ISMS 13
3.6 ISMS关键成功因素 15
3.7 ISMS标准族的益处 15
4 信息安全管理体系标准族 16
4.1 一般信息 16
4.2 给出概述和术语的标准 16
4.3 规范要求的标准 17
4.4 给出一般指南的标准 17
4.5 给出行业特定指南的标准 19
附录A(资料性附录) 条款表达的措辞形式 21
附录B(资料性附录) 术语和术语归属 22
参考文献 26
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替 GB/T 29246-2012《信息技术 安全技术 信息安全管理体系 概述和词汇》,与
GB/T 29246-2012相比主要技术变化如下.
---ISMS标准族的组成标准由10项增加至19项(见0.2和4.1~4.5,2012年版的0.2和4.1~4.5);
---术语和定义由46条增加至89条(见2.1~2.89,2012年版的2.1~2.46);
---将附录“术语分类”改为“术语和术语归属”(见附录B,2012年版的附录B)。
本标准使用翻译法等同采用ISO/IEC 27000.2016《信息技术 安全技术 信息安全管理体系 概
述和词汇》。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位.中电长城网际系统应用有限公司、中国电子技术标准化研究院、中国信息安全研
究院有限公司。
本标准主要起草人.闵京华、上官晓丽、许玉娜、王惠莅、罗锋盈、左晓栋、周亚超、马洪军、廖飞鸣、
黄凯峰、马文荷。
本标准所代替的历次版本发布情况为.
---GB/T 29246-2012。
引 言
0.1 概述
管理体系标准提供一个在建立和运行管理体系时可遵循的模型。专门为信息安全开发的管理体系
通过使用ISMS标准族,组织能够开发和实施管理其信息资产安全的框架,包括财务信息、知识产
权和员工详细资料,或者受客户或第三方委托的信息。这些标准还可用于对组织应用ISMS保护其信
息做独立评估准备。
0.2 信息安全管理体系标准族
信息安全管理体系(ISMS)标准族(见第4章)旨在帮助所有类型和规模的组织实施和运行ISMS。
在《信息技术 安全技术》通用标题下,ISMS标准族由下列标准组成(按标准号排序).
quirements)
securitycontrols)
IEC 27001-Requirements)
---ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全管理指南(Informationsecurity
---ISO/IEC 27013 ISO/IEC 27001和ISO/IEC 20000-1综合实施指南(Guidanceontheinte-
---ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制实践指南(Codeofpracticefor
---ISO/IEC 27018 可识别个人信息(PII)处理者在公有云中保护PII的实践指南(Codeofprac-
---ISO/IEC 27019 基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南(In-
注.通用标题《信息技术 安全技术》是指这些标准是由ISO/IEC 的信息技术委员会(JTC1)下属的安全技术分委
员会(SC27)制定的。
不在通用标题《信息技术 安全技术》之下,但也属于ISMS标准族的标准如下.
---ISO 27799 健康信息学 使用ISO/IEC 27002的健康信息安全管理(Healthinformatics-
本标准提供信息安全管理体系概述,并定义相关术语。
注.附录A阐明在ISMS标准族中表达要求和(或)指南的措辞形式。
ISMS标准族包括的标准.
a) 定义ISMS及其认证机构的要求;
b) 为建立、实施、维护和改进ISMS的整个过程提供直接支持、详细指南和(或)解释;
c) 提出行业特定的ISMS指南;
d) 提出ISMS的符合性评估。
本标准提供的术语和定义.
---包含ISMS标准族中的通用术语和定义;
---不包含ISMS标准族中的所有术语和定义;
---不限制ISMS标准族定义所需的新术语。
信息技术 安全技术
信息安全管理体系 概述和词汇
1 范围
本标准概述了信息安全管理体系(ISMS),提供了ISMS标准族中常用的术语及其定义。本标准适
用于所有类型和规模的组织(例如,商业企业、政府机构、非盈利组织)。
2 术语和定义
下列术语和定义适用于本文件。
2.1
访问控制 accesscontrol
确保对资产的访问是基于业务和安全要求(2.63)进行授权和限制的手段。
2.2
分析模型 analyticalmodel
将一个或多个基本测度(2.10)和(或)导出测度(2.22)关联到决策准则(2.21)的算法或计算。
2.3
攻击 attack
企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。
2.4
属性 attribute
可由人工或自动化手段定量或定性辨别的对象(2.55)特性或特征。
[ISO/IEC 15939.2007,定义2.2,做了修改.将原定义中的“实体”替换为“对象”]
2.5
审核 audit
获取审核证据并客观地对其评价以确定满足审核准则程度的,系统的、独立的和文档化的过程(2.61)。
注1.审核可以是内部审核(第一方)或外部审核(第二方或第三方),可以是结合审核(结合两个或两个以上学科)。
注2.“......
英文网页English: GB/T 29246-2017
相关标准: GB/T 29246|GB/T 29244|GB/T 29241|GB/T 29240|GB/T 29246-2017|GB/T 29246|