中国标准英文版 数据库收录: 159759 更新: 2024-06-30

[PDF] GB/T 29246-2017 - 自动发货. 英文版

标准搜索结果: 'GB/T 29246-2017'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 29246-2017 英文版 500 GB/T 29246-2017 3分钟内自动发货[PDF],有增值税发票。 信息技术 安全技术信息安全管理体系 概述和词汇 有效

PDF提取页预览 (购买全文PDF,9秒内自动发货,有发票)
基本信息
标准编号 GB/T 29246-2017 (GB/T29246-2017)
中文名称 信息技术 安全技术信息安全管理体系 概述和词汇
英文名称 Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.040
字数估计 34,387
发布日期 2017-12-29
实施日期 2018-07-01
起草单位 中电长城网际系统应用有限公司、中国电子技术标准化研究院、中国信息安全研究院有限公司
归口单位 全国信息安全标准化技术委员会(SAC/TC 260)
提出机构 全国信息安全标准化技术委员会(SAC/TC 260)
发布机构 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会

GB/T 29246-2017: 信息技术 安全技术信息安全管理体系 概述和词汇
GB/T 29246-2017 英文名称: Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
中华人民共和国国家标准
代替GB/T 29246-2012
信息技术 安全技术
信息安全管理体系 概述和词汇
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
本标准概述了信息安全管理体系(ISMS),提供了ISMS标准族中常用的术语及其定义。本标准适
用于所有类型和规模的组织(例如,商业企业、政府机构、非盈利组织)。
2 术语和定义
下列术语和定义适用于本文件。
3 信息安全管理体系
3.1 概要
各种类型和规模的组织:
a) 收集、处理、存储和传输信息;
b) 认识到信息及其相关过程、系统、网络和人是实现组织目标的重要资产;
c) 面临可能影响资产运作的一系列风险;
d) 通过实施信息安全控制应对其感知的风险。
组织持有和处理的所有信息在使用中易受到攻击、过失、自然灾害(例如,洪水或火灾)等威胁以及
内在脆弱性的影响。术语“信息安全”一般是建立在被认为有价值的信息资产的基础上,这些信息需要
适当的保护,例如,防止可用性、保密性和完整性的丧失。使准确和完整的信息对已授权的需要者及时
可用,可促进提升业务效率。
通过有效地定义、实现、维护和改进信息安全来保护信息资产,对于组织实现其目标并保持和增强
其合法及形象,必不可少。指导适当控制的实施和处置不可接受的信息安全风险这些协调活动,通常被
认为是信息安全管理的要素。
由于信息安全风险和控制的有效性随着环境的变化而改变,组织需要:
a) 监视和评价已实施的控制和规程的有效性;
b) 识别待处置的新出现的风险;
c) 视需要选择、实施和改进适当的控制。
为了关联和协调这类信息安全活动,每个组织需要建立其信息安全策略和目标,并通过使用管理体
系有效地实现这些目标。
3.2 什么是ISMS
3.2.1 概述和原则
信息安全管理体系(ISMS)由策略、规程、指南和相关资源及活动组成,由组织集中管理,目的在于
保护其信息资产。ISMS是建立、实施、运行、监视、评审、维护和改进组织信息安全来实现业务目标的
系统方法。它是基于风险评估和组织的风险接受程度,为有效地处置和管理风险而设计。分析信息资
产保护要求,并按要求应用适当的控制来切实保护这些信息资产,有助于ISMS的成功实施。下列基本
原则也有助于ISMS的成功实施:
a) 意识到信息安全的需要;
b) 分配信息安全的责任;
c) 包含管理者的承诺和利益相关方的利益;
d) 提升社会价值;
e) 进行风险评估来确定适当的控制,以达到可接受的风险程度;
f) 将安全作为信息网络和系统的基本要素;
g) 主动防范和发现信息安全事件;
h) 确保信息安全管理方法的全面性;
i) 持续对信息安全进行再评估并在适当时进行修正。
3.2.2 信息
信息是一种资产,像其他重要的业务资产一样,对组织业务来说必不可少,因此需要得到适当保护。
信息可以以多种形式存储,包括:数字形式(例如,存储在电子或光介质上的数据文件)、物质形式(例如,
在纸上),以及以员工知识形式存在、未被表现的信息。信息可以采用各种手段进行传输,包括:信使、电
子通信或口头交流。不管信息采用什么形式存在或什么手段传输,它总是需要适当的保护。
在许多组织中,信息依赖于信息和通信技术。这种技术往往是组织的基本要素,协助信息的创建、
处理、存储、传输、保护和销毁。
3.2.3 信息安全
信息安全确保信息的保密性、可用性和完整性。信息安全包含应用和管理适当的控制,这些控制广
泛地考虑到各种威胁,目标是确保业务的持续成功和连续性,并最大限度地减少信息安全事件的后果。
信息安全是通过实施一套适用的控制来实现,这套控制通过所采用的风险管理过程选出,并使用
ISMS来管理,包括策略、过程、规程、组织结构、软件和硬件,用以保护已识别的信息资产。这些控制需
要得到详细说明、实施、监视、评审和必要时的改进,以确保满足组织的特定信息安全和业务目标。相关
信息安全控制宜与组织业务过程无缝集成。
3.2.4 管理
管理包含在适当的结构中指导、控制和持续改进组织的活动。管理活动包括组织、处理、指导、监督
和控制资源的行为、方式或实践。管理结构从小规模组织中的一个人扩展到大规模组织中由许多人组
成的管理层次结构。
就ISMS而言,管理包含通过保护组织的信息资产来实现业务目标所必要的监督和决策。信息安
全的管理通过信息安全策略、规程和指南的制定与采用来表达,然后应用到整个组织中所有与组织相关
的个人。
3.2.5 管理体系
管理体系采用一种资源框架来实现组织的目标。管理体系包括组织结构、策略、规划、责任、实践、
规程、过程和资源。
就信息安全而言,管理体系使组织:
a) 满足客户和其他利益相关方的信息安全要求;
b) 改进组织的计划和活动;
c) 满足组织的信息安全目标;
d) 遵从法律法规、规章制度和行业规定;
e) 以有组织的方式管理信息资产,来促进持续改进和调整当前的组织目标。
3.3 过程方法
组织需要识别和管理众多活动来有效果和有效率地运作。任何使用资源的活动都需要被管理,以
便能够使用一组相互关联或相互作用的活动完成输入到输出的转换,这也被称为过程。一个过程的输
出可以直接形成另一个过程的输入,通常这个转换是在计划和受控的条件下完成。过程系统在组织中
的应用,连同这些过程的识别和交互及其管理,可被称为“过程方法”。
3.4 为什么ISMS重要
与组织的信息资产相关的风险需要加以解决。实现信息安全需要管理风险,包括与组织内部或组
织使用的所有形式的信息相关,来自物理、人类和技术相关威胁的风险。
采用ISMS宜是一个组织的战略决策,并且有必要根据组织的需要进行无缝集成、规模调整和
更新。
设计和实施组织的ISMS受组织的需要和目标、安全要求、采用的业务过程以及组织的规模和结构
影响。设计和运行ISMS需要反映组织的利益相关方(包括客户、供应商、业务伙伴、股东和其他相关第
三方)的利益和信息安全要求。
在相互连接的世界中,信息和相关的过程、系统和网络组成关键业务资产。组织及其信息系统和网
络面临来源广泛的安全威胁,包括计算机辅助欺诈、间谍活动、蓄意破坏、火灾和洪水。由恶意代码、计
算机黑客和拒绝服务攻击造成的信息系统和网络的损害已变得更加普遍、更有野心和日益复杂。
ISMS对于公共和私营部门业务都是重要的。在任何行业,ISMS是使电子商务成为可能,是风险
管理活动所必需的。公共和私营网络的互联以及信息资产的共享增加了信息访问控制和处理的难度。
另外,含有信息资产的移动存储设备的分布能够消弱传统控制的有效性。当组织采用了ISMS标准族,
便可以向业务伙伴和其他受益相关方证明其运用一致的和互认的信息安全原则的能力。
在信息系统的设计和开发中,信息安全有时并没被考虑到的。而且,信息安全常被认为是技术解决
方案。然而,能够通过技术手段实现的信息安全是有限的,并且若没有ISMS语境下适当的管理和规程
支持,可能是无效的。将安全集成到已经功能完备的信息系统中可能是困难和昂贵的。ISMS包含识
别哪些控制已经就位,并且要求仔细规划和注意细节。举例来说,访问控制,可能是技术的(逻辑的)、物
理的、行政的(管理的)或某种组合,提供一种手段来确保对信息资产的访问是基于业务和信息安全要求
得到授权和受限制的。
成功采用ISMS对于保护信息资产是重要的,它使组织能够:
a) 更好地保障其信息资产得到持续的充分保护免受威胁;
b) 保持一个结构化和全面的框架,来识别和评估信息安全风险,选择和应用适用的控制,并测量
和改进其有效性;
c) 持续改进其控制环境;
d) 有效地实现法律法规的合规性。
3.5 建立、监视、保持和改进ISMS
3.5.1 概述
组织在建立、监视、保持和改进其ISMS时,需要采取如下步骤:
a) 识别信息资产及其相关的信息安全要求(见3.5.2);
b) 评估信息安全风险(见3.5.3)和处置信息安全风险(见3.5.4);
c) 选择和实施相关控制来管理不可接受的风险(见3.5.5);
d) 监视、保持和改进组织信息资产相关控制的有效性(见3.5.6)。
为确保ISMS持续有效地保护组织的信息资产,有必要不断重复步骤a)~d)来识别风险的变化,或
者组织战略或业务目标的变化。
3.5.2 识别信息安全要求
在组织的整体战略和业务目标及其规模和地理分布的范围内,信息安全要求可以通过了解如下方
面来识别:
a) 已识别的信息资产及其价值;
b) 信息处理、存储和通信的业务需求;
c) 法律法规、规章制度和合同要求。
对组织信息资产的相关风险进行的系统化评估将包含分析信息资产面临的威胁、信息资产存在的
脆弱性、威胁实现的可能性,以及任何信息安全事件对信息资产的潜在影响。相关控制的支出宜与感知
的风险成为现实时所造成的业务影响相称。
3.5.3 评估信息安全风险
管理信息安全需要一种适合的风险评估和风险处置方法,该方法可能包括成本和效益的估算、法律
要求、利益相关方的关切和其他适合的输入和变量。
风险评估宜识别、量化并依据风险接受准则和组织目标排序风险。评估结果宜指导和确定适当的
管理行动及其优先级,以管理信息安全风险和实施所选择的控制来抵御这些风险。
风险评估宜包括估算风险大小(风险分析)的系统性方法和将估算的风险与风险准则比较来确定风
险重要性(风险评价)的过程。
风险评估宜定期以及当发生重大变化时进行,以便应对信息安全要求和风险状况的变化,例如,资
产、威胁、脆弱性、影响、风险评价等方面的变化。这些风险评估宜以系统化方式进行,从而能够产生可
比较和可重现的结果。
信息安全风险评估为了有效宜有一个明确界定的范围,还宜包括与其他区域风险评估的关系(如果
合适)。
ISO/IEC 27005提供信息安全风险管理指南,包括对风险评估、风险处置、风险接受、风险报告、风
险监视和风险评审的建议,还包括风险评估方法的示例。
3.5.4 处置信息安全风险
在考虑风险处置前,组织宜确定决定风险是否可接受的准则。如果评估结果是,例如,风险低或处
置成本不符合成本效益,风险可能也会被接受。这样的决定宜被记录。
对于经过风险评估后识别的每个风险,需要做出风险处置决定。可能的风险处置选项包括如下:
a) 采用适当的控制来降低风险;
b) 在明显满足组织策略和风险接受准则的条件下,有意并客观地接受风险;
c) 通过不允许导致风险发生的行动来规避风险;
d) 与其他方共担相关风险,例如,保险公司或供应商。
对于那些已决定采用适当控制来处置的风险,宜选择和实施相应控制。
3.5.5 选择和实施控制
一旦识别了信息安全要求,明确和评估了所识别信息资产的信息安全风险(见3.5.3),并做出了信
息安全风险处置的决定,则选择和实施风险降低的控制。
控制宜确保将风险降低至可接受程度,并考虑到以下方面:
a) 国家法律法规的要求和约束;
b) 组织目标;
c) 运行要求和约束;
d) 风险降低的相关实施和运行成本,保持与组织要求和约束相称;
e) 监视、评价和改进信息安全控制的效果和效率,以支持组织的目标;
f) 控制的实施和运行投入与信息安全事件可能导致的损失之间平衡的需要。
ISO/IEC 27002中规范的控制是公认的适用于多数组织的最佳实践,并易于裁剪来适应各种规模
和复杂度的组织。ISMS标准族中的其他标准为选择和应用ISO/IEC 27002控制来建立信息安全管理
体系提供指南。
信息安全控制宜在系统和项目要求的规范与设计阶段就加以考虑。否则,可能导致额外成本和低
效解决方案,最坏情况下,可能无法实现足够的安全。控制可以选自ISO/IEC 27002或其他控制集,或
者设计新的控制来满足组织的特定需要。需要承认,一些控制可能不适用于每个信息系统或环境,可能
不适用于所有组织。
有时需要时间来实施所选择的一组控制,但在这期间的风险程度可能不可长期承受。风险准则宜
涵盖在实施控制期间风险的短期承受性。在分步实施控制时,宜告知受益相关方不同时间点上估算或
预计的风险程度。
宜记住没有......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版