GB-T 29246-2017 信息技术 安全技术 信息安全管理体系 概述和词汇.pdf

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T2 9 2 4 62 0 1 7/I S O/I E C2 7 0 0 0:2 0 1 6代替G B/T2 9 2 4 62 0 1 2信息技术 安全技术信息安全管理体系 概述和词汇I n f o r m a t i o nt e c h n o l o g yS e c u r i t y t e c h n i q u e sI n f o r m a t i o ns e c u r i t ym a n a g e m e n t s y s t e m sO v e r v i e wa n dv

2、 o c a b u l a r y(I S O/I E C2 7 0 0 0:2 0 1 6,I D T)2 0 1 7-1 2-2 9发布2 0 1 8-0 7-0 1实施中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布目 次前言引言 0.1 概述 0.2 信息安全管理体系标准族 0.3 本标准的目的1 范围12 术语和定义13 信息安全管理体系1 0 3.1 概要1 0 3.2 什么是I S M S1 1 3.3 过程方法1 2 3.4 为什么I S M S重要1 2 3.5 建立、监视、保持和改进I S M S1 3 3.6 I S M S关键

3、成功因素1 5 3.7 I S M S标准族的益处1 54 信息安全管理体系标准族1 6 4.1 一般信息1 6 4.2 给出概述和术语的标准1 6 4.3 规范要求的标准1 7 4.4 给出一般指南的标准1 7 4.5 给出行业特定指南的标准1 9附录A(资料性附录)条款表达的措辞形式2 1附录B(资料性附录)术语和术语归属2 2参考文献2 6G B/T2 9 2 4 62 0 1 7/I S O/I E C2 7 0 0 0:2 0 1 6前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。本标准代替G B/T2 9 2 4 62 0 1 2 信息技术 安全技术 信息安全管理体

4、系 概述和词汇,与G B/T2 9 2 4 62 0 1 2相比主要技术变化如下:I S M S标准族的组成标准由1 0项增加至1 9项(见0.2和4.1 4.5,2 0 1 2年版的0.2和4.1 4.5);术语和定义由4 6条增加至8 9条(见2.12.8 9,2 0 1 2年版的2.12.4 6);将附录“术语分类”改为“术语和术语归属”(见附录B,2 0 1 2年版的附录B)。本标准使用翻译法等同采用I S O/I E C2 7 0 0 0:2 0 1 6 信息技术 安全技术 信息安全管理体系 概述和词汇。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。

5、本标准起草单位:中电长城网际系统应用有限公司、中国电子技术标准化研究院、中国信息安全研究院有限公司。本标准主要起草人:闵京华、上官晓丽、许玉娜、王惠莅、罗锋盈、左晓栋、周亚超、马洪军、廖飞鸣、黄凯峰、马文荷。本标准所代替的历次版本发布情况为:G B/T2 9 2 4 62 0 1 2。G B/T2 9 2 4 62 0 1 7/I S O/I E C2 7 0 0 0:2 0 1 6引 言0.1 概述管理体系标准提供一个在建立和运行管理体系时可遵循的模型。专门为信息安全开发的管理体系标准称为信息安全管理体系(I n f o r m a t i o nS e c u r i t yM a n a

6、 g e m e n tS y s t e m,简称I S M S)标准族。通过使用I S M S标准族,组织能够开发和实施管理其信息资产安全的框架,包括财务信息、知识产权和员工详细资料,或者受客户或第三方委托的信息。这些标准还可用于对组织应用I S M S保护其信息做独立评估准备。0.2 信息安全管理体系标准族信息安全管理体系(I S M S)标准族(见第4章)旨在帮助所有类型和规模的组织实施和运行I S M S。在 信息技术 安全技术 通用标题下,I S M S标准族由下列标准组成(按标准号排序):I S O/I E C2 7 0 0 0 信息安全管理体系 概述和词汇(I n f o r

7、m a t i o ns e c u r i t ym a n a g e m e n ts y s-t e m sO v e r v i e wa n dv o c a b u l a r y)I S O/I E C2 7 0 0 1 信息安全管理体系 要求(I n f o r m a t i o ns e c u r i t ym a n a g e m e n t s y s t e m sR e-q u i r e m e n t s)I S O/I E C2 7 0 0 2 信息安全控制实践指南(C o d eo fp r a c t i c e f o r i n f o r m

8、a t i o ns e c u r i t yc o n t r o l s)I S O/I E C2 7 0 0 3 信息安全管理体系实施指南(I n f o r m a t i o ns e c u r i t ym a n a g e m e n ts y s t e mi m-p l e m e n t a t i o ng u i d a n c e)I S O/I E C2 7 0 0 4 信息安全管理 测量(I n f o r m a t i o ns e c u r i t ym a n a g e m e n tM e a s u r e m e n t)I S O/I E

9、 C2 7 0 0 5 信息安全风险管理(I n f o r m a t i o ns e c u r i t yr i s km a n a g e m e n t)I S O/I E C2 7 0 0 6 信息安全管理体系审核认证机构的要求(R e q u i r e m e n t s f o rb o d i e sp r o v i d i n ga u d i t a n dc e r t i f i c a t i o no f i n f o r m a t i o ns e c u r i t ym a n a g e m e n t s y s t e m s)I S O/

10、I E C2 7 0 0 7 信息安全管理体系审核指南(G u i d e l i n e sf o r i n f o r m a t i o ns e c u r i t ym a n a g e-m e n t s y s t e m sa u d i t i n g)I S O/I E CT R2 7 0 0 8 信息安全控制措施审核员指南(G u i d e l i n e sf o ra u d i t o r so ni n f o r m a t i o ns e c u r i t yc o n t r o l s)I S O/I E C2 7 0 0 9 I S O/I E

11、 C2 7 0 0 1的行业特定应用 要求(S e c t o r-s p e c i f i ca p p l i c a t i o no f I S O/I E C2 7 0 0 1R e q u i r e m e n t s)I S O/I E C2 7 0 1 0 行业间和组织间通信的信息安全管理(I n f o r m a t i o ns e c u r i t ym a n a g e m e n tf o r i n t e r-s e c t o ra n d i n t e r-o r g a n i z a t i o n a l c o mm u n i c a t

12、 i o n s)I S O/I E C2 7 0 1 1 基于I S O/I E C2 7 0 0 2的电信组织信息安全管理指南(I n f o r m a t i o ns e c u r i t ym a n a g e m e n tg u i d e l i n e s f o r t e l e c o mm u n i c a t i o n so r g a n i z a t i o n sb a s e do nI S O/I E C2 7 0 0 2)I S O/I E C2 7 0 1 3 I S O/I E C2 7 0 0 1和I S O/I E C2 0 0 0

13、0-1综合实施指南(G u i d a n c eo nt h e i n t e-g r a t e d i m p l e m e n t a t i o no f I S O/I E C2 7 0 0 1a n dI S O/I E C2 0 0 0 0-1)I S O/I E C2 7 0 1 4 信息安全治理(G o v e r n a n c eo f i n f o r m a t i o ns e c u r i t y)I S O/I E CT R2 7 0 1 5 金融服务信息安全管理指南(I n f o r m a t i o ns e c u r i t ym a n

14、a g e m e n tg u i d e-l i n e s f o r f i n a n c i a l s e r v i c e s)I S O/I E CT R2 7 0 1 6 信息安全管理 组织经济学(I n f o r m a t i o ns e c u r i t ym a n a g e m e n tO r-G B/T2 9 2 4 62 0 1 7/I S O/I E C2 7 0 0 0:2 0 1 6g a n i z a t i o n a l e c o n o m i c s)I S O/I E C2 7 0 1 7 基于I S O/I E C2 7 0

15、 0 2的云服务信息安全控制实践指南(C o d eo fp r a c t i c e f o ri n f o r m a t i o ns e c u r i t yc o n t r o l sb a s e do nI S O/I E C2 7 0 0 2f o rc l o u ds e r v i c e s)I S O/I E C2 7 0 1 8 可识别个人信息(P I I)处理者在公有云中保护P I I的实践指南(C o d eo f p r a c-t i c e f o rp r o t e c t i o no fp e r s o n a l l y i d e n

16、 t i f i a b l e i n f o r m a t i o n(P I I)i np u b l i cc l o u d sa c t i n ga sP I Ip r o c e s s o r s)I S O/I E C2 7 0 1 9 基于I S O/I E C2 7 0 0 2的能源供给行业过程控制系统信息安全管理指南(I n-f o r m a t i o ns e c u r i t ym a n a g e m e n tg u i d e l i n e sb a s e do nI S O/I E C2 7 0 0 2f o rp r o c e s sc

17、o n t r o l s y s-t e m ss p e c i f i c t ot h ee n e r g yu t i l i t y i n d u s t r y)注:通用标题 信息技术 安全技术 是指这些标准是由I S O/I E C的信息技术委员会(J T C1)下属的安全技术分委员会(S C2 7)制定的。不在通用标题 信息技术 安全技术 之下,但也属于I S M S标准族的标准如下:I S O2 7 7 9 9 健康信息学 使用I S O/I E C2 7 0 0 2的健康信息安全管理(H e a l t hi n f o r m a t i c sI n f o r

18、m a t i o ns e c u r i t ym a n a g e m e n t i nh e a l t hu s i n gI S O/I E C2 7 0 0 2)0.3 本标准的目的本标准提供信息安全管理体系概述,并定义相关术语。注:附录A阐明在I S M S标准族中表达要求和(或)指南的措辞形式。I S M S标准族包括的标准:a)定义I S M S及其认证机构的要求;b)为建立、实施、维护和改进I S M S的整个过程提供直接支持、详细指南和(或)解释;c)提出行业特定的I S M S指南;d)提出I S M S的符合性评估。本标准提供的术语和定义:包含I S M S标准

19、族中的通用术语和定义;不包含I S M S标准族中的所有术语和定义;不限制I S M S标准族定义所需的新术语。G B/T2 9 2 4 62 0 1 7/I S O/I E C2 7 0 0 0:2 0 1 6信息技术 安全技术信息安全管理体系 概述和词汇1 范围本标准概述了信息安全管理体系(I S M S),提供了I S M S标准族中常用的术语及其定义。本标准适用于所有类型和规模的组织(例如,商业企业、政府机构、非盈利组织)。2 术语和定义下列术语和定义适用于本文件。2.1访问控制 a c c e s s c o n t r o l确保对资产的访问是基于业务和安全要求(2.6 3)进行授

20、权和限制的手段。2.2分析模型 a n a l y t i c a lm o d e l将一个或多个基本测度(2.1 0)和(或)导出测度(2.2 2)关联到决策准则(2.2 1)的算法或计算。2.3攻击 a t t a c k企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。2.4属性 a t t r i b u t e可由人工或自动化手段定量或定性辨别的对象(2.5 5)特性或特征。I S O/I E C1 5 9 3 9:2 0 0 7,定义2.2,做了修改:将原定义中的“实体”替换为“对象”2.5审核 a u d i t获取审核证据并客观地对其评价以确定满足审核准则程

21、度的,系统的、独立的和文档化的过程(2.6 1)。注1:审核可以是内部审核(第一方)或外部审核(第二方或第三方),可以是结合审核(结合两个或两个以上学科)。注2:“审核证据”和“审核准则”在I S O1 9 0 1 1中被定义。2.6审核范围 a u d i t s c o p e审核(2.5)的程度和边界。I S O1 9 0 1 1:2 0 1 1,定义3.1 4,做了修改:删除注12.7鉴别 a u t h e n t i c a t i o n为一个实体声称的特征是正确的而提供的保障措施。2.8真实性 a u t h e n t i c i t y一个实体是其所声称实体的这种特性。1G

22、 B/T2 9 2 4 62 0 1 7/I S O/I E C2 7 0 0 0:2 0 1 62.9可用性 a v a i l a b i l i t y根据授权实体的要求可访问和可使用的特性。2.1 0基本测度 b a s em e a s u r e用某个属性(2.4)及其量化方法定义的测度(2.4 7)。I S O/I E C1 5 9 3 9:2 0 0 7,定义2.3,做了修改:删除注2注:基本测度在功能上独立于其他测度(2.4 7)。2.1 1能力 c o m p e t e n c e应用知识和技能实现预期结果的才能。2.1 2保密性 c o n f i d e n t i

23、a l i t y信息对未授权的个人、实体或过程(2.6 1)不可用或不泄露的特性。2.1 3符合性 c o n f o r m i t y对要求(2.6 3)的满足。注:术语“一致性”是被弃用的同义词。2.1 4后果 c o n s e q u e n c e事态(2.2 5)影响目标(2.5 6)的结果。I S OG u i d e7 3:2 0 0 9,定义3.6.1.3,做了修改注1:一个事态(2.2 5)可能导致一系列后果。注2:一个后果可以是确定的或不确定的,在信息安全(2.3 3)的语境下通常是负面的。注3:后果可以被定性或定量地表示。注4:初始后果可能因连锁效应升级。2.1 5

24、持续改进 c o n t i n u a l i m p r o v e m e n t为提高性能(2.5 9)的反复活动。2.1 6控制 c o n t r o l改变风险(2.6 8)的措施。I S OG u i d e7 3:2 0 0 9,定义3.8.1.1注1:控制包括任何改变风险(2.6 8)的过程(2.6 1)、策略(2.6 0)、设备、实践或其他措施。注2:控制不一定总是达到预期或假定的风险改变效果。2.1 7控制目标 c o n t r o l o b j e c t i v e描述控制(2.1 6)的实施结果所要达到目标的声明。2.1 8纠正 c o r r e c t i

25、 o n消除已查明的不符合(2.5 3)的措施。2.1 9整改措施 c o r r e c t i v ea c t i o n消除不符合(2.5 3)成因以防再次发生的措施。2G B/T2 9 2 4 62 0 1 7/I S O/I E C2 7 0 0 0:2 0 1 62.2 0数据 d a t a基本测度(2.1 0)、导出测度(2.2 2)和(或)指标(2.3 0)所赋值的集合。I S O/I E C1 5 9 3 9:2 0 0 7,定义2.4,做了修改:增加注1注:这个定义只适用于I S O/I E C2 7 0 0 4的语境。2.2 1决策准则 d e c i s i o n

26、c r i t e r i a用于确定行动或进一步需要调查或者描述给定结果置信度的阈值、目标或模式。I S O/I E C1 5 9 3 9:2 0 0 7,定义2.72.2 2导出测度 d e r i v e dm e a s u r e定义为两个或两个以上基本测度(2.1 0)值的函数的测度(2.1 0)。I S O/I E C1 5 9 3 9:2 0 0 7,定义2.8,做了修改:删除注12.2 3文档化信息 d o c u m e n t e d i n f o r m a t i o n组织(2.5 7)需要控制和维护的信息及其载体。注1:文档化信息可以采用任何格式,在任何载体中,

27、出自任何来源。注2:文档化信息可能涉及 管理体系(2.4 6),包括相关过程(2.6 1);为组织(2.5 7)运作所创建的信息(文档);结果实现的证据(记录)。2.2 4有效性 e f f e c t i v e n e s s实现所计划活动和达成所计划结果的程度。2.2 5事态 e v e n t一组特定情形的发生或改变。I S OG u i d e7 3:2 0 0 9,定义3.5.1.3,做了修改:删除注4注1:一个事态可能是一个或多个发生,并可能有多种原因。注2:一个事态可能由一些未发生的事情组成。注3:一个事态可能有时被称为“事件”或“事故”。2.2 6执行管理者 e x e c

28、u t i v em a n a g e m e n t为达成组织(2.5 7)意图,承担由组织治理者(2.2 9)委派的战略和策略实现责任的人或一组人。注:执行管理者有时称为最高管理者(2.8 4),可以包括首席执行官、首席财务官、首席信息官和类似的角色。2.2 7外部语境 e x t e r n a l c o n t e x t组织(2.5 7)寻求实现其目标(2.5 6)的外部环境。I S OG u i d e7 3:2 0 0 9,定义3.3.1.1注:外部语境可以包括如下方面:文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境,无论是国际的、国家的、地区的或地方的;影响

29、组织(2.5 7)目标(2.5 6)的关键驱动力和趋势;与外部利益相关方(2.8 2)的关系及其认知和价值观。3G B/T2 9 2 4 62 0 1 7/I S O/I E C2 7 0 0 0:2 0 1 62.2 8信息安全治理 g o v e r n a n c eo f i n f o r m a t i o ns e c u r i t y指导和控制组织(2.5 7)信息安全(2.3 3)活动的体系。2.2 9治理者 g o v e r n i n gb o d y对组织(2.5 7)的性能(2.5 9)和合规负有责任的人或一组人。注:治理者在某些司法管辖区可以是董事会。2.3 0

30、指标 i n d i c a t o r针对定义的信息需求(2.3 1),为分析模型(2.2)导出的属性(2.4)提供估算或评价的测度(2.4 7)。2.3 1信息需求 i n f o r m a t i o nn e e d对目标(2.5 6)、目的、风险和问题进行管理所必需的洞察。I S O/I E C1 5 9 3 9:2 0 0 7,定义2.1 22.3 2信息处理设施 i n f o r m a t i o np r o c e s s i n gf a c i l i t i e s任何的信息处理系统、服务或基础设施,或者其安置的物理位置。2.3 3信息安全 i n f o r m

31、 a t i o ns e c u r i t y对信息的保密性(2.1 2)、完整性(2.4 0)和可用性(2.9)的保持。注:另外,也可包括诸如真实性(2.8)、可核查性、抗抵赖(2.5 4)和可靠性(2.6 2)等其他特性。2.3 4信息安全持续性 i n f o r m a t i o ns e c u r i t yc o n t i n u i t y确保信息安全(2.3 3)持续作用的过程(2.6 1)和规程。2.3 5信息安全事态 i n f o r m a t i o ns e c u r i t ye v e n t识别到的一种系统、服务或网络状态的发生,表明可能违反信息安

32、全(2.3 3)策略(2.6 0)或控制(2.1 6)失效,或者一种可能与信息安全相关但还不为人知的情况。2.3 6信息安全事件 i n f o r m a t i o ns e c u r i t y i n c i d e n t单一或一系列不希望或意外的,极有可能损害业务运行和威胁信息安全(2.3 3)的信息安全事态(2.3 5)。2.3 7信息安全事件管理 i n f o r m a t i o ns e c u r i t y i n c i d e n tm a n a g e m e n t发现、报告、评估、响应、处理和总结信息安全事件(2.3 6)的过程(2.6 1)。2.3

33、8信息共享社区 i n f o r m a t i o ns h a r i n gc o mm u n i t y同意共享信息的组织(2.5 7)群体。注:组织(2.5 7)可以是一个人。2.3 9信息系统 i n f o r m a t i o ns y s t e m应用、服务、信息技术资产或其他信息处理组件。4G B/T2 9 2 4 62 0 1 7/I S O/I E C2 7 0 0 0:2 0 1 62.4 0完整性 i n t e g r i t y准确和完备的特性。2.4 1受益相关方 i n t e r e s t e dp a r t y对于一项决策或活动,可能对其产生影响,或被其影响,或认为自己受到其影响的人或组织(2.5 7)。2.4 2内部语境 i n t e r n a l c o n t e x t组织(2.5 7)寻求实现其目标的内部环境。I S OG