GB/T 29246-2012
基本信息
标准号: GB/T 29246-2012
中文名称:信息技术 安全技术 信息安全管理体系 概述和词汇
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:500KB
相关标签: 信息技术 安全 技术 信息安全 管理体系 概述 词汇
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 29246-2012 信息技术 安全技术 信息安全管理体系 概述和词汇
GB/T29246-2012
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T29246—2012/ISO/IEC27000:2009信息技术
安全技术
信息安全管理体系
概述和词汇
Information technology-Security techniques-Information securitymanagementsystemsOverviewandvocabulary(ISO/IEC 27000:2009,IDT)
2012-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2013-06-01实施
GB/T29246—2012/ISO/IEC27000:2009前言
2术语和定义
3信息安全管理体系
3.1介绍…
什么是ISMS
3.3过程方法
3.4、ISMS为什么重要
建立、监视、保持和改进ISMS
3.6ISMS关键成功因素
ISMS标准族的益处
ISMS标准族
一般信息
概述和术语标准
要求标准免费标准下载网bzxz
-般指南标准
4.5行业特定指南标准
附录A(资料性附录)
附录B(资料性附录)
参考文献
条款表达的措辞形式
术语分类
本标准按照GB/T1.1一2009给出的规则起草。GB/T29246—2012/ISO/IEC27000:2009本标准使用翻译法等同采用ISO/IEC27000:2009《信息技术安全技术信息安全管理体系概述和词汇》。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究所、上海三零卫士有限公司、北京信息安全测评中心。本标准主要起草人:上官晓丽、许玉娜、闵京华、赵章界GB/T29246—2012/ISO/IEC27000:20090.1概述
管理体系标准为建立和运行管理体系提供一个可遵循的模型。这个模型综合了该领域中专家已达成一致的、可代表国际技术发展水平的特征。ISO/IECJTC1SC27(国际信息安全技术标准化组织)设置了一个专家委员会专门开发信息安全管理体系国际标准,也称为信息安全管理体系(InformationSecurityManagementSystem,简称ISMS)标准族。组织通过使用ISMS标准族,能够开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如,财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的ISMS的独立评估做准备。0.2ISMS标准族
ISMS标准族\旨在帮助所有类型和规模的组织实施和运行ISMS。在《信息技术安全技术》这一通用标题下,ISMS标准族由下列标准组成:ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和词汇
GB/T220802008/ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求—GB/T22081—2008/ISO/IEC27002:2005信息技术安全技术信息安全管理实用规则-ISO/IEC27003:20101
信息技术安全技术信息安全管理体系实施指南ISO/IEC27004:2009
-ISO/1EC27005:2008
信息技术安全技术信息安全管理测量信息技术
安全技术信息安全风险管理
—GB/T25067—2010/ISO/IEC27006:2007信息技术安全技术信息安全管理体系审核认证机构的要求
ISO/IEC27007信息技术安全技术信息安全管理体系审核指南ISO/IEC27011:20081
信息技术安全技术基于ISO/IEC27002的电信行业组织的信息安全管理指南
注:通用标题《信息技术安全技术是指这些标准是由ISO/IECJTC1SC27制定的。不在通用标题“信息技术安全技术”之列,同时也属于ISMS标准族的标准如下所示:ISO27799:2008健康信息学使用ISO/IEC27002的健康信息安全管理0.3本标准的目的
本标准提供了信息安全管理体系的概述,该体系形成了ISMS标准族的主题,并定义了相关术语。注:附录A闸明了ISMS标准族在文字表达上如何区分要求和/或指南。ISMS标准族包括的标准:
a)定义ISMS的要求及其认证机构的要求;b)提供对整个“规划实施一检查一处置”(PDCA)过程和要求的直接支持、详细指南和(或)解释;
阐述特定行业的ISMS指南;
d)阐述ISMS的一致性评估。
本标准提供的术语和定义:
1)本节中列出的没有指明发布年的标准仍在开发中。I
包含ISMS标准族中通用的术语和定义;一未包含ISMS标准族使用的所有术语和定义;一不限制ISMS标准族定义各自使用的术语GB/T29246—2012/ISO/IEC27000:2009相对于涉及ISO/IEC27002中所有控制措施的标准而言,那些仅阐述ISO/IEC27002中控制措施实施的标准,不包括在ISMS标准族内。1范围
本标准提供:
GB/T29246—2012/ISO/IEC27000:2009信息技术安全技术
信息安全管理体系
a)ISMS标准族的概述;
b)信息安全管理体系(ISMS)的介绍;概述和词汇
e)“规划一实施一检查一处置”(PDCA)过程的简要描述;d)ISMS标准族所用的术语和定义本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。术语和定义
下列术语和定义适用于本文件。注:定义或注中的术语如果在条款的其他地方被定义,则以黑体标出并在其后的圆括号中标明其条目号。这种黑体术语可以在定义中替换为其完整的定义。示例:
攻击(2.4)被定义为破坏、泄露、篡改、损伤、偷窃、未授权访问或未授权使用资产(2.3)的企图”;资产被定义为“对组织有价值的任何东西”。如果术语“资产”被其定义替换,则:攻击的定义变为“破坏、泄露、篡改、损伤、偷窃、未授权访间或未授权使用对组织有价值的任何东西的企图”。2.1
访问控制
access contro
基于业务要求和安全要求,确保授权和受限地访问资产(2.3)的手段。2.2
可核查性
accountability
实体的一种特性,表征对自己的动作和做出的决定负责。2.3
资产asset
对组织有价值的任何东西。
注:有许多类型的资产,包括:信息资产(2.18);
b)软件,如计算机程序;
物理资产,如计算机;
服务;
人员及其资格、技能和经验;
无形资产,如名誉和形象。
attack
破坏、泄露、篡改、损伤、偷窃、未授权访问或未授权使用资产(2.3)的企图。1
GB/T29246—2012/ISO/IEC27000:20092.5
鉴别authentication
确保一个实体声称的特征是正确的保障措施2.6
真实性
authenticity
一个实体正是其所声称实体的特性。2.7
可用性
availability
根据授权实体的要求可访问和使用的特性。2.8
businesscontinuity
业务连续性
确保持续的业务运作的过程(2.31)和/或规程(2.30)。2.9
保密性
confidentiality
信息不能被未授权的个人、实体或者过程(2.31)利用或知悉的特性。2.10
控制措施
control
管理风险(2.34)的方法,包括方针(2.28)、规程(2.30)、指南(2.16)、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。注:控制措施也用作防护措施或对策的同义词。2.11
控制目标
controlobjective
描述实施控制措施(2.10)的结果所要达到的目标的声明。2.12
纠正措施
corrective action
消除已查明的不符合项或其他不期望情形的成因的措施。[ISO9000:2005]
有效性
effectiveness
实现计划活动和达到计划结果的程度。[ISO9000:2005]
效率efficiency
所达到的结果和资源使用情况之间的关系。2.15
一组特别情况的发生。
[ISO/IECGuide73:2002]
指南guideline
为达到目标而期望做什么的建议。2.17
impact
对已达到的业务目标水平的不利改变。2
信息资产informationasset
对组织有价值的知识或数据。
informationsecurity
信息安全
保持信息的保密性(2.9)、完整性(2.25)和可用性(2.7)。GB/T29246—2012/ISO/IEC27000:2009注:此外,诸如真实性(2.6)、可核查性(2.2)抗抵赖(2.27)和可靠性(2.33)等其他特性也可被包括进来。2.20
信息安全事态
information security event
已识别的一种系统、服务或网络状态的发生,指出可能违反信息安全(2.19)方针(2.28)或控制措施(2.10)失效,或者一种可能与安全相关但以前不为人知的情况。2.21
信息安全事件informationsecurityincident一个或一系列意外或不期望的信息安全事态(2.20),它/它们极有可能损害业务运行并威胁信息安全(2.19)。
信息安全事件管理informationsecurityincidentmanagement发现、报告、评估、响应、处理和总结信息安全事件(2.21)的过程(2.31)。2.23
信息安全管理体系informationsecuritymanagementsystem;ISMs整个管理体系(2.26)的一部分,基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全(2.19)。
信息安全风险informationsecurityrisk威胁(2.45)利用单个或一组资产(2.3)的脆弱性(2.46)并对组织造成损害的可能性。2.25
完整性integrity
保护资产(2.3)的准确和完整的特性。2.26
管理体系managementsystem
实现组织目标的方针(2.28)、规程(2.30)、指南(2.16)和相关资源的框架。2.27
抗抵赖non-repudiation
证明所声称事态(2.15)或行为的发生及其发起实体的能力,以解决有关事态(2.15)或行为发生与否以及事态(2.15)中实体是否牵涉的争端。2.28
方针policy
管理者正式发布的总的宗旨和方向。2.29
预防措施
preventiveaction
消除潜在不符合项或其他不期望的潜在情形的成因的措施。[ISO9000:2005]
GB/T29246—2012/ISO/IEC27000:20092.30
procedure
执行活动或过程(2.31)的规定方式。[ISO9000:2005]
process
将输入转换成输出的相互关联或相互作用的活动集。[ISO9000:2005]
record
陈述所达到的结果或提供所执行活动的证据的文件。[ISO9000:2005]
可靠性
reliability
与预期行为和结果一致的特性。2.34
风险risk
事态(2.15)发生的可能性及其后果的组合。[ISO/IECGuide73:2002]
风险接受
risk acceptance
接受风险(2.34)的决定。
[ISO/IECGuide73:2002]
风险分析
risk analysis
系统地使用信息以识别风险来源并估算风险(2.34)。[ISO/IECGuide73:2002]
注:风险分析为风险评价(2.41)、风险处置(2.43)和风险接受(2.35)提供基础。2.37
风险评估
risk assessment
风险分析(2.36)和风险评价(2.41)的整个过程(2.31)。[ISO/IECGuide73:2002]
风险沟通
riskcommunication
决策者和其他利益相关者之间关于风险(2.34)的信息交换或共享。ISO/IECGuide73:2002
风险准则
risk criteria
评估风险(2.34)重要程度的参照条款。[ISO/IECGuide73:2002]
risk estimation
风险估算
为风险(2.34)发生的可能性及其后果赋值的活动。[ISO/IECGuide73:2002]
风险评价riskevaluation
GB/T29246—2012/ISO/IEC27000:2009将估算的风险(2.34)与给定的风险准则(2.39)加以比较以确定风险(2.34)严重性的过程(2.31)。[ISO/IECGuide73:2002]
风险管理
riskmanagement
指导和控制一个组织相关风险(2.34)的协调活动。[ISO/IECGuide73:2002]
注:风险管理一般包括风险评估(2.37)、风险处置(2.43)、风险接受(2.35)、风险沟通(2.38)、风险监视和风险评审。
风险处置
risktreatment
选择并且执行措施来更改风险(2.34)的过程(2.31)。[ISO/IECGuide73:2002]
适用性声明
statementofapplicability
描述与组织的信息安全管理体系(2.23)相关的和适用的控制目标(2.11)和控制措施(2.10)的文件。
威胁threat
可能导致对系统或组织的损害的不期望事件发生的潜在原因,2.46
主vulnerability
脆弱性
可能会被威胁(2.45)所利用的资产(2.3)或控制措施(2.10)的弱点。3信息安全管理体系
3.1介绍
所有类型和规模的组织:
a)收集、处理、存储和传输大量信息;b)
认识到信息以及相关过程、系统、网络和人是实现组织目标的重要资产:面临可能影响资产发挥作用的许多风险:d)通过实施信息安全控制措施更改风险。组织持有和处理的所有信息在使用中易受攻击、错误、自然灾害(例如·洪水或火灾)等威胁和内在脆弱性的影响。术语“信息安全”一般是建立在作为有价值资产的信息基础之上,这此信息需要适当的保护,例如,防止可用性、保密性和完整性的丧失。使准确和完整的信息为已授权的需要者及时可用,可提高业务效率。
通过有效地定义、实现、保持和改进信息安全来保护信息资产,对于组织实现其目标并保持和提高法律符合性及自身形象来说,必不可少。用以指导适当控制措施的实施和处理不可接受的信息安全风险的协调活动,通常被认为是信息安全管理的要素由于信息安全风险和控制措施的有效性随着环境的变化而改变,组织需:a)监视和评价已实施的控制措施和规程的有效性;b)识别需要处理的新出现的风险;5
GB/T29246—2012/ISO/IEC27000:2009c)视需要,选择、实施和改进适当的控制措施,为了关联和协调这种信息安全活动,每个组织需要建立信息安全方针和目标,并通过使用管理体系来有效地达到这些目标。
3.2什么是ISMS
3.2.1概述和原则
ISMS提供了一个建立、实施、运行、监视、评审、保持和改进保护信息资产的模型,以实现组织的业务目标,该目标是基于风险评估和组织为有效处置和管理风险而设定的风险可接受级别来确定的。分析信息资产的保护要求并按照要求应用适当的控制措施确保这些信息资产得到保护,有助于ISMS的成功实施。下列基本原则也有助于ISMS的成功实施:a)认识到信息安全的需要;
分配信息安全的责任:
得到管理承诺和反映利益相关者的利益;提升社会价值观;
进行风险评估,用以确定适当的控制措施来达到可接受的风险级别;将安全作为一个基本要素纳入信息网络和系统;f
主动预防和发现信息安全事件;确保有一个整体的信息安全管理方法;h)
持续地对信息安全进行再评估和适时进行修正。3.2.2信息
信息是一种资产,像其他重要的业务资产一样,对组织业务来说是必不可少的,因此需要得到适当的保护。信息可以以许多形式存储,包括:数字形式(例如,存储在电子或光介质上的数据文件)、物质形式(例如,在纸上)以及以员工知识形式存在的未被表示的信息。信息可采用各种不同手段进行传输,包括:信使、电子通讯或口头交谈。不管信息采用什么形式存在或什么手段传输,它总是需要适当的保护。组织的信息依赖信息和通信技术。这种技术是任何组织中的基本元素,并有助于创建、处理、存储、传输、保护和销毁信息。随着全球业务环境互联程度的不断扩大,由此现在的信息面临着各种各样大量的威胁和脆弱性,因此保护信息的需求就随之增多。3.2.3信息安全
信息安全主要包括保密性、可用性和完整性。信息安全以确保业务成功和持续性以及将影响最小化为目标,涉及到应用和管理防范各种威胁的适当安全措施。信息安全是通过实施一套适用的控制措施来实现的,包括方针策略、过程、规程、组织结构、软件和硬件;这套控制措施通过所选用的风险管理过程来选择并使用ISMS来管理,以保护已识别的信息资产。这些控制措施需要得到详细说明、实施、监视、评审和必要时的改进,以确保满足组织的特定安全和业务目标。相关的信息安全控制措施宜与组织的业务过程充分整合。3.2.4管理
管理包括一些活动:指导、控制和不断改进在适当结构中的组织。这样的管理活动包括有关组织、处理、指导、监督和控制资源的行为、方式或实践。管理结构从小规模组织的一个人,到大规模组织中许多个体所组成的管理层次体系。就ISMS而言,管理包括通过保护组织的信息资产来实现业务目标所必需的监督和决策。信息安全的管理是通过制定和使用为所有与组织相关的人员所应用的、贯穿于整个组织的信息安全方针、标6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T29246—2012/ISO/IEC27000:2009信息技术
安全技术
信息安全管理体系
概述和词汇
Information technology-Security techniques-Information securitymanagementsystemsOverviewandvocabulary(ISO/IEC 27000:2009,IDT)
2012-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2013-06-01实施
GB/T29246—2012/ISO/IEC27000:2009前言
2术语和定义
3信息安全管理体系
3.1介绍…
什么是ISMS
3.3过程方法
3.4、ISMS为什么重要
建立、监视、保持和改进ISMS
3.6ISMS关键成功因素
ISMS标准族的益处
ISMS标准族
一般信息
概述和术语标准
要求标准免费标准下载网bzxz
-般指南标准
4.5行业特定指南标准
附录A(资料性附录)
附录B(资料性附录)
参考文献
条款表达的措辞形式
术语分类
本标准按照GB/T1.1一2009给出的规则起草。GB/T29246—2012/ISO/IEC27000:2009本标准使用翻译法等同采用ISO/IEC27000:2009《信息技术安全技术信息安全管理体系概述和词汇》。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究所、上海三零卫士有限公司、北京信息安全测评中心。本标准主要起草人:上官晓丽、许玉娜、闵京华、赵章界GB/T29246—2012/ISO/IEC27000:20090.1概述
管理体系标准为建立和运行管理体系提供一个可遵循的模型。这个模型综合了该领域中专家已达成一致的、可代表国际技术发展水平的特征。ISO/IECJTC1SC27(国际信息安全技术标准化组织)设置了一个专家委员会专门开发信息安全管理体系国际标准,也称为信息安全管理体系(InformationSecurityManagementSystem,简称ISMS)标准族。组织通过使用ISMS标准族,能够开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如,财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的ISMS的独立评估做准备。0.2ISMS标准族
ISMS标准族\旨在帮助所有类型和规模的组织实施和运行ISMS。在《信息技术安全技术》这一通用标题下,ISMS标准族由下列标准组成:ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和词汇
GB/T220802008/ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求—GB/T22081—2008/ISO/IEC27002:2005信息技术安全技术信息安全管理实用规则-ISO/IEC27003:20101
信息技术安全技术信息安全管理体系实施指南ISO/IEC27004:2009
-ISO/1EC27005:2008
信息技术安全技术信息安全管理测量信息技术
安全技术信息安全风险管理
—GB/T25067—2010/ISO/IEC27006:2007信息技术安全技术信息安全管理体系审核认证机构的要求
ISO/IEC27007信息技术安全技术信息安全管理体系审核指南ISO/IEC27011:20081
信息技术安全技术基于ISO/IEC27002的电信行业组织的信息安全管理指南
注:通用标题《信息技术安全技术是指这些标准是由ISO/IECJTC1SC27制定的。不在通用标题“信息技术安全技术”之列,同时也属于ISMS标准族的标准如下所示:ISO27799:2008健康信息学使用ISO/IEC27002的健康信息安全管理0.3本标准的目的
本标准提供了信息安全管理体系的概述,该体系形成了ISMS标准族的主题,并定义了相关术语。注:附录A闸明了ISMS标准族在文字表达上如何区分要求和/或指南。ISMS标准族包括的标准:
a)定义ISMS的要求及其认证机构的要求;b)提供对整个“规划实施一检查一处置”(PDCA)过程和要求的直接支持、详细指南和(或)解释;
阐述特定行业的ISMS指南;
d)阐述ISMS的一致性评估。
本标准提供的术语和定义:
1)本节中列出的没有指明发布年的标准仍在开发中。I
包含ISMS标准族中通用的术语和定义;一未包含ISMS标准族使用的所有术语和定义;一不限制ISMS标准族定义各自使用的术语GB/T29246—2012/ISO/IEC27000:2009相对于涉及ISO/IEC27002中所有控制措施的标准而言,那些仅阐述ISO/IEC27002中控制措施实施的标准,不包括在ISMS标准族内。1范围
本标准提供:
GB/T29246—2012/ISO/IEC27000:2009信息技术安全技术
信息安全管理体系
a)ISMS标准族的概述;
b)信息安全管理体系(ISMS)的介绍;概述和词汇
e)“规划一实施一检查一处置”(PDCA)过程的简要描述;d)ISMS标准族所用的术语和定义本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。术语和定义
下列术语和定义适用于本文件。注:定义或注中的术语如果在条款的其他地方被定义,则以黑体标出并在其后的圆括号中标明其条目号。这种黑体术语可以在定义中替换为其完整的定义。示例:
攻击(2.4)被定义为破坏、泄露、篡改、损伤、偷窃、未授权访问或未授权使用资产(2.3)的企图”;资产被定义为“对组织有价值的任何东西”。如果术语“资产”被其定义替换,则:攻击的定义变为“破坏、泄露、篡改、损伤、偷窃、未授权访间或未授权使用对组织有价值的任何东西的企图”。2.1
访问控制
access contro
基于业务要求和安全要求,确保授权和受限地访问资产(2.3)的手段。2.2
可核查性
accountability
实体的一种特性,表征对自己的动作和做出的决定负责。2.3
资产asset
对组织有价值的任何东西。
注:有许多类型的资产,包括:信息资产(2.18);
b)软件,如计算机程序;
物理资产,如计算机;
服务;
人员及其资格、技能和经验;
无形资产,如名誉和形象。
attack
破坏、泄露、篡改、损伤、偷窃、未授权访问或未授权使用资产(2.3)的企图。1
GB/T29246—2012/ISO/IEC27000:20092.5
鉴别authentication
确保一个实体声称的特征是正确的保障措施2.6
真实性
authenticity
一个实体正是其所声称实体的特性。2.7
可用性
availability
根据授权实体的要求可访问和使用的特性。2.8
businesscontinuity
业务连续性
确保持续的业务运作的过程(2.31)和/或规程(2.30)。2.9
保密性
confidentiality
信息不能被未授权的个人、实体或者过程(2.31)利用或知悉的特性。2.10
控制措施
control
管理风险(2.34)的方法,包括方针(2.28)、规程(2.30)、指南(2.16)、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。注:控制措施也用作防护措施或对策的同义词。2.11
控制目标
controlobjective
描述实施控制措施(2.10)的结果所要达到的目标的声明。2.12
纠正措施
corrective action
消除已查明的不符合项或其他不期望情形的成因的措施。[ISO9000:2005]
有效性
effectiveness
实现计划活动和达到计划结果的程度。[ISO9000:2005]
效率efficiency
所达到的结果和资源使用情况之间的关系。2.15
一组特别情况的发生。
[ISO/IECGuide73:2002]
指南guideline
为达到目标而期望做什么的建议。2.17
impact
对已达到的业务目标水平的不利改变。2
信息资产informationasset
对组织有价值的知识或数据。
informationsecurity
信息安全
保持信息的保密性(2.9)、完整性(2.25)和可用性(2.7)。GB/T29246—2012/ISO/IEC27000:2009注:此外,诸如真实性(2.6)、可核查性(2.2)抗抵赖(2.27)和可靠性(2.33)等其他特性也可被包括进来。2.20
信息安全事态
information security event
已识别的一种系统、服务或网络状态的发生,指出可能违反信息安全(2.19)方针(2.28)或控制措施(2.10)失效,或者一种可能与安全相关但以前不为人知的情况。2.21
信息安全事件informationsecurityincident一个或一系列意外或不期望的信息安全事态(2.20),它/它们极有可能损害业务运行并威胁信息安全(2.19)。
信息安全事件管理informationsecurityincidentmanagement发现、报告、评估、响应、处理和总结信息安全事件(2.21)的过程(2.31)。2.23
信息安全管理体系informationsecuritymanagementsystem;ISMs整个管理体系(2.26)的一部分,基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全(2.19)。
信息安全风险informationsecurityrisk威胁(2.45)利用单个或一组资产(2.3)的脆弱性(2.46)并对组织造成损害的可能性。2.25
完整性integrity
保护资产(2.3)的准确和完整的特性。2.26
管理体系managementsystem
实现组织目标的方针(2.28)、规程(2.30)、指南(2.16)和相关资源的框架。2.27
抗抵赖non-repudiation
证明所声称事态(2.15)或行为的发生及其发起实体的能力,以解决有关事态(2.15)或行为发生与否以及事态(2.15)中实体是否牵涉的争端。2.28
方针policy
管理者正式发布的总的宗旨和方向。2.29
预防措施
preventiveaction
消除潜在不符合项或其他不期望的潜在情形的成因的措施。[ISO9000:2005]
GB/T29246—2012/ISO/IEC27000:20092.30
procedure
执行活动或过程(2.31)的规定方式。[ISO9000:2005]
process
将输入转换成输出的相互关联或相互作用的活动集。[ISO9000:2005]
record
陈述所达到的结果或提供所执行活动的证据的文件。[ISO9000:2005]
可靠性
reliability
与预期行为和结果一致的特性。2.34
风险risk
事态(2.15)发生的可能性及其后果的组合。[ISO/IECGuide73:2002]
风险接受
risk acceptance
接受风险(2.34)的决定。
[ISO/IECGuide73:2002]
风险分析
risk analysis
系统地使用信息以识别风险来源并估算风险(2.34)。[ISO/IECGuide73:2002]
注:风险分析为风险评价(2.41)、风险处置(2.43)和风险接受(2.35)提供基础。2.37
风险评估
risk assessment
风险分析(2.36)和风险评价(2.41)的整个过程(2.31)。[ISO/IECGuide73:2002]
风险沟通
riskcommunication
决策者和其他利益相关者之间关于风险(2.34)的信息交换或共享。ISO/IECGuide73:2002
风险准则
risk criteria
评估风险(2.34)重要程度的参照条款。[ISO/IECGuide73:2002]
risk estimation
风险估算
为风险(2.34)发生的可能性及其后果赋值的活动。[ISO/IECGuide73:2002]
风险评价riskevaluation
GB/T29246—2012/ISO/IEC27000:2009将估算的风险(2.34)与给定的风险准则(2.39)加以比较以确定风险(2.34)严重性的过程(2.31)。[ISO/IECGuide73:2002]
风险管理
riskmanagement
指导和控制一个组织相关风险(2.34)的协调活动。[ISO/IECGuide73:2002]
注:风险管理一般包括风险评估(2.37)、风险处置(2.43)、风险接受(2.35)、风险沟通(2.38)、风险监视和风险评审。
风险处置
risktreatment
选择并且执行措施来更改风险(2.34)的过程(2.31)。[ISO/IECGuide73:2002]
适用性声明
statementofapplicability
描述与组织的信息安全管理体系(2.23)相关的和适用的控制目标(2.11)和控制措施(2.10)的文件。
威胁threat
可能导致对系统或组织的损害的不期望事件发生的潜在原因,2.46
主vulnerability
脆弱性
可能会被威胁(2.45)所利用的资产(2.3)或控制措施(2.10)的弱点。3信息安全管理体系
3.1介绍
所有类型和规模的组织:
a)收集、处理、存储和传输大量信息;b)
认识到信息以及相关过程、系统、网络和人是实现组织目标的重要资产:面临可能影响资产发挥作用的许多风险:d)通过实施信息安全控制措施更改风险。组织持有和处理的所有信息在使用中易受攻击、错误、自然灾害(例如·洪水或火灾)等威胁和内在脆弱性的影响。术语“信息安全”一般是建立在作为有价值资产的信息基础之上,这此信息需要适当的保护,例如,防止可用性、保密性和完整性的丧失。使准确和完整的信息为已授权的需要者及时可用,可提高业务效率。
通过有效地定义、实现、保持和改进信息安全来保护信息资产,对于组织实现其目标并保持和提高法律符合性及自身形象来说,必不可少。用以指导适当控制措施的实施和处理不可接受的信息安全风险的协调活动,通常被认为是信息安全管理的要素由于信息安全风险和控制措施的有效性随着环境的变化而改变,组织需:a)监视和评价已实施的控制措施和规程的有效性;b)识别需要处理的新出现的风险;5
GB/T29246—2012/ISO/IEC27000:2009c)视需要,选择、实施和改进适当的控制措施,为了关联和协调这种信息安全活动,每个组织需要建立信息安全方针和目标,并通过使用管理体系来有效地达到这些目标。
3.2什么是ISMS
3.2.1概述和原则
ISMS提供了一个建立、实施、运行、监视、评审、保持和改进保护信息资产的模型,以实现组织的业务目标,该目标是基于风险评估和组织为有效处置和管理风险而设定的风险可接受级别来确定的。分析信息资产的保护要求并按照要求应用适当的控制措施确保这些信息资产得到保护,有助于ISMS的成功实施。下列基本原则也有助于ISMS的成功实施:a)认识到信息安全的需要;
分配信息安全的责任:
得到管理承诺和反映利益相关者的利益;提升社会价值观;
进行风险评估,用以确定适当的控制措施来达到可接受的风险级别;将安全作为一个基本要素纳入信息网络和系统;f
主动预防和发现信息安全事件;确保有一个整体的信息安全管理方法;h)
持续地对信息安全进行再评估和适时进行修正。3.2.2信息
信息是一种资产,像其他重要的业务资产一样,对组织业务来说是必不可少的,因此需要得到适当的保护。信息可以以许多形式存储,包括:数字形式(例如,存储在电子或光介质上的数据文件)、物质形式(例如,在纸上)以及以员工知识形式存在的未被表示的信息。信息可采用各种不同手段进行传输,包括:信使、电子通讯或口头交谈。不管信息采用什么形式存在或什么手段传输,它总是需要适当的保护。组织的信息依赖信息和通信技术。这种技术是任何组织中的基本元素,并有助于创建、处理、存储、传输、保护和销毁信息。随着全球业务环境互联程度的不断扩大,由此现在的信息面临着各种各样大量的威胁和脆弱性,因此保护信息的需求就随之增多。3.2.3信息安全
信息安全主要包括保密性、可用性和完整性。信息安全以确保业务成功和持续性以及将影响最小化为目标,涉及到应用和管理防范各种威胁的适当安全措施。信息安全是通过实施一套适用的控制措施来实现的,包括方针策略、过程、规程、组织结构、软件和硬件;这套控制措施通过所选用的风险管理过程来选择并使用ISMS来管理,以保护已识别的信息资产。这些控制措施需要得到详细说明、实施、监视、评审和必要时的改进,以确保满足组织的特定安全和业务目标。相关的信息安全控制措施宜与组织的业务过程充分整合。3.2.4管理
管理包括一些活动:指导、控制和不断改进在适当结构中的组织。这样的管理活动包括有关组织、处理、指导、监督和控制资源的行为、方式或实践。管理结构从小规模组织的一个人,到大规模组织中许多个体所组成的管理层次体系。就ISMS而言,管理包括通过保护组织的信息资产来实现业务目标所必需的监督和决策。信息安全的管理是通过制定和使用为所有与组织相关的人员所应用的、贯穿于整个组织的信息安全方针、标6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。