GBT292462012信息技术安全技术信息安全管理体系概述和词汇

ICS35.040L80中华人民共和国国家标准GB/T29246—2012/ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和词汇Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary(ISO/IEC27000:2009,IDT)2012-12-31发布2013-06-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布目次前言Ⅰ…………………………………………………………………………………………………………引言Ⅱ…………………………………………………………………………………………………………1范围1………………………………………………………………………………………………………2术语和定义1………………………………………………………………………………………………3信息安全管理体系5………………………………………………………………………………………3.1介绍5…………………………………………………………………………………………………3.2什么是ISMS6………………………………………………………………………………………3.3过程方法7……………………………………………………………………………………………3.4ISMS为什么重要7…………………………………………………………………………………3.5建立、监视、保持和改进ISMS8……………………………………………………………………3.6ISMS关键成功因素9………………………………………………………………………………3.7ISMS标准族的益处9………………………………………………………………………………4ISMS标准族9……………………………………………………………………………………………4.1一般信息9……………………………………………………………………………………………4.2概述和术语标准10……………………………………………………………………………………4.3要求标准11……………………………………………………………………………………………4.4一般指南标准11………………………………………………………………………………………4.5行业特定指南标准12…………………………………………………………………………………附录A(资料性附录)条款表达的措辞形式13……………………………………………………………附录B(资料性附录)术语分类14…………………………………………………………………………参考文献16……………………………………………………………………………………………………GB/T29246—2012/ISO/IEC27000:2009前言本标准按照GB/T1.1—2009给出的规则起草。本标准使用翻译法等同采用ISO/IEC27000:2009《信息技术安全技术信息安全管理体系概述和词汇》。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究所、上海三零卫士有限公司、北京信息安全测评中心。本标准主要起草人:上官晓丽、许玉娜、闵京华、赵章界。ⅠGB/T29246—2012/ISO/IEC27000:2009引言0.1概述管理体系标准为建立和运行管理体系提供一个可遵循的模型。这个模型综合了该领域中专家已达成一致的、可代表国际技术发展水平的特征。ISO/IECJTC1SC27(国际信息安全技术标准化组织)设置了一个专家委员会专门开发信息安全管理体系国际标准,也称为信息安全管理体系(InformationSecurityManagementSystem,简称ISMS)标准族。组织通过使用ISMS标准族,能够开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如,财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的ISMS的独立评估做准备。0.2ISMS标准族ISMS标准族1)旨在帮助所有类型和规模的组织实施和运行ISMS。在《信息技术安全技术》这一通用标题下,ISMS标准族由下列标准组成:1)本节中列出的没有指明发布年的标准仍在开发中。———ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和词汇———GB/T22080—2008/ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求———GB/T22081—2008/ISO/IEC27002:2005信息技术安全技术信息安全管理实用规则———ISO/IEC27003:2010信息技术安全技术信息安全管理体系实施指南———ISO/IEC27004:2009信息技术安全技术信息安全管理测量———ISO/IEC27005:2008信息技术安全技术信息安全风险管理———GB/T25067—2010/ISO/IEC27006:2007信息技术安全技术信息安全管理体系审核认证机构的要求———ISO/IEC27007信息技术安全技术信息安全管理体系审核指南———ISO/IEC27011:2008信息技术安全技术基于ISO/IEC27002的电信行业组织的信息安全管理指南注:通用标题《信息技术安全技术》是指这些标准是由ISO/IECJTC1SC27制定的。不在通用标题“信息技术安全技术”之列,同时也属于ISMS标准族的标准如下所示:———ISO27799:2008健康信息学使用ISO/IEC27002的健康信息安全管理0.3本标准的目的本标准提供了信息安全管理体系的概述,该体系形成了ISMS标准族的主题,并定义了相关术语。注:附录A阐明了ISMS标准族在文字表达上如何区分要求和/或指南。ISMS标准族包括的标准:a)定义ISMS的要求及其认证机构的要求;b)提供对整个“规划—实施—检查—处置”(PDCA)过程和要求的直接支持、详细指南和(或)解释;c)阐述特定行业的ISMS指南;d)阐述ISMS的一致性评估。本标准提供的术语和定义:ⅡGB/T29246—2012/ISO/IEC27000:2009———包含ISMS标准族中通用的术语和定义;———未包含ISMS标准族使用的所有术语和定义;———不限制ISMS标准族定义各自使用的术语。相对于涉及ISO/IEC27002中所有控制措施的标准而言,那些仅阐述ISO/IEC27002中控制措施实施的标准,不包括在ISMS标准族内。ⅢGB/T29246—2012/ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和词汇1范围本标准提供:a)ISMS标准族的概述;b)信息安全管理体系(ISMS)的介绍;c)“规划—实施—检查—处置”(PDCA)过程的简要描述;d)ISMS标准族所用的术语和定义。本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。2术语和定义下列术语和定义适用于本文件。注:定义或注中的术语如果在条款的其他地方被定义,则以黑体标出并在其后的圆括号中标明其条目号。这种黑体术语可以在定义中替换为其完整的定义。示例:攻击(2.4)被定义为“破坏、泄露、篡改、损伤、偷窃、未授权访问或未授权使用资产(2.3)的企图”;资产被定义为“对组织有价值的任何东西”。如果术语“资产”被其定义替换,则:攻击的定义变为“破坏、泄露、篡改、损伤、偷窃、未授权访问或未授权使用对组织有价值的任何东西的企图”。2.1访问控制accesscontrol基于业务要求和安全要求,确保授权和受限地访问资产(2.3)的手段。2.2可核查性accountability实体的一种特性,表征对自己的动作和做出的决定负责。2.3资产asset对组织有价值的任何东西。注:有许多类型的资产,包括:a)信息资产(2.18);b)软件,如计算机程序;c)物理资产,如计算机;d)服务;e)人员及其资格、技能和经验;f)无形资产,如名誉和形象。2.4攻击attack破坏、泄露、篡改、损伤、偷窃、未授权访问或未授权使用资产(2.3)的企图。1GB/T29246—2012/ISO/IEC27000:20092.5鉴别authentication确保一个实体声称的特征是正确的保障措施。2.6真实性authenticity一个实体正是其所声称实体的特性。2.7可用性availability根据授权实体的要求可访问和使用的特性。2.8业务连续性businesscontinuity确保持续的业务运作的过程(2.31)和/或规程(2.30)。2.9保密性confidentiality信息不能被未授权的个人、实体或者过程(2.31)利用或知悉的特性。2.10控制措施control管理风险(2.34)的方法,包括方针(2.28)、规程(2.30)、指南(2.16)、惯例或组织结构。它们可以是行政、技术、管理、法律等方面的。注:控制措施也用作防护措施或对策的同义词。2.11控制目标controlobjective描述实施控制措施(2.10)的结果所要达到的目标的声明。2.12纠正措施correctiveaction消除已查明的不符合项或其他不期望情形的成因的措施。[ISO9000:2005]2.13有效性effectiveness实现计划活动和达到计划结果的程度。[ISO9000:2005]2.14效率efficiency所达到的结果和资源使用情况之间的关系。2.15事态event一组特别情况的发生。[ISO/IECGuide73:2002]2.16指南guideline为达到目标而期望做什么的建议。2.17影响impact对已达到的业务目标水平的不利改变。2GB/T29246—2012/ISO/IEC27000:20092.18信息资产informationasset对组织有价值的知识或数据。2.19信息安全informationsecurity保持信息的保密性(2.9)、完整性(2.25)和可用性(2.7)。注:此外,诸如真实性(2.6)、可核查性(2.2)、抗抵赖(2.27)和可靠性(2.33)等其他特性也可被包括进来。2.20信息安全事态informationsecurityevent已识别的一种系统、服务或网络状态的发生,指出可能违反信息安全(2.19)方针(2.28)或控制措施(2.10)失效,或者一种可能与安全相关但以前不为人知的情况。2.21信息安全事件informationsecurityincident一个或一系列意外或不期望的信息安全事态(2.20),它/它们极有可能损害业务运行并威胁信息安全(2.19)。2.22信息安全事件管理informationsecurityincidentmanagement发现、报告、评估、响应、处理和总结信息安全事件(2.21)的过程(2.31)。2.23信息安全管理体系informationsecuritymanagementsystem;ISMS整个管理体系(2.26)的一部分,基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全(2.19)。2.24信息安全风险informationsecurityrisk威胁(2.45)利用单个或一组资产(2.3)的脆弱性(2.46)并对组织造成损害的可能性。2.25完整性integrity保护资产(2.3)的准确和完整的特性。2.26管理体系managementsystem实现组织目标的方针(2.28)、规程(2.30)、指南(2.16)和相关资源的框架。2.27抗抵赖non-repudiation证明所声称事态(2.15)或行为的发生及其发起实体的能力,以解决有关事态(2.15)或行为发生与否以及事态(2.15)中实体是否牵涉的争端。2.28方针policy管理者正式发布的总的宗旨和方向。2.29预防措施preventiveaction消除潜在不符合项或其他不期望的潜在情形的成因的措施。[ISO9000:2005]3G