ICS 35.030 CCS L80 中华人民共和国国家标准 GB/T 29246—XXXX/ISO/IEC 27000:2018 代替 GB/T 29246—2017 信息安全技术 信息安全管理体系 概述 和词汇 Information security technology—Information security management systems—Overview and vocabulary (ISO/IEC 27000:2018,Information technology—Security techniques— Information security management systems—Overview and vocabulary,IDT) 在提交反馈意见时,请将您知道的相关专利与支持性文件一并附上。 (征求意见稿) 2022-07-01 XXXX - XX - XX 发布 国 家 市 场 监 督 管 理 总 局 国 家 标 准 化 管 理 委 员 会 XXXX - XX - XX 实施 发 布 GB/T 29246—XXXX/ISO/IEC 27000:2018 目 次 前言 ................................................................................ II 1 2 3 4 范围 ............................................................................... 1 规范性引用文件 ..................................................................... 1 术语和定义 ......................................................................... 1 信息安全管理体系(ISMS) .......................................................... 11 4.1 概要 .......................................................................... 11 4.2 ISMS 的概念 .................................................................... 11 4.3 过程方法 ...................................................................... 12 4.4 ISMS 的重要性 .................................................................. 12 4.5 建立、监视、保持和改进 ISMS .................................................... 13 4.6 ISMS 关键成功因素 .............................................................. 15 4.7 ISMS 标准族的益处 .............................................................. 16 5 信息安全管理体系标准族 ............................................................ 16 5.1 一般信息 ...................................................................... 16 5.2 概述和术语标准:ISO/IEC 27000(GB/T 29246(本文件) ) .......................... 17 5.3 要求标准 ...................................................................... 18 5.4 一般指南标准 .................................................................. 18 5.5 具体行业指南标准 .............................................................. 21 参考文献 ............................................................................ 23 索引 ................................................................................ 25 汉语拼音索引 ...................................................................... 25 英文对应术语索引 .................................................................. 28 I GB/T 29246—XXXX/ISO/IEC 27000:2018 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T 29246—2017《信息技术 安全技术 信息安全管理体系 概述和词汇》,与GB/T 29246—2017相比,除结构调整和编辑性改动外,主要技术变化如下: a) 增加了“规范性引用文件”一章(见第2章); b) 删除了术语“分析模型”“属性”“数据”“决策准则”“执行管理者”“信息安全管理体系 (ISMS)专业人员”“信息安全管理体系项目”“测量结果”“对象”“尺度”“测量单位” “确认”“验证”(见2017年版的第3章); c) 合并了定义相同的术语“受益相关方”(见2017年版的2.41)和“利益相关方”(见2017年版 的2.82)为“利益相关方”(见3.37); d) 在图1中增加了ISO/IEC 27021(见图1),删除了ISO/IEC 27015(见2017年版的图1); e) 增加了对ISO/IEC 27009(GB/T 38631)的描述(见5.3.3); f) 增加了对ISO/IEC 27021的描述(见5.4.10); g) 删除了对ISO/IEC 27015(已废止)的描述(见2017年版的4.5.3); h) 更新了信息安全管理体系标准族中一些标准的描述(见第5章,2017年版的第4章); i) 删除了2017年版的附录A和附录B。 本文件等同采用ISO/IEC 27000:2018《信息技术 安全技术 信息安全管理体系 概述和术语》。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中电长城网际系统应用有限公司、中国电子技术标准化研究院、杭州安恒信息技 术股份有限公司、中国软件评测中心、中国信息通信研究院网络安全检测评估中心、北京赛西认证有限 责任公司、中通服咨询设计研究院有限公司、国家计算机网络应急技术处理协调中心、深信服科技股份 有限公司、启明星辰信息技术集团股份有限公司、长扬科技(北京)有限公司、公安第三研究所、深圳 大学中国质量经济发展研究院、北京百度网讯科技有限公司、北京时代新威信息技术有限公司、中国长 江三峡集团有限公司。 本文件主要起草人:闵京华、王惠莅、范博、周亚超、左冉、李杺恬、李汪蔚、赵丽华、高丽芬、 王文磊、刘晨、朱宇泽、赵华、王宁、刘伟丽、王海棠、郭建领、潘文博、唐进。 本文件及其所代替文件的历次版本发布情况为: ——2012年首次发布为GB/T 29246—2012; ——2017年第一次修订; ——本次为第二次修订。 II GB/T 29246—XXXX/ISO/IEC 27000:2018 信息安全技术 信息安全管理体系 概述和词汇 1 1 范围 本文件给出了信息安全管理体系(ISMS)概述,界定了ISMS标准族中常用的术语和定义。 本文件适用于所有类型和规模的组织(例如,商业企业、政府机构、非营利组织)。 本文件中提供的术语和定义: ——包含ISMS标准族中的通用术语和定义; ——不包含ISMS标准族中应用的所有术语和定义; ——不限制ISMS标准族定义需使用的新术语。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 3.1 访问控制 access control 确保对资产访问是基于业务和安全要求(3.56)进行授权和限制的手段。 3.2 攻击 attack 企图破坏、泄露、篡改、禁用、窃取或者未经授权访问或未经授权使用资产的行为。 3.3 审核 audit 为获取审核证据并对其进行客观评价,以确定满足审核准则的程度所进行的系统的、独立的并形成 文件的过程(3.54)。 注 1:审核可能是内部审核(第一方)或外部审核(第二方或第三方),也可能是联合审核(结合两个或更多管理 体系) 。 注 2:内部审核由组织(3.50)自己或由外部方代表进行。 注 3:ISO 19011 中定义了“审核证据”和“审核准则” 。 3.4 审核范围 audit scope 审核(3.3)的程度和边界。 [来源:ISO 19011:2011,3.14,有修改:删除注] 1 目前本文件名称中的“vocabulary”按照以往转标国家标准的通常译法译为“词汇” ,但在 GB/T 1.1—2020 的表 1(文 件名称中表示标准功能类型的词语及其英文译名)中建议将“术语”译为“vocabulary” ,那么本文件名称中的“词 汇”是否需要改为“术语” ,值得商榷。 1 GB/T 29246—XXXX/ISO/IEC 27000:2018 3.5 鉴别 authentication 为一个实体所声称特征的正确性而提供的确保措施。 3.6 真实性 authenticity 一个实体是其所声称实体的性质。 3.7 可用性 availability 可由经授权实体按需访问和使用的性质。 3.8 基本测度 base measure 用某一属性及其量化方法定义的测度(3.

pdf文档 GB/T 29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿

文档预览
中文文档 34 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共34页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
GB/T 29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿 第 1 页 GB/T 29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿 第 2 页 GB/T 29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿 第 3 页
下载文档到电脑,方便使用
本文档由 SC 于 2022-11-08 04:12:40上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。