ICS35. 040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 29246—2012/ I SO/ IEC27000: 2009 信息技术 安全技术 信息安全管理体系 概述和词汇 I n f o rma t i ont e chno l o e c u r i t e chn i e s—I n f o rma t i ons e c u r i t gy—S yt qu y mana emen ts s t ems—Ov e r v i ewandvo c abu l a r g y y ( I SO/ IEC27000: 2009, IDT) 2012 12 31 发布 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 2013 06 01 实施 发 布 GB/T 29246—2012/I SO/IEC27000: 2009 目 次 前言 ………………………………………………………………………………………………………… Ⅰ 引言 ………………………………………………………………………………………………………… Ⅱ 1 范围 ……………………………………………………………………………………………………… 1 2 术语和定义 ……………………………………………………………………………………………… 1 3 信息安全管理体系 ……………………………………………………………………………………… 5 3. 1 介绍 ………………………………………………………………………………………………… 5 3. 2 什么是I SMS ……………………………………………………………………………………… 6 3. 3 过程方法 …………………………………………………………………………………………… 7 3. 4 I SMS 为什么重要 ………………………………………………………………………………… 7 建立、 监视、保持和改进I 3. 5 SMS …………………………………………………………………… 8 3. 6 I SMS 关键成功因素 ……………………………………………………………………………… 9 3. 7 I SMS 标准族的益处 4 I SMS 标准族 ……………………………………………………………………………… 9 …………………………………………………………………………………………… 9 4. 1 一般信息 …………………………………………………………………………………………… 9 4. 2 概述和术语标准 …………………………………………………………………………………… 10 4. 3 要求标准 …………………………………………………………………………………………… 11 4. 4 一般指南标准 ……………………………………………………………………………………… 11 4. 5 行业特定指南标准 ………………………………………………………………………………… 12 附录 A (资料性附录) 条款表达的措辞形式 …………………………………………………………… 13 附录 B (资料性附录) 术语分类 ………………………………………………………………………… 14 参考文献 …………………………………………………………………………………………………… 16 GB/T 29246—2012/I SO/IEC27000: 2009 前 言 本标准按照 GB/T1. 1—2009 给出的规则起草。 本标准使用翻译法等同采用I SO/ IEC27000: 2009《信息技术 述和词汇》。 安全技术 信息安全管理体系 概 本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本标准起草单位:中国电子技术标准化研究所、上海三零卫士有限公司、北京信息安全测评中心。 本标准主要起草人:上官晓丽、许玉娜、闵京华、赵章界。 Ⅰ GB/T 29246—2012/I SO/IEC27000: 2009 引 言 0. 1 概述 管理体系标准为建立和运行管理体系提供一个可遵循的模型。这个模型综合了该领域中专家已达 成一致的、可代表国际技术发展水平的特征。I SO/ IECJTC1SC27(国 际 信 息 安 全 技 术 标 准 化 组 织)设 置了一个专家委 员 会 专 门 开 发 信 息 安 全 管 理 体 系 国 际 标 准,也 称 为 信 息 安 全 管 理 体 系 ( I n f o rma t i on Se cur i t tSys t em,简称ISMS)标准族。 y Managemen 组织通过使用I SMS 标准族,能够开发和实施管 理 其 信 息 资 产 安 全 的 框 架,并 为 保 护 组 织 信 息(诸 如,财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的ISMS 的独立评估做准备。 0. 2 I SMS 标准族 ) I SMS 标准族1 旨在帮助所有类型和规模的组织实施和运行ISMS。在《信息技术 通用标题下, I SMS 标准族由下列标准组成: ———ISO/ IEC27000: 2009 信息技术 安全技术 信息安全管理体系 ———GB/T22080—2008/ I SO/ IEC27001: 2005 信息技术 ———GB/T22081—2008/ I SO/ IEC27002: 2005 信息技术 概述和词汇 安全技术 信息安全管理体系 安全技术 信息安全管理实用规则 ———ISO/ IEC27003: 2010 信息技术 安全技术 信息安全管理体系实施指南 ———ISO/ IEC27005: 2008 信息技术 安全技术 信息安全管理测量 安全技术 信息安全风险管理 ———ISO/ IEC27004: 2009 信息技术 ———GB/T25067—2010/ I SO/ IEC27006: 2007 信息技术 安全技术》这一 安全技术 要求 信息安全管理体系审核认 证机构的要求 ———ISO/ IEC27007 信息技术 安全技术 ———ISO/ IEC27011: 2008 信息技术 信息安全管理体系审核指南 安全技术 安全管理指南 注:通用标题《信息技术 基 于I SO/ IEC27002 的 电 信 行 业 组 织 的 信 息 安全技术》是指这些标准是由 I SO/ IECJTC1SC27 制定的。 不在通用标题“信息技术 安全技术”之列,同时也属于I SMS 标准族的标准如下所示: ———ISO27799: 2008 健康信息学 使用I SO/ IEC27002 的健康信息安全管理 0. 3 本标准的目的 本标准提供了信息安全管理体系的概述,该体系形成了I SMS 标准族的主题,并定义了相关术语。 注:附录 A 阐明了 I SMS 标准族在文字表达上如何区分要求和/或指南。 I SMS 标准族包括的标准: a) 定义I SMS 的要求及其认证机构的要求; b) 提供对 整 个 “规 划—实 施—检 查—处 置 ”( PDCA)过 程 和 要 求 的 直 接 支 持、详 细 指 南 和 (或 ) 解释; c) 阐述特定行业的I SMS 指南; d) 阐述I SMS 的一致性评估。 本标准提供的术语和定义: 1) 本节中列出的没有指明发布年的标准仍在开发中。 Ⅱ GB/T 29246—2012/I SO/IEC27000: 2009 ———包含I SMS 标准族中通用的术语和定义; ———未包含I SMS 标准族使用的所有术语和定义; ———不限制I SMS 标准族定义各自使用的术语。 相对于涉及I SO/ IEC27002 中所有控制措施的标准而言,那些仅阐述I SO/ IEC27002 中控制措施 实施的标准,不包括在I SMS 标准族内。 Ⅲ GB/T 29246—2012/I SO/IEC27000: 2009 信息技术 安全技术 信息安全管理体系 概述和词汇 1 范围 本标准提供: a) ISMS 标准族的概述; b) 信息安全管理体系( I SMS)的介绍; c) “规划—实施—检查—处置”( PDCA)过程的简要描述; d) ISMS 标准族所用的术语和定义。 本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。 2 术语和定义 下列术语和定义适用于本文件。 注:定义或注中的术语如果在条款的其他地方被定 义,则 以 黑 体 标 出 并 在 其 后 的 圆 括 号 中 标 明 其 条 目 号。 这 种 黑 体术语可以在定义中替换为其完整的定义。 示例: 攻击( 2. 4)被定义为“破坏、泄露、篡改、损伤、偷窃、未授权访问或未授权使用资产( 2. 3)的企图”; 资产被定义为“对组织有价值的任何东西”。 如果术语“资产”被其定义替换,则: 2. 1 2. 2 攻击的定义变为“破坏、泄露、篡改、损伤、偷窃、未授权访问或未授权使用对组织有价值的任何东西的企图”。 访问控制 a c c e s sc on t r o l 基于业务要求和安全要求,确保授权和受限地访问资产( 2. 3)的手段。 可核查性 a c c oun t ab i l i t y 实体的一种特性,表征对自己的动作和做出的决定负责。 2. 3 资产 a s s e t 对组织有价值的任何东西。 注:有许多类型的资产,包括: a) 信息资产( 2. 18); b) 软件,如计算机程序; c) 物理资产,如计算机; d) 服务; e) 人员及其资格、技能和经验; 2. 4 f) 无形资产,如名誉和形象。 攻击 a t t a ck 破坏、泄露、篡改、损伤、偷窃、未授权访问或未授权使用资产( 2. 3)的企图。 1 GB/T 29246—2012/I SO/IEC27000: 2009 2. 5 鉴别 au t he n t i c a t i on 确保一个实体声称的特征是正确的保障措施。 2. 6 真实性 au t he n t i c i t y 一个实体正是其所声称实体的特性。 2. 7 可用性 a v a i l ab i l i t y 根据授权实体的要求可访问和使用的特性。 2. 8 业务连续性 bu s i ne s sc on t i nu i t y 确保持续的业务运作的过程( 2. 31)和/或规程( 2. 30)。 2. 9 保密性 c on f i d e n t i a l i t y 信息不能被