標(biāo)準(zhǔn)解讀

《GB/T 29246-2017 信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯》與《GB/T 29246-2012 信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯》相比,在內(nèi)容上進(jìn)行了更新和完善。這些變化主要體現(xiàn)在以下幾個(gè)方面:

一、結(jié)構(gòu)上的調(diào)整:新版標(biāo)準(zhǔn)對(duì)整體結(jié)構(gòu)進(jìn)行了優(yōu)化,使得信息更加條理化,便于讀者理解和查閱。

二、術(shù)語(yǔ)定義的更新:隨著信息技術(shù)的發(fā)展以及信息安全領(lǐng)域新概念的出現(xiàn),《GB/T 29246-2017》中增加了部分新的術(shù)語(yǔ)及其定義,并且對(duì)于一些原有的術(shù)語(yǔ)進(jìn)行了修訂或刪除,以反映當(dāng)前信息安全領(lǐng)域的最新實(shí)踐和技術(shù)趨勢(shì)。

三、與其他標(biāo)準(zhǔn)的一致性增強(qiáng):為了保證不同標(biāo)準(zhǔn)之間術(shù)語(yǔ)使用的一致性和準(zhǔn)確性,《GB/T 29246-2017》加強(qiáng)了與其他相關(guān)國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)(如ISO/IEC 27000系列)之間的協(xié)調(diào)工作,在某些術(shù)語(yǔ)的選擇上盡量保持一致。

四、案例和示例的增加:為了幫助用戶更好地理解信息安全管理體系的概念及應(yīng)用,《GB/T 29246-2017》增加了更多實(shí)際操作中的案例分析和示例說(shuō)明,這有助于提高標(biāo)準(zhǔn)的實(shí)際指導(dǎo)意義。

五、強(qiáng)調(diào)持續(xù)改進(jìn):新版標(biāo)準(zhǔn)更加注重組織在建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)信息安全管理體系過(guò)程中的重要性,鼓勵(lì)通過(guò)定期評(píng)估來(lái)不斷提升安全水平。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 29246-2023
  • 2017-12-29 頒布
  • 2018-07-01 實(shí)施
?正版授權(quán)
GB/T 29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯_第1頁(yè)
GB/T 29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯_第2頁(yè)
GB/T 29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯_第3頁(yè)
GB/T 29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯_第4頁(yè)
GB/T 29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯_第5頁(yè)
已閱讀5頁(yè),還剩31頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T29246—2017/ISO/IEC270002016

代替:

GB/T29246—2012

信息技術(shù)安全技術(shù)

信息安全管理體系概述和詞匯

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystems—Overviewandvocabulary

(ISO/IEC27000:2016,IDT)

2017-12-29發(fā)布2018-07-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T29246—2017/ISO/IEC270002016

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

概述

0.1…………………Ⅳ

信息安全管理體系標(biāo)準(zhǔn)族

0.2…………Ⅳ

本標(biāo)準(zhǔn)的目的

0.3………………………Ⅴ

范圍

1………………………1

術(shù)語(yǔ)和定義

2………………1

信息安全管理體系

3………………………10

概要

3.1…………………10

什么是

3.2ISMS………………………11

過(guò)程方法

3.3……………12

為什么重要

3.4ISMS…………………12

建立監(jiān)視保持和改進(jìn)

3.5、、ISMS……………………13

關(guān)鍵成功因素

3.6ISMS………………15

標(biāo)準(zhǔn)族的益處

3.7ISMS………………15

信息安全管理體系標(biāo)準(zhǔn)族

4………………16

一般信息

4.1……………16

給出概述和術(shù)語(yǔ)的標(biāo)準(zhǔn)

4.2……………16

規(guī)范要求的標(biāo)準(zhǔn)

4.3……………………17

給出一般指南的標(biāo)準(zhǔn)

4.4………………17

給出行業(yè)特定指南的標(biāo)準(zhǔn)

4.5…………19

附錄資料性附錄條款表達(dá)的措辭形式

A()……………21

附錄資料性附錄術(shù)語(yǔ)和術(shù)語(yǔ)歸屬

B()…………………22

參考文獻(xiàn)

……………………26

GB/T29246—2017/ISO/IEC270002016

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯與

GB/T29246—2012《》,

相比主要技術(shù)變化如下

GB/T29246—2012:

標(biāo)準(zhǔn)族的組成標(biāo)準(zhǔn)由項(xiàng)增加至項(xiàng)見(jiàn)和年版的和

———ISMS1019(0.24.1~4.5,20120.24.1~4.5);

術(shù)語(yǔ)和定義由條增加至條見(jiàn)年版的

———4689(2.1~2.89,20122.1~2.46);

將附錄術(shù)語(yǔ)分類改為術(shù)語(yǔ)和術(shù)語(yǔ)歸屬見(jiàn)附錄年版的附錄

———“”“”(B,2012B)。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系概

ISO/IEC27000:2016《

述和詞匯

》。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院中國(guó)信息安全研

:、、

究院有限公司

本標(biāo)準(zhǔn)主要起草人閔京華上官曉麗許玉娜王惠蒞羅鋒盈左曉棟周亞超馬洪軍廖飛鳴

:、、、、、、、、、

黃凱峰馬文荷

、。

本標(biāo)準(zhǔn)所代替的歷次版本發(fā)布情況為

:

———GB/T29246—2012。

GB/T29246—2017/ISO/IEC270002016

:

引言

01概述

.

管理體系標(biāo)準(zhǔn)提供一個(gè)在建立和運(yùn)行管理體系時(shí)可遵循的模型專門(mén)為信息安全開(kāi)發(fā)的管理體系

。

標(biāo)準(zhǔn)稱為信息安全管理體系簡(jiǎn)稱標(biāo)準(zhǔn)族

(InformationSecurityManagementSystem,ISMS)。

通過(guò)使用標(biāo)準(zhǔn)族組織能夠開(kāi)發(fā)和實(shí)施管理其信息資產(chǎn)安全的框架包括財(cái)務(wù)信息知識(shí)產(chǎn)

ISMS,,、

權(quán)和員工詳細(xì)資料或者受客戶或第三方委托的信息這些標(biāo)準(zhǔn)還可用于對(duì)組織應(yīng)用保護(hù)其信

,。ISMS

息做獨(dú)立評(píng)估準(zhǔn)備

。

02信息安全管理體系標(biāo)準(zhǔn)族

.

信息安全管理體系標(biāo)準(zhǔn)族見(jiàn)第章旨在幫助所有類型和規(guī)模的組織實(shí)施和運(yùn)行

(ISMS)(4)ISMS。

在信息技術(shù)安全技術(shù)通用標(biāo)題下標(biāo)準(zhǔn)族由下列標(biāo)準(zhǔn)組成按標(biāo)準(zhǔn)號(hào)排序

《》,ISMS():

信息安全管理體系概述和詞匯

———ISO/IEC27000(Informationsecuritymanagementsys-

tems—Overviewandvocabulary)

信息安全管理體系要求

———ISO/IEC27001(Informationsecuritymanagementsystems—Re-

quirements)

信息安全控制實(shí)踐指南

———ISO/IEC27002(Codeofpracticeforinformationsecuritycontrols)

信息安全管理體系實(shí)施指南

———ISO/IEC27003(Informationsecuritymanagementsystemim-

plementationguidance)

信息安全管理測(cè)量

———ISO/IEC27004(Informationsecuritymanagement—Measurement)

信息安全風(fēng)險(xiǎn)管理

———ISO/IEC27005(Informationsecurityriskmanagement)

信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求

———ISO/IEC27006(Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems)

信息安全管理體系審核指南

———ISO/IEC27007(Guidelinesforinformationsecuritymanage-

mentsystemsauditing)

信息安全控制措施審核員指南

———ISO/IECTR27008(Guidelinesforauditorsoninformation

securitycontrols)

的行業(yè)特定應(yīng)用要求

———ISO/IEC27009ISO/IEC27001(Sector-specificapplicationofISO/

IEC27001—Requirements)

行業(yè)間和組織間通信的信息安全管理

———ISO/IEC27010(Informationsecuritymanagement

forinter-sectorandinter-organizationalcommunications)

基于的電信組織信息安全管理指南

———ISO/IEC27011ISO/IEC27002(Informationsecurity

managementguidelinesfortelecommunicationsorganizationsbasedonISO/IEC27002)

和綜合實(shí)施指南

———ISO/IEC27013ISO/IEC27001ISO/IEC20000-1(Guidanceontheinte-

gratedimplementationofISO/IEC27001andISO/IEC20000-1)

信息安全治理

———ISO/IEC27014(Governanceofinformationsecurity)

金融服務(wù)信息安全管理指南

———ISO/IECTR27015(Informationsecuritymanagementguide-

linesforfinancialservices)

信息安全管理組織經(jīng)濟(jì)學(xué)

———ISO/IECTR27016(Informationsecuritymanagement—Or-

GB/T29246—2017/ISO/IEC270002016

:

ganizationaleconomics)

基于的云服務(wù)信息安全控制實(shí)踐指南

———ISO/IEC27017ISO/IEC27002(Codeofpracticefor

informationsecuritycontrolsbasedonISO/IEC27002forcloudservices)

可識(shí)別個(gè)人信息處理者在公有云中保護(hù)的實(shí)踐指南

———ISO/IEC27018(PII)PII(Codeofprac-

ticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPII

processors)

基于的能源供給行業(yè)過(guò)程控制系統(tǒng)信息安全管理指南

———ISO/IEC27019ISO/IEC27002(In-

formationsecuritymanagementguidelinesbasedonISO/IEC27002forprocesscontrolsys-

temsspecifictotheenergyutilityindustry)

注通用標(biāo)題信息技術(shù)安全技術(shù)是指這些標(biāo)準(zhǔn)是由的信息技術(shù)委員會(huì)下屬的安全技術(shù)分委

:《》ISO/IEC(JTC1)

員會(huì)制定的

(SC27)。

不在通用標(biāo)題信息技術(shù)安全技術(shù)之下但也屬于標(biāo)準(zhǔn)族的標(biāo)準(zhǔn)如下

《》,ISMS:

健康信息學(xué)使用的健康信息安全管理

———ISO27799ISO/IEC27002(Healthinformatics—

InformationsecuritymanagementinhealthusingISO/IEC27002)

03本標(biāo)準(zhǔn)的目的

.

本標(biāo)準(zhǔn)提供信息安全管理體系概述并定義相關(guān)術(shù)語(yǔ)

,。

注附錄闡明在標(biāo)準(zhǔn)族中表達(dá)要求和或指南的措辭形式

:AISMS()。

標(biāo)準(zhǔn)族包括的標(biāo)準(zhǔn)

ISMS:

定義及其認(rèn)證機(jī)構(gòu)的要求

a)ISMS;

為建立實(shí)施維護(hù)和改進(jìn)的整個(gè)過(guò)程提供直接支持詳細(xì)指南和或解釋

b)、、ISMS、();

提出行業(yè)特定的指南

c)ISMS;

提出的符合性評(píng)估

d)ISMS。

本標(biāo)準(zhǔn)提供的術(shù)語(yǔ)和定義

:

包含標(biāo)準(zhǔn)族中的通用術(shù)語(yǔ)和定義

———ISMS;

不包含標(biāo)準(zhǔn)族中的所有術(shù)語(yǔ)和定義

———ISMS;

不限制標(biāo)準(zhǔn)族定義所需的新術(shù)語(yǔ)

———ISMS。

GB/T29246—2017/ISO/IEC270002016

:

信息技術(shù)安全技術(shù)

信息安全管理體系概述和詞匯

1范圍

本標(biāo)準(zhǔn)概述了信息安全管理體系提供了標(biāo)準(zhǔn)族中常用的術(shù)語(yǔ)及其定義本標(biāo)準(zhǔn)適

(ISMS),ISMS。

用于所有類型和規(guī)模的組織例如商業(yè)企業(yè)政府機(jī)構(gòu)非盈利組織

(,、、)。

2術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件

。

21

.

訪問(wèn)控制accesscontrol

確保對(duì)資產(chǎn)的訪問(wèn)是基于業(yè)務(wù)和安全要求263進(jìn)行授權(quán)和限制的手段

(.)。

22

.

分析模型analyticalmodel

將一個(gè)或多個(gè)基本測(cè)度210和或?qū)С鰷y(cè)度222關(guān)聯(lián)到?jīng)Q策準(zhǔn)則221的算法或計(jì)算

(.)()(.)(.)

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論