GB/T 29246-2023信息安全技術(shù)信息安全管理體系概述和詞匯

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T29246—2023/ISO/IEC270002018

:

代替GB/T29246—2017

信息安全技術(shù)信息安全管理體系

概述和詞匯

Informationsecuritytechnology—Informationsecuritymanagementsystems—

Overviewandvocabulary

ISO/IEC270002018Informationtechnolo—Securittechniues—

(:,gyyq

Informationsecuritmanaementsstems—OverviewandvocabularIDT

ygyy,)

2023-12-28發(fā)布2024-07-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T29246—2023/ISO/IEC270002018

:

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

信息安全管理體系

4(ISMS)………………9

概要

4.1…………………9

概念

4.2ISMS…………………………10

過程方法

4.3……………11

重要性

4.4ISMS………………………11

建立監(jiān)視保持和改進

4.5、、ISMS……………………12

關(guān)鍵成功因素

4.6ISMS………………14

標準族的益處

4.7ISMS………………14

信息安全管理體系標準族

5………………14

一般信息

5.1……………14

概述和術(shù)語標準

5.2:ISO/IEC27000(GB/T29246)………………15

要求標準

5.3……………16

一般指南標準

5.4………………………16

具體行業(yè)指南標準

5.5…………………18

參考文獻

……………………21

索引

…………………………23

Ⅱ

GB/T29246—2023/ISO/IEC270002018

:

前言

本文件按照標準化工作導(dǎo)則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯與

GB/T29246—2017《》,

相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下

GB/T29246—2017,,:

刪除了術(shù)語分析模型屬性數(shù)據(jù)決策準則執(zhí)行管理者信息安全管理體系專

a)“”“”“”“”“”“(ISMS)

業(yè)人員信息安全管理體系項目測量結(jié)果對象尺度測量單位確認驗證見

”“”“”“”“”“”“”“”(

年版的第章

20173);

合并了定義相同的術(shù)語受益相關(guān)方見年版的和利益相關(guān)方見年版的

b)“”(20172.41)“”(2017

為利益相關(guān)方見

2.82)“”(3.37);

增加了對的說明見

c)ISO/IEC27009(5.3.3);

增加了對的說明見

d)ISO/IEC27021(5.4.10);

更新了對信息安全管理體系標準族中一些標準的說明見第章年版的第章

e)(5,20174)。

本文件等同采用信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

ISO/IEC27000:2018《》。

本文做了下列最小限度的編輯性改動

:

為與現(xiàn)有標準協(xié)調(diào)將標準名稱改為信息安全技術(shù)信息安全管理體系概述和詞匯

———,《》。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司中國電子技術(shù)標準化研究院杭州安恒信息技

:、、

術(shù)股份有限公司中國軟件評測中心中國信息通信研究院北京賽西認證有限責任公司中通服咨詢設(shè)

、、、、

計研究院有限公司國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心深信服科技股份有限公司啟明星辰信息

、、、

技術(shù)集團股份有限公司長揚科技北京有限公司公安部第三研究所深圳大學北京百度網(wǎng)訊科技有

、()、、、

限公司北京時代新威信息技術(shù)有限公司中國長江三峽集團有限公司

、、。

本文件主要起草人閔京華王惠蒞范博周亞超左冉李杺恬李汪蔚趙麗華高麗芬王文磊

:、、、、、、、、、、

劉晨朱宇澤趙華王寧劉偉麗王海棠郭建領(lǐng)潘文博唐進王秉政

、、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2012GB/T29246—2012;

年第一次修訂

———2017;

本次為第二次修訂

———。

Ⅰ

GB/T29246—2023/ISO/IEC270002018

:

信息安全技術(shù)信息安全管理體系

概述和詞匯

1范圍

本文件給出了信息安全管理體系概述界定了標準族中常用的術(shù)語和定義

(ISMS),ISMS。

本文件適用于所有類型和規(guī)模的組織例如商業(yè)企業(yè)政府機構(gòu)非營利組織

(,、、)。

本文件中提供的術(shù)語和定義

:

包含標準族中的通用術(shù)語和定義

———ISMS;

不包含標準族中應(yīng)用的所有術(shù)語和定義

———ISMS;

不限制標準族定義新的使用術(shù)語

———ISMS。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件

。

3術(shù)語和定義

31

.

訪問控制accesscontrol

確保對資產(chǎn)訪問是基于業(yè)務(wù)和安全要求進行授權(quán)和限制的手段

(3.56)。

32

.

攻擊attack

企圖破壞泄露篡改禁用竊取或者未經(jīng)授權(quán)訪問或未經(jīng)授權(quán)使用資產(chǎn)的行為

、、、、。

33

.

審核audit

為獲取審核證據(jù)并對其進行客