GBT 29246-2023 信息安全技術(shù) 信息安全管理體系 概述和詞匯

信息安全技術(shù)信息安全管理體系概述和詞匯2023-12-28發(fā)布2024-07-01實施國家市場監(jiān)督管理總局國家標準化管理委員會Ⅱ前言 I 2規(guī)范性引用文件 3術(shù)語和定義 4信息安全管理體系(ISMS) 94.1概要 94.2ISMS概念 4.3過程方法 4.4ISMS重要性 4.6ISMS關(guān)鍵成功因素 4.7ISMS標準族的益處 5信息安全管理體系標準族 5.1一般信息 5.2概述和術(shù)語標準：ISO/IEC27000(GB/T29246) 5.3要求標準 5.4一般指南標準 5.5具體行業(yè)指南標準 參考文獻 I本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T29246—2017《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》,與GB/T29246—2017相比，除結(jié)構(gòu)調(diào)整和編輯性改動外，主要技術(shù)變化如下：業(yè)人員”“信息安全管理體系項目”“測量結(jié)果""對象""尺度""測量單位""確認""驗證”(見2017年版的第3章);b)合并了定義相同的術(shù)語“受益相關(guān)方”(見2017年版的2.41)和“利益相關(guān)方”(見2017年版的c)增加了對ISO/IEC27009的說明(見5.3.3);d)增加了對ISO/IEC27021的說明(見5.4.10);e)更新了對信息安全管理體系標準族中一些標準的說明(見第5章，2017年版的第4章)。本文件等同采用ISO/IEC27000:2018《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》。本文做了下列最小限度的編輯性改動：——為與現(xiàn)有標準協(xié)調(diào)，將標準名稱改為《信息安全技術(shù)信息安全管理體系概述和詞匯》。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標準化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、中國電子技術(shù)標準化研究院、杭州安恒信息技術(shù)股份有限公司、中國軟件評測中心、中國信息通信研究院、北京賽西認證有限責(zé)任公司、中通服咨詢設(shè)計研究院有限公司、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、深信服科技股份有限公司、啟明星辰信息技術(shù)集團股份有限公司、長揚科技(北京)有限公司、公安部第三研究所、深圳大學(xué)、北京百度網(wǎng)訊科技有限公司、北京時代新威信息技術(shù)有限公司、中國長江三峽集團有限公司。本文件及其所代替文件的歷次版本發(fā)布情況為：——2012年首次發(fā)布為GB/T29246—2012;——2017年第一次修訂；——本次為第二次修訂。1信息安全技術(shù)信息安全管理體系概述和詞匯本文件給出了信息安全管理體系(ISMS)概述，界定了ISMS標準族中常用的術(shù)語和定義。本文件適用于所有類型和規(guī)模的組織(例如，商業(yè)企業(yè)、政府機構(gòu)、非營利組織)。本文件中提供的術(shù)語和定義：——包含ISMS標準族中的通用術(shù)語和定義；——不包含ISMS標準族中應(yīng)用的所有術(shù)語和定義；——不限制ISMS標準族定義新的使用術(shù)語。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術(shù)語和定義訪問控制accesscontrol確保對資產(chǎn)訪問是基于業(yè)務(wù)和安全要求(3.56)進行授權(quán)和限制的手段。企圖破壞、泄露、篡改、禁用、竊取或者未經(jīng)授權(quán)訪問或未經(jīng)授權(quán)使用資產(chǎn)的行為。為獲取審核證據(jù)并對其進行客觀評價，以確定滿足審核準則的程度所進行的系統(tǒng)的、獨立的并形成文件的過程(3.54)。注1:審核可能是內(nèi)部審核(第一方)或外部審核(第二方或第三方),也可能是聯(lián)合審核(結(jié)合兩個或更多管理體系)。注2:內(nèi)部審核由組織(3.50)自己或由外部方代表進行。審核(3.3)的程度和邊界。確保實體所聲稱其特征是正確的一種措施。2真實性authenticity一個實體是其所聲稱實體的性質(zhì)。可用性availability可由經(jīng)授權(quán)實體按需訪問和使用的性質(zhì)。用某一屬性及其量化方法定義的測度(3.42)。注：基本測度在功能上獨立于其他測度。勝任力competence運用知識和技能實現(xiàn)預(yù)期結(jié)果的能力。保密性confidentiality信息對未經(jīng)授權(quán)的個人、實體或過程(3.54)不可用或不泄露的性質(zhì)。對要求(3.56)的滿足。事態(tài)(3.21)影響目標(3.49)的結(jié)果。注1:一個事態(tài)(3.21)可能導(dǎo)致一系列后果。注2:一個后果可能是確定的或不確定的，在信息安全(3.28)的語境下通常是負面的。注3:后果可能定性或定量表示。注4:初始后果可能通過連鎖效應(yīng)升級。為提高性能(3.52)而反復(fù)進行的活動。改變風(fēng)險(3.61)的措施。注1:控制包括任何改變風(fēng)險(3.61)的過程(3.54)、策略(3.53)、裝置、實踐或其他措施。注2:控制可能并不總是發(fā)揮出預(yù)期或假定的改變效果?？刂颇繕薱ontrolobjective描述控制(3.14)的實施結(jié)果所要達到目標的聲明。消除已查明不符合性(3.47)的措施。3消除不符合性(3.47)根源以防再次發(fā)生的措施。定義為兩個或兩個以上基本測度(3.8)值的函數(shù)的測度(3.42)。文檔化信息documentedinformation組織(3.50)需要控制和維護的信息及其媒體。注1:文檔化信息可能采用任何格式，存于任何媒體中和出自任何來源。注2:文檔化信息可能涉及——管理體系(3.41),包括相關(guān)過程(3.54);——為組織(3.50)運營而創(chuàng)建的信息(文檔);——取得結(jié)果的證據(jù)(記錄)。有效性effectiveness實現(xiàn)所計劃活動和達成所計劃結(jié)果的程度。一組特殊情況的發(fā)生或改變。注1:一個事態(tài)可能是一次或多次發(fā)生，并可能有多種原因。注2:一個事態(tài)可能由未發(fā)生的事情組成。組織(3.50)尋求實現(xiàn)其目標(3.49)的外部環(huán)境。注：外部語境可能包括如下方面：方的；——影響組織(3.50)目標(3.49)的關(guān)鍵驅(qū)動力和趨勢；——與外部利益相關(guān)方(3.37)的關(guān)系及其認知和價值觀。信息安全治理governanceofinformationsecurity指導(dǎo)和控制組織(3.50)信息安全(3.28)活動的體系。對組織(3.50)的性能(3.52)和符合性(3.11)負有責(zé)任的個人或集體。注：在某些司法管轄區(qū)，治理層可能是董事會。提供估算或評價的測度(3.42)。4對目標(3.49)、風(fēng)險和問題進行管理所需的了解。信息處理設(shè)施informationprocessingfacilities任何信息處理系統(tǒng)、服務(wù)或基礎(chǔ)設(shè)施，或者其安置的物理場所。對信息的保密性(3.10)、完整性(3.36)和可用性(3.7)的保全。信息安全持續(xù)性informationsecuritycontinuity保障信息安全(3.28)持續(xù)運行的過程(3.54)和規(guī)程。信息安全事態(tài)informationsecurityevent識別到的一種系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)的發(fā)生，表明可能違反信息安全(3.28)策略(3.53)或控制(3.14)失效，或者可能與信息安全相關(guān)的先前未知情況。信息安全事件informationsecurityincident單個或一系列不希望或意外的、極有可能危及業(yè)務(wù)運營并威脅信息安全(3.28)的信息安全事態(tài)信息安全事件管理informationsecurityincidentmanagement信息安全管理體系(ISMS)專業(yè)人員informationsecuritymanagementsystem(ISMS)professional建立、實施、維護和持續(xù)改進一個或多個信息安全管理體系過程(3.54)的人員。信息共享群組informationsharingcommunity同意共享信息的組織(3.50)群體。信息系統(tǒng)informationsystem應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件的組合。完整性integrity準確和完備的性質(zhì)。利益相關(guān)方interestedparty;stakeholder可能對一項決策或活動產(chǎn)生影響，或被其影響，或認為自己受到其影響的個人或組織(3.50)。組織(3.50)尋求實現(xiàn)其目標的內(nèi)部環(huán)境。5注：內(nèi)部語境可能包括如下方面：——策略(3.53)、目標(3.49)及其實現(xiàn)戰(zhàn)略；——信息系統(tǒng)(3.35)、信息流和決策過程(3.54)(正式的和非正式的);——與內(nèi)部利益相關(guān)方(3.37)的關(guān)系及其認知和價值觀；——組織(3.50)的文化；——組織采用的標準、指南和模型；——合同關(guān)系的形式和范圍。風(fēng)險級別levelofrisk以后果(3.12)和其可能性(3.40)的組合來表示的風(fēng)險(3.61)大小。某事發(fā)生的機會。[來源：ISOGuide73:2009,3.6.1.1,有修改：刪除注1和注2]組織(3.50)中相互關(guān)聯(lián)或相互作用，用來建立策略(3.53)和目標(3.49)以及實現(xiàn)這些目標過程注1:管理體系可能專注于單一學(xué)科或多個學(xué)科。注2:體系元素包括組織的結(jié)構(gòu)、角色和責(zé)任、規(guī)劃和運行。注3:管理體系范圍可能包括組織(3.50)的整體、組織的具體且確定的功能或部門，或者跨組織群的一項或多項功能。作為測量(3.43)結(jié)果賦值的變量。測量measurement確定一個值的過程(3.54)。組合兩個或兩個以上基本測度(3.8)的算法或計算。測量方法measurementmethod注：測量方法的類型取決于屬性量化操作的性質(zhì)?？赡軈^(qū)分為以下兩種類型：——主觀的：涉及人為判斷的量化；——客觀的：基于數(shù)字規(guī)則的量化。6監(jiān)視monitoring確定系統(tǒng)、過程(3.54)或活動狀態(tài)的行為。注：為確定狀態(tài)可能需要檢查、監(jiān)督或嚴密觀察。不符合性nonconformity對要求(3.56)的不滿足。證明所聲稱事態(tài)(3.21)或行動的發(fā)生及其起源實體的能力。要實現(xiàn)的結(jié)果。注1:目標可能是戰(zhàn)略性的、戰(zhàn)術(shù)性的或操作性的。注2:目標可能涉及不同學(xué)科(諸如金融、健康與安全以及環(huán)境目標),可能適用于不同層次(諸如戰(zhàn)略、組織、項目、產(chǎn)品和過程(3.54))。注3:目標可能以其他方式表示，例如，作為預(yù)期結(jié)果、意圖、操作準則，作為信息安全(3.28)目標，或者使用具有類似含義的其他詞語(例如，目的或靶標)。注4:在信息安全(3.28)管理體系(3.41)的語境下，組織(3.50)制定與信息安全策略(3.53)一致的信息安全目標，以實現(xiàn)特定結(jié)果。具有自身的職責(zé)、權(quán)威和關(guān)系以實現(xiàn)其目標(3.49)的個人或集體。其組合，無論是否法人，是公共的還是私營的。做出由外部組織(3.50)執(zhí)行組織的部分功能或過程(3.54)的安排。注：外部組織(3.50)不在管理體系(3.41)的范圍，盡管外包的功能或過程(3.54)在范圍之內(nèi)。一種可測量的屬性。注1:性能可能與定量或定性的調(diào)查發(fā)現(xiàn)相關(guān)。注2:性能可能與活動、過程(3.54)、產(chǎn)品(包括服務(wù))、系統(tǒng)或組織(3.50)的管理相關(guān)。由其最高管理層(3.75)正式表達的組織(3.50)的意圖和方向。注：總策略一般稱為方針。對于包括總策略的策略集稱為方針策略。過程process將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相關(guān)作用的活動集合?？煽啃詒eliability與預(yù)期行為和結(jié)果一致的性質(zhì)。7注1:“通常隱含的”意指所考慮的需要或期望是不言而喻的，對于組織(3.50)或利益相關(guān)方(3.37)是慣例或常見做法。注2:規(guī)定的要求是明示的，例如在文檔化信息(3.19)中明示。殘余風(fēng)險residualrisk風(fēng)險處置(3.72)后余下的風(fēng)險(3.61)。注1:殘余風(fēng)險可能包含未識別的風(fēng)險(3.61)。注2:殘余風(fēng)險也稱為“保留風(fēng)險”。為確定主題事項的適宜性、充分性和有效性(3.20)以實現(xiàn)既定目標而開展的活動。評審對象reviewobject被評審的特定事項。評審目標reviewobjective描述所要達到的評審(3.58)結(jié)果的聲明。對目標(3.49)的不確定性影響。注1:影響是指與期望的偏離(正向的或反向的)。注2:不確定性是對事態(tài)(3.21)及其后果(3.12)或可能性(3.40)的相關(guān)信息、理解或知識缺乏的狀態(tài)(即使是部分的)。注4:風(fēng)險常被表示為事態(tài)(3.21)(包括情況改變)的后果(3.12)和其發(fā)生“可能性”(3.40)的組合。注5:在信息安全(3.28)管理體系(3.41)的語境下，信息安全風(fēng)險能被表示為對信息安全目標(3.49)的不確定性影響。注6:信息安全(3.28)風(fēng)險與威脅(3.74)利用信息資產(chǎn)或信息資產(chǎn)組的脆弱性(3.77)對組織(3.50)造成傷害的潛力相關(guān)。風(fēng)險接受riskacceptance承擔(dān)特定風(fēng)險(3.61)的知情決定。注1:風(fēng)險接受可能是在不經(jīng)風(fēng)險處置(3.72)或風(fēng)險處置過程(3.54)中做出。注2:接受的風(fēng)險(3.61)處于監(jiān)視(3.46)和評審(3.58)中。理解風(fēng)險(3.61)本質(zhì)和確定風(fēng)險級別(3.39)的過程(3.54)。注1:風(fēng)險分析為風(fēng)險評價(3.67)和風(fēng)險處置(3.72)決策提供基礎(chǔ)。注2:風(fēng)險分析包括風(fēng)險估算。8風(fēng)險評估riskassessment風(fēng)險溝通與咨詢riskcommunicationandconsultation組織(3.50)就風(fēng)險(3.61)管理所進行的，提供、共享或獲取信息以及與利益相關(guān)方(3.37)對話的持續(xù)和迭代過程(3.54)。注2:咨詢是對問題進行決策或確定方向之前，在組織(3.50)和其利益相關(guān)方(3.37)之間進行知情溝通的雙向過程——通過影響力而不是權(quán)力來影響決策的過程(3.54);——決策的輸入，而非聯(lián)合做出決策。評價風(fēng)險(3.61)重要性的基準。注1:風(fēng)險準則是基于組織的目標以及外部語境(3.22)和內(nèi)部語境(3.38)。注2:風(fēng)險準則能根據(jù)標準、法律、策略(3.53)和其他要求(3.56)得出。將風(fēng)險分析(3.63)的結(jié)果與風(fēng)險準則(3.66)比較，以確定風(fēng)險(3.61)和/或其大小是否可接受或可注：風(fēng)險評價有助于風(fēng)險處置(3.72)的決策。注1:風(fēng)險識別涉及風(fēng)險源、事態(tài)(3.21)及其原因和潛在后果(3.12)的識別。注2:風(fēng)險識別可能涉及歷史數(shù)據(jù)、理論分析、知情者和專家的意見以及利益相關(guān)方(3.37)的需要。風(fēng)險管理riskmanagement指導(dǎo)和控制組織(3.50)相關(guān)風(fēng)險(3.61)的協(xié)調(diào)活動。風(fēng)險管理過程riskmanagementprocess(3.61)活動上的系統(tǒng)性應(yīng)用。風(fēng)險責(zé)任者riskowner具有責(zé)任和權(quán)力來管理風(fēng)險(3.61)的個人或?qū)嶓w。9GB/T29246—2023/ISO/IEC27000:2018改變風(fēng)險(3.61)的過程(3.54)。注1:風(fēng)險處置可能涉及如下方面：——通過決定不啟動或不繼續(xù)進行引發(fā)風(fēng)險(3.61)的活動來規(guī)避風(fēng)險；——承擔(dān)或增加風(fēng)險(3.61)以追求機會；——消除風(fēng)險源；——改變可能性(3.40);——改變后果(3.12);——與另外一方或多方共擔(dān)風(fēng)險(包括合同和風(fēng)險融資);——有根據(jù)地選擇保留風(fēng)險。注3:風(fēng)險處置可能產(chǎn)生新的風(fēng)險(3.61)或改變現(xiàn)有風(fēng)險。安全實施標準securityimplementationstandard規(guī)定授權(quán)的安全實現(xiàn)方式的文件。威脅threat對系統(tǒng)或組織(3.50)可能造成意外傷害事件的潛在因素。最高管理層topmanagement在最高級別上指導(dǎo)和控制組織(3.50)的個人或集體。注1:最高管理層有權(quán)在組織(3.50)內(nèi)授權(quán)和提供資源。注2:如果管理體系(3.41)的范圍僅涵蓋組織(3.50)的一部分，則最高管理層就是指指導(dǎo)和控制組織這一部分的個人或集體。注3:最高管理層有時稱為執(zhí)行管理層，可能包括首席執(zhí)行官、首席財務(wù)官、首席信息官和類似角色。支持信息共享群組(3.34)內(nèi)信息交換的自主組織(3.50)。脆弱性vulnerability可能被一個或多個威脅(3.74)利用的資產(chǎn)或控制(3.14)的弱點。4信息安全管理體系(ISMS)各種類型和規(guī)模組織的主要任務(wù)：b)認識到信息及其相關(guān)過程、系統(tǒng)、網(wǎng)絡(luò)和人員是實現(xiàn)組織目標的重要資產(chǎn)；c)面對一系列可能影響資產(chǎn)運作的風(fēng)險；d)通過實施信息安全控制解決其感知到的因暴露帶來的風(fēng)險。組織持有和處理的所有信息在其使用中，都會受到攻擊、錯誤、自然災(zāi)害(例如，洪水或火災(zāi))等威脅并存在固有的脆弱性。術(shù)語“信息安全”通?；趯⑿畔⒁暈橐环N資產(chǎn)，其價值需要適當保護，例如，防止喪失保密性、完整性和可用性。使已授權(quán)的需要者能及時獲得準確、完整的信息，有助于促進提升業(yè)通過有效地闡明、實現(xiàn)、維護和改進信息安全來保護信息資產(chǎn)，對于組織實現(xiàn)其目標并保持和增強其法律合規(guī)性和形象至關(guān)重要。這些指導(dǎo)實施適當控制和處置不可接受的信息安全風(fēng)險的協(xié)調(diào)活動通常被稱為信息安全管理的元素。由于信息安全風(fēng)險和控制的有效性隨著環(huán)境的變化而變化，組織需要：a)監(jiān)視和評價已實施的控制和規(guī)程的有效性；b)識別待處置的新風(fēng)險；c)根據(jù)需要選擇、實施和改進適當?shù)目刂啤榱讼嗷リP(guān)聯(lián)和協(xié)調(diào)此類信息安全活動，每個組織都需要制定其信息安全策略和目標，并通過使用管理體系有效地實現(xiàn)這些目標。4.2.1概述和原則信息安全管理體系(ISMS)由策略、規(guī)程、指南以及相關(guān)資源和活動組成，由組織集中管理，目的在于保護其信息資產(chǎn)。ISMS是建立、實施、運行、監(jiān)視、評審、維護和改進組織信息安全來實現(xiàn)業(yè)務(wù)目標的系統(tǒng)方法。它是基于風(fēng)險評估和組織的風(fēng)險接受程度，為有效地處置和管理風(fēng)險而設(shè)計的。分析信息資產(chǎn)保護的需求，并根據(jù)需要應(yīng)用適當?shù)目刂苼砬袑嵄Ｗo這些信息資產(chǎn)，有助于ISMS的成功實施。下列基本原則也有助于ISMS的成功實施：a)認識到信息安全的需要；b)分配信息安全的責(zé)任；c)整合管理者的承諾和利益相關(guān)方的利益；d)提升社會價值；e)開展風(fēng)險評估來確定適當?shù)目刂?，以達到可接受的風(fēng)險程度；f)將安全作為信息網(wǎng)絡(luò)和系統(tǒng)的基本元素；g)主動防范和發(fā)現(xiàn)信息安全事件；h)確保信息安全管理方法的全面性；i)持續(xù)對信息安全進行再評估并酌情進行修改。信息是一種資產(chǎn)，與其他重要的業(yè)務(wù)資產(chǎn)一樣，對組織的業(yè)務(wù)至關(guān)重要，因此需要得到適當?shù)谋Ｗo。信息可能以多種形式存儲，包括：數(shù)字形式(如存儲在電子或光媒體上的數(shù)據(jù)文件)、物質(zhì)形式(如紙質(zhì)),以及以員工知識的形式未表述的信息。信息可能通過各種方式進行傳輸，包括：快遞、電子或口頭通信。無論信息采用何種形式，或以何種形式傳輸，它總是需要適當?shù)谋Ｗo。在許多組織中，信息依賴于信息通信技術(shù)。這項技術(shù)通常是組織的一個基本元素，有助于促進信息信息安全確保信息的保密性、可用性和完整性。信息安全涉及應(yīng)用和管理適當?shù)目刂疲紤]到各種威脅，以確保業(yè)務(wù)的持續(xù)成功和持續(xù)性，并最小化信息安全事件的后果。信息安全是通過實施一套適用的控制來實現(xiàn)的，這套控制通過選定的風(fēng)險管理過程進行選擇，并使用ISMS進行管理，包括策略、過程、規(guī)程、組織結(jié)構(gòu)、軟件和硬件，用以保護已識別的信息資產(chǎn)。必要時，需要明確規(guī)定、實施、監(jiān)視、評審和改進這些控制，以確保滿足組織的特定信息安全和業(yè)務(wù)目標。相關(guān)的信息安全控制也是期望與組織業(yè)務(wù)過程無縫集成。管理涉及在適當?shù)慕Y(jié)構(gòu)中指導(dǎo)、控制和持續(xù)改進組織的活動。管理活動包括組織、處理、指導(dǎo)、監(jiān)督和控制資源的行為、方式或?qū)嵺`。管理結(jié)構(gòu)與組織規(guī)模相適應(yīng)，在小型組織中可以是一個人，在大型組織中可以是由許多人組成的管理層級。就ISMS而言，管理涉及通過保護組織的信息資產(chǎn)來實現(xiàn)業(yè)務(wù)目標所需的監(jiān)督和決策。信息安全管理通過制定和使用信息安全策略、規(guī)程和指南來表達，然后由與組織相關(guān)的所有個人在整個組織中應(yīng)用這些策略、規(guī)程和指南。管理體系使用資源框架來實現(xiàn)組織的目標。管理體系包括組織架構(gòu)、策略、規(guī)劃活動、責(zé)任、實踐、在信息安全方面，管理體系給予組織：a)滿足客戶和其他利益相關(guān)方的信息安全需求；b)改進組織的計劃和活動；c)滿足組織的信息安全目標；d)遵從法律法規(guī)、規(guī)章制度和行業(yè)規(guī)定；e)以有組織的方式管理信息資產(chǎn)，來促進持續(xù)改進和調(diào)整當前的組織目標。4.3過程方法組織需要識別和管理許多活動，以便既有效果又有效率地運作。任何使用資源的活動需要被管理，以便能夠使用一組相互關(guān)聯(lián)或相互作用的活動將輸入轉(zhuǎn)換為輸出，這也稱為過程。一個過程的輸出能直接形成另一個過程的輸入，通常這種轉(zhuǎn)換是在計劃和受控的條件下進行的。組織內(nèi)過程系統(tǒng)的應(yīng)需要解決與組織信息資產(chǎn)相關(guān)的風(fēng)險。實現(xiàn)信息安全需要管理風(fēng)險，包括與組織內(nèi)部或組織使用的所有形式的信息相關(guān)的物理、人為和技術(shù)威脅帶來的風(fēng)險。采用ISMS是期望其成為組織的一項戰(zhàn)略決策，并且該決策有必要根據(jù)組織的需要進行無縫集成、擴展和更新。組織ISMS的設(shè)計和實施受組織的需要和目標、安全需求、采用的業(yè)務(wù)過程以及組織的規(guī)模和結(jié)構(gòu)的影響。ISMS的設(shè)計和運行需要反映組織的利益相關(guān)方(包括客戶、供應(yīng)商、業(yè)務(wù)伙伴、股東和其他相關(guān)第三方)的利益和信息安全需求。在相互連接的世界中，信息和相關(guān)的過程、系統(tǒng)和網(wǎng)絡(luò)組成關(guān)鍵業(yè)務(wù)資產(chǎn)。組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨來源廣泛的安全威脅，包括計算機輔助欺詐、間諜活動、蓄意破壞、火災(zāi)和洪水。惡意代碼、計算機黑客和拒絕服務(wù)攻擊對信息系統(tǒng)和網(wǎng)絡(luò)造成的損害已變得更加普遍、更有野心和日益復(fù)雜。ISMS對于公共和私營部門業(yè)務(wù)都很重要。在任何行業(yè)中，ISMS都使電子商務(wù)成為可能，對風(fēng)險管理活動至關(guān)重要。公共和私營網(wǎng)絡(luò)的互聯(lián)以及信息資產(chǎn)的共享增加了信息訪問控制和處理的難度。此外，包含信息資產(chǎn)的移動存儲設(shè)備的分布可能削弱傳統(tǒng)控制的有效性。當組織采用了ISMS標準族，便可向業(yè)務(wù)伙伴和其他受益相關(guān)方證明其運用一致且互認的信息安全原則的能力。在信息系統(tǒng)的設(shè)計和開發(fā)中，信息安全并不總是被考慮到的。而且，信息安全常被認為是技術(shù)解決方案。然而，能通過技術(shù)手段實現(xiàn)的信息安全是有限的，若沒有ISMS的適當管理和規(guī)程支持，信息安全可能是無效的。將安全性集成到功能完備的信息系統(tǒng)中可能是困難和昂貴的。ISMS涉及確認哪些控制到位，需要仔細規(guī)劃并注意細節(jié)。例如，訪問控制提供了一種手段，以確保根據(jù)業(yè)務(wù)和信息安全需求來授權(quán)和限制對信息資產(chǎn)的訪問，這種訪問控制可能是技術(shù)(邏輯)、物理、行政(管理)或組合的。ISMS的成功采用對于保護信息資產(chǎn)非常重要，它使組織能：a)更好地確保其信息資產(chǎn)得到持續(xù)的充分保護，免受威脅；b)保持一個結(jié)構(gòu)化和全面的框架，來識別和評估信息安全風(fēng)險，選擇和應(yīng)用適用的控制，并測量和改進其有效性；c)持續(xù)改進其控制環(huán)境；d)有效地遵從法律法規(guī)。組織需按照如下步驟建立、監(jiān)視、保持和改進其ISMS:a)識別信息資產(chǎn)及其相關(guān)的信息安全需求(見4.5.2);b)評估信息安全風(fēng)險(見4.5.3)和處置信息安全風(fēng)險(見4.5.4);c)選擇并實施相關(guān)控制，以管理不可接受的風(fēng)險(見4.5.5);d)監(jiān)視、保持和改進組織ISMS的有效性(見4.5.6)。為確保ISMS持續(xù)有效地保護組織的信息資產(chǎn)，有必要不斷重復(fù)步驟a)至d),以識別風(fēng)險或組織戰(zhàn)略或業(yè)務(wù)目標的變化。4.5.2識別信息安全需求在組織的總體戰(zhàn)略和業(yè)務(wù)目標、規(guī)模和地理分布的范圍內(nèi)，能通過了解如下方面來識別信息安全需求：a)已識別的信息資產(chǎn)及其價值；b)信息處理、存儲和通信的業(yè)務(wù)需要；c)法律法規(guī)、規(guī)章制度和合同要求。對與組織信息資產(chǎn)相關(guān)的風(fēng)險進行有條不紊的評估，包括分析信息資產(chǎn)面臨的威脅、信息資產(chǎn)存在的脆弱性、威脅實現(xiàn)的可能性，以及任何信息安全事件對信息資產(chǎn)的潛在影響。相關(guān)控制的付出旨在與風(fēng)險成為現(xiàn)實后感知到的業(yè)務(wù)影響相稱。4.5.3評估信息安全風(fēng)險管理信息安全需要一種適合的風(fēng)險評估和風(fēng)險處置方法，該方法可能包括對成本和收益、法律要求、利益相關(guān)方的關(guān)切以及其他適合的輸入和變量的判斷。風(fēng)險評估宜根據(jù)風(fēng)險接受準則和與組織相關(guān)的目標來識別、量化并按重要性排列風(fēng)險。評估結(jié)果宜指導(dǎo)和確定適當?shù)墓芾硇袆蛹捌鋬?yōu)先級，以管理信息安全風(fēng)險，并實施為防范這些風(fēng)險而選擇的控制。風(fēng)險評估宜包括：——系統(tǒng)性估算風(fēng)險大小的方法(風(fēng)險分析);——將估算的風(fēng)險與風(fēng)險準則比較，以確定風(fēng)險重要性的過程(風(fēng)險評價)。險評價以及發(fā)生重大變化時的變化。這些風(fēng)險評估宜以能夠產(chǎn)生可比較和可重現(xiàn)結(jié)果的有條不紊的方法進行。信息安全風(fēng)險評估宜具有明確界定的范圍以保障其有效性，還宜包括與其他區(qū)域風(fēng)險評估的關(guān)系(如果適用)。ISO/IEC27005提供信息安全風(fēng)險管理指南，包括關(guān)于風(fēng)險評估、風(fēng)險處置、風(fēng)險接受、風(fēng)險報告、風(fēng)險監(jiān)視和風(fēng)險評審的建議。風(fēng)險評估方法的例子也包括在內(nèi)。在考慮風(fēng)險處置之前，組織宜確定風(fēng)險是否可接受的準則。例如，如果評估風(fēng)險較低或處置成本對組織不具有成本效益，則可接受風(fēng)險。此類決定宜予以記錄。對于經(jīng)過風(fēng)險評估后識別的每個風(fēng)險，需要做出風(fēng)險處置決策。風(fēng)險處置的可能選項包括：a)采用適當?shù)目刂苼斫档惋L(fēng)險；b)明知并客觀地接受風(fēng)險，前提是這些風(fēng)險明確地符合組織的風(fēng)險接受策略和準則；c)通過不允許可能導(dǎo)致風(fēng)險發(fā)生的行為來規(guī)避風(fēng)險；d)與其他方共擔(dān)相關(guān)風(fēng)險，例如，保險公司或供應(yīng)商。對于那些已決定采用適當控制來處置的風(fēng)險，宜選擇和實施這些控制。4.5.5選擇和實施控制一旦識別了信息安全需求(見4.5.2),確定和評估了所識別信息資產(chǎn)的信息安全風(fēng)險(見4.5.3),并做出了處置信息安全風(fēng)險的決定，則選擇和實施風(fēng)險降低的控制。控制宜確保將風(fēng)險降低至可接受的程度，同時考慮到以下因素。a)國家和國際法律法規(guī)的要求和約束。b)組織目標。c)運行要求和約束。d)風(fēng)險降低相關(guān)的實施和運行成本，并保持與組織要求和約束相稱。e)監(jiān)視、評價和改進信息安全控制的效果和效率以支持組織目的的目標?？刂频倪x擇和實施宜記錄在適用性聲明中，以協(xié)助合規(guī)要求。f)控制的實施和運行投入與信息安全事件可能導(dǎo)致的損失之間平衡的需要。ISO/IEC27002:2022中的控制是公認的適用于大多數(shù)組織的最佳實踐，并易于調(diào)整以適應(yīng)各種規(guī)模和復(fù)雜性的組織。ISMS標準族中的其他標準為選擇和應(yīng)用ISMS的ISO/IEC27002:2022控制提供了指導(dǎo)。宜在系統(tǒng)和項目需求規(guī)范和設(shè)計階段考慮信息安全控制。如果不這樣做，可能會導(dǎo)致額外的成本和低效的解決方案，并且在最壞的情況下，無法實現(xiàn)足夠的安全性?？刂瓶蓮腎SO/IEC27002:2022或其他控制集中選擇?；蛘?，能設(shè)計新的控制，以滿足組織的特定需要。有必要認識到，某些控制可能不適用于每個信息系統(tǒng)或環(huán)境，也不適用于所有組織。有時，實施所選擇的一組控制需要時間，在此期間，風(fēng)險程度可能高于長期所能容忍的程度。風(fēng)險準則宜涵蓋控制實施期間短期風(fēng)險的可承受性。隨著控制的逐步實施，宜將在不同時間點估算或預(yù)計的風(fēng)險程度告知利益相關(guān)方。宜記住，沒有一套控制能實現(xiàn)完全的信息安全。宜實施額外的管理行動來監(jiān)視、評價和改進信息安全控制的效果和效率，以支持組織目的。控制的選擇和實施宜記錄在適用性聲明中，以協(xié)助合規(guī)要求。組織需要根據(jù)其策略和目標監(jiān)視和評估ISMS的執(zhí)行情況，并將結(jié)果報告給管理層評審，從而保持和改進ISMS。這種ISMS評審檢查ISMS是否包括適用于處置ISMS范圍內(nèi)風(fēng)險的特定控制。此外，根據(jù)所監(jiān)視區(qū)域的記錄，提供對糾正、預(yù)防和改進措施進行驗證和追溯的證據(jù)。ISMS持續(xù)改進的目的是提高實現(xiàn)信息保密性、可用性和完整性目標的可能性。持續(xù)改進的重點是尋找改進的機會，而不是假設(shè)現(xiàn)有的管理活動已經(jīng)足夠好或盡可能好了。改進措施包括：a)分析和評價現(xiàn)狀，以識別改進的地方；b)制定改進的目標；c)尋找實現(xiàn)目標的可能解決方案；d)評價這些解決方案并做出選擇；e)實施選定的解決方案；f)測量、驗證、分析和評價實施結(jié)果，以確定目標已實現(xiàn)；g)正式確認改進。必要時，對結(jié)果進行評審，以確定進一步的改進機會。因此，改進是一個持續(xù)活動，即經(jīng)常重復(fù)行動。客戶和其他利益相關(guān)方的反饋、信息安全管理體系的審核和評審也能用于識別改進機會。許多因素對于ISMS的成功實施至關(guān)重要，以使組織能實現(xiàn)其業(yè)務(wù)目標。關(guān)鍵成功因素的例子包括：a)信息安全策略和目標，以及與目標一致的活動；b)設(shè)計、實施、監(jiān)視、保持和改進符合組織文化的信息安全的方法與框架；c)各級管理層，特別是最高管理層的可見支持和承諾；d)對應(yīng)用信息安全風(fēng)險管理(見ISO/IEC27005實現(xiàn)的信息資產(chǎn)保護要求的理解);e)有效的信息安全意識、培訓(xùn)和教育計劃，告知所有員工和其他相關(guān)方信息安全策略、標準等中規(guī)定的信息安全義務(wù)，并激勵他們采取相應(yīng)的行動；f)有效的信息安全事件管理過程；g)有效的業(yè)務(wù)持續(xù)性管理方法；h)用于評價信息安全管理績效和反饋改進建議的度量系統(tǒng)。ISMS提高了組織持續(xù)實現(xiàn)其信息資產(chǎn)所需關(guān)鍵成功因素的可能性。4.7ISMS標準族的益處實施ISMS的益處主要來自降低信息安全風(fēng)險(即降低信息安全事件發(fā)生的可能性和/或造成的影響)。具體而言，通過采用ISMS標準族，組織實現(xiàn)可持續(xù)成功的益處包括：a)以結(jié)構(gòu)化框架支持規(guī)范、實施、的ISMS,以滿足組織跨不同運行和場所的需要；b)在企業(yè)風(fēng)險管理和治理的語境下，協(xié)助管理層以負責(zé)任的方式持續(xù)管理和運用其信息安全管理方法，包括就信息安全的整體管理對業(yè)務(wù)和系統(tǒng)所有者進行教育和培訓(xùn)；c)以非指定的方式促進全球公認的良好信息安全實踐，使組織有自由采納和改進適合其具體環(huán)境的相關(guān)控制，并在面對內(nèi)部和外部變化時保持這些控制；d)提供信息安全的共同語言和概念基礎(chǔ)，使其更容易信任具有符合ISMS的業(yè)務(wù)伙伴，特別是如果他們需要由一個被認可的認證機構(gòu)根據(jù)ISO/IEC27001:2022進行認證；e)增加利益相關(guān)方對組織的信任；f)滿足社會的需要和期望；g)對信息安全投資進行更有效的經(jīng)濟管理。5信息安全管理體系標準族5.1一般信息信息安全管理體系(ISMS)標準族由已發(fā)布或制定中的相互關(guān)聯(lián)的標準組成，并包含許多重要的結(jié)構(gòu)組件。這些組件的重點是規(guī)定如下要求的標準：——ISMS的要求(ISO/IEC27001:2022);——對進行ISO/IEC27001符合性認證的認證機構(gòu)的要求(ISO/IEC27006);——對具體行業(yè)ISMS實施的附加要求框架(ISO/IEC27009)。其他文件為ISMS實施的各個方面提供指導(dǎo)，包括通用過程以及具體行業(yè)指導(dǎo)。ISMS標準族中各標準之間的關(guān)系如圖1所示。ISMS標準族要求標準指南標準具體行業(yè)指南標準ISO/IEC27011具體控制指南標準(本文件范圍之外)圖1ISMS標準族關(guān)系以下對ISMS標準族的每個標準按其在ISMS標準族中的類型(或角色)及其編號進行說明。5.2概述和術(shù)語標準：ISO/IEC27000(GB/T29246)信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(信息安全技術(shù)信息安全管理體系概述和詞匯)范圍：該文件為組織和個人提供了：a)ISMS標準族的概述；b)信息安全管理體系的介紹；c)ISMS標準族中使用的術(shù)語和定義。目的：該文件描述信息安全管理體系的基礎(chǔ)，構(gòu)成ISMS標準族的主題，并定義相關(guān)術(shù)語。5.3要求標準信息安全、網(wǎng)絡(luò)空間安全和隱私保護信息安全管理體系要求范圍：該文件規(guī)定了在組織環(huán)境下建立、實施、維護和持續(xù)改進信息安全管理體系的要求。該文件還包括了根據(jù)組織需求所剪裁的信息安全風(fēng)險評估和處置的要求。該文件規(guī)定的要求是通用的，適用于各種類型、規(guī)?；蛐再|(zhì)的組織。目的：ISO/IEC27001:2022為ISMS的開發(fā)和運行提供規(guī)范性要求，包括一套控制，用于控制和降低與組織試圖通過運行其ISMS來保護的信息資產(chǎn)相關(guān)的風(fēng)險。組織可對其運行的ISMS的符合性進行審核和認證。作為ISMS過程的一部分，從ISO/IEC27001:2022的附錄A中選擇適合的控制目標和控制，以涵蓋已識別的需求。ISO/IEC27001:2022的表A.1中列出的控制直接源自ISO/IEC27002:2022,并信息技術(shù)安全技術(shù)信息安全管理體系審核認證機構(gòu)的要求范圍：除了ISO/IEC17021中包含的要求外，該文件還為依據(jù)ISO/IEC27001:2022提供審核和ISMS認證的機構(gòu)規(guī)定了要求，并提供了指南。其主要目的是對依據(jù)ISO/IEC27001:2022提供ISMS認證的認證機構(gòu)進行認可提供支持。該文件中包含的要求需要由提供ISMS認證的任何機構(gòu)在勝任力和可靠性方面進行證明，該文件中包含的指南為提供ISMS認證的任何機構(gòu)提供了這些要求的附加解釋。對認證機構(gòu)的認可要求，從而允許這些機構(gòu)依據(jù)ISO/IEC27001:2022中規(guī)定的要求提供一致的合規(guī)認證。信息安全、網(wǎng)絡(luò)空間安全和隱私保護ISO/IEC27001具體行業(yè)應(yīng)用GB/T22080具體行業(yè)應(yīng)用要求)范圍：該文件規(guī)定了具體行業(yè)標準的要求，這些標準擴展了ISO/IECISO/IEC27002:2022,以支持具體行業(yè)(領(lǐng)域、應(yīng)用領(lǐng)域或市場)。要求(信息技術(shù)安全技術(shù)27001:2022,并補充或修訂了該文件解釋如何：——包括除ISO/IEC27001:2022中的要求外的其他要求；——細化或解釋ISO/IEC27001:2022的任何要求；——包括除ISO/IEC27001:2022的附錄A和ISO/IEC27002:2022的控制外的其他控制；——修改ISO/IEC27001:2022的附錄A和ISO——增加或修改ISO/IEC27002:2022的指導(dǎo)。目的：ISO/IEC27009確保附加或細化的要求不與ISO/IEC27001:2022中的要求沖突。5.4一般指南標準指南)信息安全控制(信息技術(shù)安全技術(shù)信息安全控制實踐范圍：該文件提供了一套通用信息安全控制的參考集，包括實施指南。該文件旨在供以下情景下的組織使用：a)基于ISO/IEC27001:2022實施信息安全管理系統(tǒng)(ISMS);b)基于國際公認的最佳實踐實施信息安全控制；c)制定特定于組織的信息安全管理指南。提供關(guān)于信息安全控制實施的指南，其中，第5章～第8章為支持ISO/IEC27001:2022的表A.1中列出的控制提供實施指南。信息技術(shù)安全技術(shù)信息安全管理體系指南(信息技術(shù)安全技術(shù)信息安全管理體系實施指南)范圍：該文件提供了ISO/IEC27001:2022的解釋和指南。目的：ISO/IEC27003為依照ISO/IEC27001:2022成功實施ISMS提供背景資料。信息技術(shù)安全技術(shù)信息安全管理監(jiān)視、測量、分析和評價(信息技術(shù)安全技術(shù)信息安全管理測量)范圍：該文件提供了旨在幫助組織評價信息安全性能和ISMS有效性的指南，以滿足ISO/IEC27001:2022中9.1的要求。它解決：a)信息安全性能的監(jiān)視和測量；b)信息安全管理體系(ISMS)有效性的監(jiān)視和測量，包括其過程和控制；c)監(jiān)視和測量結(jié)果的分析和評價。目的：ISO/IEC27004提供一個能依據(jù)ISO/IEC27001:2022對ISMS有效性進行測量的框架?！獫M足ISO/IEC27001:2022關(guān)于應(yīng)對信息安全風(fēng)險的行動的要求；——執(zhí)行信息安全風(fēng)險管理活動，特別是信息安全風(fēng)險評估和處置。就實施面向過程的風(fēng)險管理方法提供指導(dǎo)，以幫助圓滿實施和滿足ISO/IEC27001:2022的信息安全風(fēng)險管理要求。信息安全、網(wǎng)絡(luò)空間安全和隱私保護信息安全管理體系審核指南(信息技術(shù)安全技術(shù)信息安全管理體系審核指南)范圍：除了ISO19011:2018中包含的適用于一般管理體系的指南外，該文件還提供了進行ISMS審核的指南，以及信息安全管理體系審核員勝任力的指南。目的：ISO/IEC27007為需要依據(jù)ISO/IEC27001:2022規(guī)定的要求對ISMS進行內(nèi)部或外部審核或管理ISMS審核方案的組織提供指導(dǎo)。信息技術(shù)安全技術(shù)信息安全控制評估指南(信息技術(shù)安全技術(shù)信息安全控制措施審核員指南)范圍：該文件為評審和評估信息安全控制的實施和運行提供了指南，包括信息系統(tǒng)控制的技術(shù)評估，與組織制定的信息安全要求的符合性，包括符合基于組織制定的信息安全要求的評估準則的技術(shù)合目的：該文件指導(dǎo)如何評審和評估信息安全控制，這些控制是通過ISO/IEC全管理體系來管理的。27001:2022的信息安信息安全、網(wǎng)絡(luò)空間安全和隱私保護ISO/IEC27001和ISO/IEC20000-1綜合實施指南范圍：該文件為打算以如下其中一種方式綜合實施ISO/IEC27001:2022和ISO/IEC20000-1的組織提供了指南：a)當ISO/IEC20000-1已經(jīng)實施時實施ISO/IEC27001:2022,或者反之；b)同時實施ISO/IEC27001:2022和ISO/IEC20000-1;c)整合現(xiàn)有的ISO/IEC27001:2022和ISO/IEC20000-1管理體系。該文件專門關(guān)注綜合實施ISO/IEC27001:2022中規(guī)定的信息安全管理體系(ISMS)和ISO/IEC20000-1目的：為組織更好地理解ISO/IEC27001:2022和ISO/IEC20000-1的特征和異同提供幫助，有助于規(guī)劃同時符合這兩個標準的綜合管理體系。范圍：該文件提供了信息安全治理概念、目標和過程的指南，組織依此能在其內(nèi)部對信息安全相關(guān)目的：信息安全已成為組織的關(guān)鍵問題。不僅法律法規(guī)要求日益增加，而且組織的信息安全措施失效也會直接影響其聲譽。因此，作為其治理責(zé)任的一部分，越來越多地要求治理層對信息安全進行監(jiān)信息技術(shù)安全技術(shù)信息安全管理組織經(jīng)濟學(xué)該文件提供了一種方法學(xué)，使組織能更好地從經(jīng)濟角度理解如何更準確地評價其所識別的信息資產(chǎn)，評估這些信息資產(chǎn)面臨的潛在風(fēng)險，評估為這些信息資產(chǎn)所采取的信息保護控制帶來的價值，并確定用于保護這些信息資產(chǎn)的最佳資源級別。目的：在組織運營處于更為廣泛社會環(huán)境的語境下，該文件對組織的信息資產(chǎn)保護增加經(jīng)濟學(xué)的視角，并通過使用模型和示例，為如何應(yīng)用信息安全組織經(jīng)濟學(xué)提供指導(dǎo)，以補充ISMS標準族。信息技術(shù)安全技術(shù)信息安全管理體系專業(yè)人員勝任力要求范圍：該文件規(guī)定了對領(lǐng)導(dǎo)或參與建立、實施、保持和持續(xù)改進一個或多個符合ISO/IEC27001:2022的信息安全管理體系過程的ISMS專業(yè)人員的勝任力要求。目的：該文件旨在供以下人員使用：a)希望證明其作為信息安全管理體系(ISMS)專業(yè)人員的勝任力，或希望了解并完成該領(lǐng)域工作所需的勝任力，以及希望擴大其知識面的個人。b)尋找潛在ISMS專業(yè)候選人的組織，以確定ISMS相關(guān)職位所需的勝任力；c)需要一個知識體系(BOK)作為考試來源，來開發(fā)ISMS專業(yè)人員認證的機構(gòu)；d)教育和培訓(xùn)組織，如大學(xué)和職業(yè)院校，使其教學(xué)大綱和課程符合ISMS專業(yè)人員的勝任力要求。5.5具體行業(yè)指南標準信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理范圍：除了ISMS標準族中給出的指南外，該文件還提供了在信息共享群組中實施信息安全管理的指南。該文件提供了與發(fā)起、實施、保持和改進組織間和行業(yè)間通信中的信息安全相關(guān)的控制和指導(dǎo)。目的：該文件適用于敏感信息的所有形式的交換與共享，不論是公共的還是私人的、國家的還是國際的、同一行業(yè)或市場的還是行業(yè)間的。特別是，它能適用于與提供、保持和保護組織或國家關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的信息交換與共享。信息技術(shù)安全技術(shù)基于ISO/IEC27002的電信組織信息安全控制實踐指南范圍：該文件提供了支持電信組織實施信息安全控制的指南。目的：ISO/IEC27011使電信組織能滿足保密性、完整性、可用性和任何其他相關(guān)安全屬性的信息安全管理基線要求。信息技術(shù)安全技術(shù)基于ISO/IEC27002的云服務(wù)信息安全控制實踐指南范圍：ISO/IEC27017通過如下指導(dǎo)提供了適用于云服務(wù)供給和使用的信息安全控制指南：——ISO/IEC27002:2022中提供的相關(guān)控制的附加實施指導(dǎo)；——具體與云服務(wù)相關(guān)的附加控制及其實施指導(dǎo)。目的：該文件為云服務(wù)提供者和云服務(wù)客戶提供控制和實施指導(dǎo)。信息技術(shù)安全技術(shù)個人可識別信息(PI)處理者在公有云中保護PI的實踐指南(信息技術(shù)安全技術(shù)公有云中個人信息保護實踐指南)范圍：ISO/IEC27018遵循ISO/IEC29100中對公有云計算環(huán)境的隱私保護原則，為實施保護個人可識別信息(PII)的措施制定了公認的控制目標、控制和指南。目的：該文件適用于作為PII處理者，通過簽約的云計算向其他組織提供信息處理服務(wù)的組織，包括公共和私營企業(yè)、政府機構(gòu)和非營利組織。該文件中的指南也可能與作為PII控制者的組織相關(guān)。但是，PII控制者可能受不適用于PII處理者的其他PII保護法律法規(guī)、規(guī)章制度和義務(wù)的約束，這些不包括在該文件中。信息技術(shù)安全技術(shù)能源公用事業(yè)信息安全控制范圍：該文件提供了基于ISO/IEC27002:2022,適用于能源公用事業(yè)使用的過程控制系統(tǒng)的指南，用于控制和監(jiān)測電力、燃氣、石油和熱能的生產(chǎn)或發(fā)電、傳輸、儲存和分配，以及相關(guān)支持過程的控制。尤其包括以下內(nèi)容：——集中式和分布式過程控制、監(jiān)視和自動化技術(shù)以及用于其運行的信息系統(tǒng)，如編程和參數(shù)化設(shè)備；——數(shù)字控制器和自動化組件，如控制和現(xiàn)場設(shè)備或可編程邏輯控制器(PLC),包括數(shù)字傳感器和執(zhí)行器組件；——過程控制領(lǐng)域中使用的所有進一步支持的信息系統(tǒng)，例如，用于輔助數(shù)據(jù)可視化任務(wù)，用于控——用于過程控制領(lǐng)域的通信技術(shù)，例如，網(wǎng)絡(luò)、遙測、遠程控制應(yīng)用和遠程控制技術(shù)；——高級計量基礎(chǔ)設(shè)施(AMI)組件，例如，智能電表；——能源管理系統(tǒng)，例如，分布式能源(DER)、私人家庭、住宅建筑或工業(yè)客戶裝置中的充電基礎(chǔ)設(shè)施； 智能電網(wǎng)環(huán)境的分布式組件，例如，在能源網(wǎng)、私人家庭、住宅建筑或工業(yè)客戶裝置中的——安裝在上述系統(tǒng)上的所有軟件、固件和應(yīng)用程序，例如，DMS(配電管理系統(tǒng))應(yīng)用程序或OMS(停電管理系統(tǒng));——容納上述設(shè)備和系統(tǒng)的任何場所；——上述系統(tǒng)的遠程維護系統(tǒng)。該文件不適用于核設(shè)施的過程控制領(lǐng)域。IEC62645涵蓋了該領(lǐng)域。該文件還包括使ISO/IEC27001:2022中所述的風(fēng)險評估和處置過程適應(yīng)該文件提供的能源公用事業(yè)特定指南的要求。目的：除了ISO/IEC27002:2022中給出的安全目標和措施外，該文件還為能源公用事業(yè)和能源提供者使用的系統(tǒng)提供了滿足進一步特殊要求的信息安全控制指南。健康信息學(xué)使用ISO/IEC27002的健康信息安全管理范圍：該文件給出了組織信息安全標準和信息安全管理實踐的指南，包括控制的選擇、實施和管理，同時考慮到組織的信息安全風(fēng)險環(huán)境。該文件為ISO/IEC27002:2022中描述的控制提供了實施指導(dǎo)，并在必要時對其進行了補充，以便能有效地用于管理健康信息安全。為健康組織提供適用于其行業(yè)的ISO/IEC27002:2022指南，是對指導(dǎo)滿足ISO/IEC27001:2022的附錄A要求的補充。GB/T29246—2023/ISO/IEC27000:2018GB/TGB/TGB/TGB/TGB/TGB/TGB/ZGB/T220802506728450信息技術(shù)信息技術(shù)信息技術(shù)信息技術(shù)信息技術(shù)信息技術(shù)信息技術(shù)信息技術(shù)安全技術(shù)安全技術(shù)安全技術(shù)安全技術(shù)安全技術(shù)安全技術(shù)安全技術(shù)安全技術(shù)信息安全管理體系要求信息安全控制實踐指南信息安全管理體系審核和認證機構(gòu)要求信息安全管理體系審核指南信息安全管理體系指南信息安全管理測量信息安全風(fēng)險管理信息安全控制措施審核員指南信息安全技術(shù)行業(yè)間和組織間通信的信息安全管理GB/TGB/T信息技術(shù)信息技術(shù)安全技術(shù)安全技術(shù)信息安全治理GB.T22080具體行業(yè)應(yīng)用要求[12]GB/T41574信息技術(shù)安全技術(shù)公有云中個人信息保護實踐指南[13]ISO9000:2015Qualitymanagementsystems—Fundamentalsandvocabulary[15]ISOGuide73:2009Riskmanagement—Vocabulary[16]ISO/IEC17021Conformityassessment—Requirementsforbodiesprovidingauditandcertificationofmanagementsystems[17]ISO19011:2018Guidelinesforauditingmanagementsystems[18]ISO/IEC20000-1:2011Informationtechnology—Servicemanagement—Part1:Serv-icemanagementsystemrequirementsmationsecuritymanagementsystems—Requirements[20]ISO/IEC27002:2022Informationsecurity,cybersecurityandprivacyprotection—Infor-mationsecuritycontrols[21]ISO/IEC27003Informationtechnology—Securitytechniques—Informationsecuritymanage-ment—Guidance[22]ISO/IEC27004Informationtechnology—Securitytechniques—Informationsecuritymanage-ment—Monitoring,measurement,analysisandevaluation[23]ISO/IEC27005Informationsecurity,cybersecurityandprivacyprotection—Guidanceonmanaginginformationsecurityrisks[24]ISO/IEC27006Informationtechnology—Securitytechniques—Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems[25]ISO/IEC27007Informationsecurity,cybersecurityandprivacyprotection—Guidelinesforinformationsecuritymanagementsystemsauditingsessmentofinformationsecuritycontrols[27]ISO/IEC27009Informationsecurity,cybersecurityandprivacyprotection—Sector-specificap-plicationofISO/IEC27001—Requirements[28]ISO/IEC27010Informationtechnology—Securitytechniques—Informationsecuritymanage-mentforinter-sectorandinter-organizationalcommunicationsmationsecuritycontrolsbasedonISO/IEC27002fortelecommunicationsorganizations[30]ISO/IEC27013Informationsecurity,cybersecurityandprivacyprotection—GuidanceontheintegratedimplementationofISO/IEC27001andISO/IEC20000-1[31]ISO/IEC27014Informationsecurity,cybersecurityandprivacyprotection—Governanceofinformationsecurity[32]ISO/IECTR27016Informationtechnology—Securitytechniques—Informationsecuri-tymanagement—Organizationaleconomics[33]ISO/IEC27017Informationtechnology—Securitytechniques—CodeofpracticeforinformationsecuritycontrolsbasedonISO/IEC27002forcloudservices[34]ISO/IEC27018Informationtechnology—Securitytechniques—Codeofpracticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPIIprocessors[35]ISO/IEC27019Informtrolsfortheenergyutilityindustry[36]ISO/IEC27021Informationtechnology—Securitytechniques—Competencerequirementsforinformationsecuritymanagementsystemsprofessionals[37]ISO/IEC/IEEE15939:2017Systemsandsoftwareengineering—Measurementprocess漢語拼音索引A安全實施標準……3.73B保密性……………3.10不符合性…………3.47C殘余風(fēng)險…………3.57測度………………3.42測量………………3.43測量方法…………3.45測量函數(shù)…………3.44策略………………3.53持續(xù)改進…………3.13脆弱性……………3.77D導(dǎo)出測度…………3.18F訪問控制……………3.1風(fēng)險………………3.61風(fēng)險處置…………3.72風(fēng)險分析…………3.63風(fēng)險溝通與咨詢…………………3.65風(fēng)險管理…………3.69風(fēng)險管理過程……3.70風(fēng)險級別…………3.39風(fēng)險接受…………3.62風(fēng)險評估…………3.64風(fēng)險評價…………3.67風(fēng)險識別…………3.68風(fēng)險準則…………3.66風(fēng)險責(zé)任者………3.71符合性……………3.11G攻擊…………………3.2管理體系…………3.41過程………………3.54H后果………………3.12J基本測度……………3.8監(jiān)視…………………3.46鑒別…………………3.5糾正………………3.16K抗抵賴性…………3.48可靠性……………3.55可能性……………3.40可信信息通信實體………………3.76可用性………………3.7控制………………3.14控制目標…………3.15L利益相關(guān)方………3.37M目標………………3.49N內(nèi)部語境…………3.38P評審………………3.58評審對象…………3.59評審目標…………3.60S審核…………………3.3審核范圍……………3.4勝任力………………3.9事態(tài)…………………3.21W外包………………3.51外部語境…………3.22完整性……………3.36威脅………………3.74文檔化信息………3.19X信息安全…………3.28信息安全持續(xù)性…………………3.29信息安全管理體系(ISMS)專業(yè)人員…………3.33信息安全事件……3.31信息安全事件管理………………3.32信息安全事態(tài)……3.30信息安全治理……3.23信息處理設(shè)施……3.27信息共享群組……3.34信息系統(tǒng)…………3.35信息需要…………3.26性能………………3.52Y要求………………3.56有效性……………3.20Z真實性………………3.6整改措施…………3.17指標………………3.25治理層……………3.24組織………………3.50最高管理層………3.75英文對應(yīng)詞索引Aaccesscontrol…………………………3.1attack…………………3.2audit……………………3.3auditscope……………………………3.4authentication…………………………3.5authenticity……………………………3.6availability……………………………3.7Bbasemeasure……………………………3.8Ccompetence……………………………3.9confidentiality………………………3.10conformity……………………………3.11consequence…………………………3.12continualimprovement………………3.13control…………………3.14controlobjective……………………3.15correction……………………………3.16correctiveaction……………………3.17GB/T29246—2023/ISO/IEC27000:2018Dderivedmeasure……………Eeffectiveness……………3.20event……………………3.21externalcontext…………………………3.22Ggoverningbody…………………………3.24Iindicator………………3.25informationneed………………