GB∕ T 29246-2023 信息安全技術(shù) 信息安全管理體系 概述和詞匯（正式版）

GB/T29246—2023/ISO/IEC2代替GB/T29246—2017信息安全技術(shù)信息安全管理體系國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會ⅡGB/T29246—2023/ISO/IEC27000:2018 I 12規(guī)范性引用文件 13術(shù)語和定義 4信息安全管理體系(ISMS) 94.1概要 9 4.3過程方法 4.4ISMS重要性 4.6ISMS關(guān)鍵成功因素 4.7ISMS標(biāo)準(zhǔn)族的益處 5信息安全管理體系標(biāo)準(zhǔn)族 5.1一般信息 5.3要求標(biāo)準(zhǔn) 5.4一般指南標(biāo)準(zhǔn) 5.5具體行業(yè)指南標(biāo)準(zhǔn) I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T29246—2017《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》,與2017年版的第3章);b)合并了定義相同的術(shù)語“受益相關(guān)方”(見2017年版的2.41)和“利益相關(guān)方”(見2017年版的c)增加了對ISO/IEC27009的說明(見5.3.3);d)增加了對ISO/IEC27021的說明(見5.4.10);e)更新了對信息安全管理體系標(biāo)準(zhǔn)族中一些標(biāo)準(zhǔn)的說明(見第5章，2017年版的第4章)。本文件等同采用ISO/IEC27000:2018《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本文件及其所代替文件的歷次版本發(fā)布情況為：——2012年首次發(fā)布為GB/T29246—2012;——2017年第一次修訂；——本次為第二次修訂。1信息安全技術(shù)信息安全管理體系概述和詞匯本文件中提供的術(shù)語和定義： ——不限制ISMS標(biāo)準(zhǔn)族定義新的使用術(shù)語。注1:審核可能是內(nèi)部審核(第一方)或外部審核(第二方或第三方),也可能是聯(lián)合審核(結(jié)合兩個或更多管理確保實(shí)體所聲稱其特征是正確的一種措施。2GB/T29246—2023/ISO/IEC27000:20183.6一個實(shí)體是其所聲稱實(shí)體的性質(zhì)。3.73.8注：基本測度在功能上獨(dú)立于其他測度。3.93.103.113.12注1:一個事態(tài)(3.21)可能導(dǎo)致一系列后果。注2:一個后果可能是確定的或不確定的，在信息安全(3.28)的語境下通常是負(fù)面的。注3:后果可能定性或定量表示。注4:初始后果可能通過連鎖效應(yīng)升級。3.133.14注2:控制可能并不總是發(fā)揮出預(yù)期或假定的改變效果。3.153.163GB/T29246—2023/ISO/IEC27000:20183.173.183.19注1:文檔化信息可能采用任何格式，存于任何媒體中和出自任何來源。注2:文檔化信息可能涉及 為組織(3.50)運(yùn)營而創(chuàng)建的信息(文檔);——取得結(jié)果的證據(jù)(記錄)。有效性effectiveness實(shí)現(xiàn)所計(jì)劃活動和達(dá)成所計(jì)劃結(jié)果的程度。3.21事態(tài)event一組特殊情況的發(fā)生或改變。注2:一個事態(tài)可能由未發(fā)生的事情組成。3.22——影響組織(3.50)目標(biāo)(3.49)的關(guān)鍵驅(qū)動力和趨勢；--—與外部利益相關(guān)方(3.37)的關(guān)系及其認(rèn)知和價(jià)值觀。3.233.243.25提供估算或評價(jià)的測度(3.42)。4GB/T29246—2023/ISO/IEC27000:20183.263.27信息處理設(shè)施informationprocessingfacilities3.283.293.30識別到的一種系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)的發(fā)生，表明可能違反信息安全(3.28)策略(3.53)或控制3.31單個或一系列不希望或意外的、極有可能危及業(yè)務(wù)運(yùn)營并威脅信息安全(3.28)的信息安全事態(tài)3.323.333.343.353.363.373.38組織(3.50)尋求實(shí)現(xiàn)其目標(biāo)的內(nèi)部環(huán)境。5GB/T29246—2023/ISO/IEC27000:2018注：內(nèi)部語境可能包括如下方面： 在資源和知識(如資本、時(shí)間、人員、過程(3.54)、系統(tǒng)和技 與內(nèi)部利益相關(guān)方(3.37)的關(guān)系及其認(rèn)知和價(jià)值觀；——組織(3.50)的文化； 合同關(guān)系的形式和范圍。3.39風(fēng)險(xiǎn)級別levelofrisk3.40可能性likelihood某事發(fā)生的機(jī)會。[來源：ISOGuide73:2009,3.6.1.1,有修改：刪除注1和注2]3.41組織(3.50)中相互關(guān)聯(lián)或相互作用，用來建立策略(3.53)和目標(biāo)(3.49)以及實(shí)現(xiàn)這些目標(biāo)過程注1:管理體系可能專注于單一學(xué)科或多個學(xué)科。注3:管理體系范圍可能包括組織(3.50)的整體、組織的具體且確定的功能或部門，或者跨組織群的一項(xiàng)或多項(xiàng)3.423.433.443.45注：測量方法的類型取決于屬性量化操作的性質(zhì)?？赡軈^(qū)分為以下兩種類型： 6證明所聲稱事態(tài)(3.21)或行動的發(fā)生及其起源實(shí)注1:目標(biāo)可能是戰(zhàn)略性的、戰(zhàn)術(shù)性的或操作性的。注2:目標(biāo)可能涉及不同學(xué)科(諸如金融、健康與安全以及環(huán)境目標(biāo)),可能適用于不同層次(諸如戰(zhàn)略、組織、項(xiàng)目、實(shí)現(xiàn)特定結(jié)果。一種可測量的屬性。注1:性能可能與定量或定性的調(diào)查發(fā)現(xiàn)相關(guān)。注：總策略一般稱為方針。對于包括總策略的策略集稱為方針策略。將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相關(guān)作用的活動集合。與預(yù)期行為和結(jié)果一致的性質(zhì)。7GB/T29246—2023/ISO/IEC27000:20183.56注1:“通常隱含的”意指所考慮的需要或期望是不言而喻的，對于組織(3.50)或利益相關(guān)方(3.37)是慣例或常見做法。注2:規(guī)定的要求是明示的，例如在文檔化信息(3.19)中明示。3.57注1:殘余風(fēng)險(xiǎn)可能包含未識別的風(fēng)險(xiǎn)(3.61)。3.583.59被評審的特定事項(xiàng)。3.603.61注1:影響是指與期望的偏離(正向的或反向的)。注4:風(fēng)險(xiǎn)常被表示為事態(tài)(3.21)(包括情況改變)的后果(3.12)和其發(fā)生“可能性”(3.40)的組合。注5:在信息安全(3.28)管理體系(3.41)的語境下，信息安全風(fēng)險(xiǎn)能被表示為對信息安全目標(biāo)(3.49)的不確定性注6:信息安全(3.28)風(fēng)險(xiǎn)與威脅(3.74)利用信息資產(chǎn)或信息資產(chǎn)組的脆弱性(3.77)對組織(3.50)造成傷害的潛力相關(guān)。3.62注1:風(fēng)險(xiǎn)接受可能是在不經(jīng)風(fēng)險(xiǎn)處置(3.72)或風(fēng)險(xiǎn)處置過程(3.54)中做出。注2:接受的風(fēng)險(xiǎn)(3.61)處于監(jiān)視(3.46)和評審(3.58)中。3.63風(fēng)險(xiǎn)分析riskanalysis注1:風(fēng)險(xiǎn)分析為風(fēng)險(xiǎn)評價(jià)(3.67)和風(fēng)險(xiǎn)處置(3.72)決策提供基礎(chǔ)。注2:風(fēng)險(xiǎn)分析包括風(fēng)險(xiǎn)估算。8GB/T29246—2023/ISO/IEC27000:20183.643.65注2:咨詢是對問題進(jìn)行決策或確定方向之前，在組織(3.50)和其利益相關(guān)方(3.37)之間進(jìn)行知情溝通的雙向過程——通過影響力而不是權(quán)力來影響決策的過程(3.54);3.66注1:風(fēng)險(xiǎn)準(zhǔn)則是基于組織的目標(biāo)以及外部語境(3.22)和內(nèi)部語境(3.38)。3.67注：風(fēng)險(xiǎn)評價(jià)有助于風(fēng)險(xiǎn)處置(3.72)的決策。3.68風(fēng)險(xiǎn)識別riskidentificati注1:風(fēng)險(xiǎn)識別涉及風(fēng)險(xiǎn)源、事態(tài)(3.21)及其原因和注2:風(fēng)險(xiǎn)識別可能涉及歷史數(shù)據(jù)、理論分析、知情者和專家的意見以及利益相關(guān)方(3.37)的需要。3.693.703.71具有責(zé)任和權(quán)力來管理風(fēng)險(xiǎn)(3.61)的個人或?qū)嶓w。9GB/T29246—2023/ISO/IEC27000:20183.72注1:風(fēng)險(xiǎn)處置可能涉及如下方面：——承擔(dān)或增加風(fēng)險(xiǎn)(3.61)以追求機(jī)會；——消除風(fēng)險(xiǎn)源；——改變可能性(3.40); 改變后果(3.12):——有根據(jù)地選擇保留風(fēng)險(xiǎn)。注3:風(fēng)險(xiǎn)處置可能產(chǎn)生新的風(fēng)險(xiǎn)(3.61)或改變現(xiàn)有風(fēng)險(xiǎn)。3.73規(guī)定授權(quán)的安全實(shí)現(xiàn)方式的文件。3.743.75注1:最高管理層有權(quán)在組織(3.50)內(nèi)授權(quán)和提供資源。注2:如果管理體系(3.41)的范圍僅涵蓋組織(3.50)的一部分，則最高管理層就是指指導(dǎo)和控制組織這一部分的個人或集體。注3:最高管理層有時(shí)稱為執(zhí)行管理層，可能包括首席執(zhí)行官、首席財(cái)務(wù)官、首席信息官和類似角色。3.764信息安全管理體系(ISMS)c)面對一系列可能影響資產(chǎn)運(yùn)作的風(fēng)險(xiǎn)；d)通過實(shí)施信息安全控制解決其感知到的因暴露帶來的風(fēng)險(xiǎn)。止喪失保密性、完整性和可用性。使已授權(quán)的需要者能及時(shí)獲得準(zhǔn)確、完整的信息，有助于促進(jìn)提升業(yè)其法律合規(guī)性和形象至關(guān)重要。這些指導(dǎo)實(shí)施適當(dāng)控制和處置不可接受的信息安全風(fēng)險(xiǎn)的協(xié)調(diào)活動通常被稱為信息安全管理的元素。a)監(jiān)視和評價(jià)已實(shí)施的控制和規(guī)程的有效性；b)識別待處置的新風(fēng)險(xiǎn)；管理體系有效地實(shí)現(xiàn)這些目標(biāo)。的系統(tǒng)方法。它是基于風(fēng)險(xiǎn)評估和組織的風(fēng)險(xiǎn)接受程度，為有效地處置和管理風(fēng)險(xiǎn)而設(shè)計(jì)的。分析信息資產(chǎn)保護(hù)的需求，并根據(jù)需要應(yīng)用適當(dāng)?shù)目刂苼砬袑?shí)保護(hù)這些信息資產(chǎn)，有助于ISMS的成功實(shí)施。下列基本原則也有助于ISMS的成功實(shí)施：a)認(rèn)識到信息安全的需要；b)分配信息安全的責(zé)任；c)整合管理者的承諾和利益相關(guān)方的利益；d)提升社會價(jià)值；f)將安全作為信息網(wǎng)絡(luò)和系統(tǒng)的基本元素；g)主動防范和發(fā)現(xiàn)信息安全事件；h)確保信息安全管理方法的全面性；i)持續(xù)對信息安全進(jìn)行再評估并酌情進(jìn)行修改。信息可能以多種形式存儲，包括：數(shù)字形式(如存儲在電子或光媒體上的數(shù)據(jù)文件)、物質(zhì)形式(如紙關(guān)的信息安全控制也是期望與組織業(yè)務(wù)過程無縫集成?？椫锌梢允怯稍S多人組成的管理層級。就ISMS而言，管理涉及通過保護(hù)組織的信息資產(chǎn)來實(shí)現(xiàn)業(yè)務(wù)目標(biāo)所需的監(jiān)督和決策。信息安全a)滿足客戶和其他利益相關(guān)方的信息安全需求；b)改進(jìn)組織的計(jì)劃和活動；c)滿足組織的信息安全目標(biāo)；組織需要識別和管理許多活動，以便既有效果又有效率地運(yùn)作。任何使用資源的活動需要被管能直接形成另一個過程的輸入，通常這種轉(zhuǎn)換是在計(jì)劃和受控的條件下進(jìn)行的。組織內(nèi)過程系統(tǒng)的應(yīng)需要解決與組織信息資產(chǎn)相關(guān)的風(fēng)險(xiǎn)。實(shí)現(xiàn)信息安全需要管理風(fēng)險(xiǎn)，包括與組織內(nèi)部或組織使用采用ISMS是期望其成為組織的一項(xiàng)戰(zhàn)略決策，并且該決策有必要根據(jù)組織的需要進(jìn)行無縫集成、ISMS對于公共和私營部門業(yè)務(wù)都很重要。在任何行業(yè)中，ISMS都使電子商務(wù)成為可能，對風(fēng)險(xiǎn)管理活動至關(guān)重要。公共和私營網(wǎng)絡(luò)的互聯(lián)以及信息資產(chǎn)的共享增加了信息訪問控制和處理的難度。此外，包含信息資產(chǎn)的移動存儲設(shè)備的分布可能削弱傳統(tǒng)控制的有效性。當(dāng)組織采用了ISMS標(biāo)準(zhǔn)全可能是無效的。將安全性集成到功能完備的信息系統(tǒng)中可能是困難和昂貴的。ISMS涉及確認(rèn)哪些d)有效地遵從法律法規(guī)。a)識別信息資產(chǎn)及其相關(guān)的信息安全需求(見4.5.2);b)評估信息安全風(fēng)險(xiǎn)(見4.5.3)和處置信息安全風(fēng)險(xiǎn)(見4.5.4);為確保ISMS持續(xù)有效地保護(hù)組織的信息資產(chǎn)，有必要不斷重復(fù)步驟a)至d),以識別風(fēng)險(xiǎn)或組織戰(zhàn)略或業(yè)務(wù)目標(biāo)的變化。在組織的總體戰(zhàn)略和業(yè)務(wù)目標(biāo)、規(guī)模和地理分布的范圍內(nèi)，能通過了解如下方面來識別信息安全a)已識別的信息資產(chǎn)及其價(jià)值；風(fēng)險(xiǎn)成為現(xiàn)實(shí)后感知到的業(yè)務(wù)影響相稱。管理信息安全需要一種適合的風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置方法，該方法可能包括對成本和收益、法律要風(fēng)險(xiǎn)評估宜根據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則和與組織相關(guān)的目標(biāo)來識別、量化并按重要性排列風(fēng)險(xiǎn)。評估結(jié)果宜指導(dǎo)和確定適當(dāng)?shù)墓芾硇袆蛹捌鋬?yōu)先級，以管理信息安全風(fēng)險(xiǎn)，并實(shí)施為防范這些風(fēng)險(xiǎn)而選擇的控制?！到y(tǒng)性估算風(fēng)險(xiǎn)大小的方法(風(fēng)險(xiǎn)分析);險(xiǎn)評價(jià)以及發(fā)生重大變化時(shí)的變化。這些風(fēng)險(xiǎn)評估宜以能夠產(chǎn)生可比較和可重現(xiàn)結(jié)果的有條不紊的方信息安全風(fēng)險(xiǎn)評估宜具有明確界定的范圍以保障其有效性，還宜包括與其他區(qū)域風(fēng)險(xiǎn)評估的關(guān)系風(fēng)險(xiǎn)監(jiān)視和風(fēng)險(xiǎn)評審的建議。風(fēng)險(xiǎn)評估方法的例子也包括在內(nèi)。a)采用適當(dāng)?shù)目刂苼斫档惋L(fēng)險(xiǎn)；c)通過不允許可能導(dǎo)致風(fēng)險(xiǎn)發(fā)生的行為來規(guī)避風(fēng)險(xiǎn)；一旦識別了信息安全需求(見4.5.2),確定和評估了所識別信息資產(chǎn)的信息安全風(fēng)險(xiǎn)(見4.5.3),并a)國家和國際法律法規(guī)的要求和約束。b)組織目標(biāo)。c)運(yùn)行要求和約束。e)監(jiān)視、評價(jià)和改進(jìn)信息安全控制的效果和效率以支持組織目的的目標(biāo)?？刂频倪x擇和實(shí)施宜f)控制的實(shí)施和運(yùn)行投入與信息安全事件可能導(dǎo)致的損失之間平衡的需要。模和復(fù)雜性的組織。ISMS標(biāo)準(zhǔn)族中的其他標(biāo)準(zhǔn)為選擇和應(yīng)用ISMS的ISO/IEC27002:2022控制提宜在系統(tǒng)和項(xiàng)目需求規(guī)范和設(shè)計(jì)階段考慮信息安全控制。如果不這樣做，可能會導(dǎo)致額外的成本準(zhǔn)則宜涵蓋控制實(shí)施期間短期風(fēng)險(xiǎn)的可承受性。隨著控制的逐步實(shí)施，宜將在不同時(shí)間點(diǎn)估算或預(yù)計(jì)的風(fēng)險(xiǎn)程度告知利益相關(guān)方。和改進(jìn)ISMS。這種ISMS評審檢查ISMS是否包括適用于處置ISMS范圍內(nèi)風(fēng)險(xiǎn)的特定控制。此ISMS持續(xù)改進(jìn)的目的是提高實(shí)現(xiàn)信息保密性、可用性和完整性目標(biāo)的可能性。持續(xù)改進(jìn)的重點(diǎn)改進(jìn)措施包括：c)尋找實(shí)現(xiàn)目標(biāo)的可能解決方案；d)評價(jià)這些解決方案并做出選擇；e)實(shí)施選定的解決方案；g)正式確認(rèn)改進(jìn)。4.6ISMS關(guān)鍵成功因素許多因素對于ISMS的成功實(shí)施至關(guān)重要，以使組織能實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)。關(guān)鍵成功因素的例子d)對應(yīng)用信息安全風(fēng)險(xiǎn)管理(見ISO/IEC27005實(shí)現(xiàn)的信息資產(chǎn)保護(hù)要求的理解);f)有效的信息安全事件管理過程；g)有效的業(yè)務(wù)持續(xù)性管理方法；h)用于評價(jià)信息安全管理績效和反饋改進(jìn)建議的度量系統(tǒng)。ISMS提高了組織持續(xù)實(shí)現(xiàn)其信息資產(chǎn)所需關(guān)鍵成功因素的可能性。實(shí)施ISMS的益處主要來自降低信息安全風(fēng)險(xiǎn)(即降低信息安全事件發(fā)生的可能性和/或造成的影b)在企業(yè)風(fēng)險(xiǎn)管理和治理的語境下，協(xié)助管理層以負(fù)責(zé)任的方式持續(xù)管理和運(yùn)用其信息安全管c)以非指定的方式促進(jìn)全球公認(rèn)的良好信息安全實(shí)踐，使組織有自由采納和改進(jìn)適合其具體環(huán)果他們需要由一個被認(rèn)可的認(rèn)證機(jī)構(gòu)根據(jù)ISO/IEC27001:2022進(jìn)行認(rèn)證；e)增加利益相關(guān)方對組織的信任；f)滿足社會的需要和期望；g)對信息安全投資進(jìn)行更有效的經(jīng)濟(jì)管理。5信息安全管理體系標(biāo)準(zhǔn)族信息安全管理體系(ISMS)標(biāo)準(zhǔn)族由已發(fā)布或制定中的相互關(guān)聯(lián)的標(biāo)準(zhǔn)組成，并包含許多重要的結(jié)構(gòu)組件。這些組件的重點(diǎn)是規(guī)定如下要求的標(biāo)準(zhǔn)：—-—ISMS的要求(ISO/IEC27001:2022);ISMS標(biāo)準(zhǔn)族中各標(biāo)準(zhǔn)之間的關(guān)系如圖1所示。詞匯標(biāo)準(zhǔn)ISO/IEC27000(GB/T29246)要求標(biāo)準(zhǔn)ISO/IEC27001ISO/IEC27006ISO/IEC27009ISO/IEC27002ISO/IEC27003(GB/T31496)ISO/IEC27004ISO/IEC27005ISO/IEC27007ISO/IECTS27008ISO/IEC27013ISO/IEC27014ISO/IECTR27016ISO/IEC27021ISO/IEC27010ISO/IEC27018(GB/T41574)ISO/IEC27011ISO/IEC27017ISO/IEC27019ISO27799(本文件范圍之外)ISO/IEC2704X注：對于已轉(zhuǎn)國家標(biāo)準(zhǔn)的國際標(biāo)準(zhǔn)編號，加括號標(biāo)出對應(yīng)的國家標(biāo)準(zhǔn)編號，具體發(fā)布年號詳見參考文獻(xiàn)。以下對ISMS標(biāo)準(zhǔn)族的每個標(biāo)準(zhǔn)按其在ISMS標(biāo)準(zhǔn)族中的類型(或角色)及其編號進(jìn)行說明。信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(信息安全技術(shù)信息安全管理體系概述和詞匯)b)信息安全管理體系的介紹；c)ISMS標(biāo)準(zhǔn)族中使用的術(shù)語和定義。5.3.1ISO/IEC27001(GB/T2208還包括了根據(jù)組織需求所剪裁的信息安全風(fēng)險(xiǎn)評估和處置的要求。該文件規(guī)定的要求是通用的，適用低與組織試圖通過運(yùn)行其ISMS來保護(hù)的信息資產(chǎn)相關(guān)的風(fēng)險(xiǎn)。組織可對其運(yùn)行的ISMS的符合性進(jìn)行審核和認(rèn)證。作為ISMS過程的一部分，從ISO/IEC27001:2022的附錄A中5.3.2ISO/IEC27006(GB/T25067)范圍：除了ISO/IEC17021中包含的要求外，該文件還為依據(jù)ISO/IEC27001:2022提供審核和ISMS認(rèn)證的機(jī)構(gòu)規(guī)定了要求，并提供了指南。其主要目的是對依據(jù)ISO/IEC27001:2022提供ISMS認(rèn)證的認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)可提供支持。該文件中包含的要求需要由提供ISMS認(rèn)證的任何機(jī)構(gòu)在勝任力和可靠性方面進(jìn)行證明，該文件中包含的指南為提供ISMS認(rèn)證的任何機(jī)構(gòu)提供了這些要求的附加解釋。對認(rèn)證機(jī)構(gòu)的認(rèn)可要求，從而允許這些機(jī)構(gòu)依據(jù)ISO/IEC27001:2022中規(guī)定的要求提供一致的合規(guī)認(rèn)證。5.3.3ISO/IEC27009(GB/T38631)具體行業(yè)應(yīng)用要求(信息技術(shù)安全技術(shù)GB/T22080具體行業(yè)應(yīng)用要求)——細(xì)化或解釋ISO/IEC27001:2022的任何要求；——修改ISO/IEC27001:2022的附錄A和ISO/IEC27002:2022的任何控制； 5.4.1ISO/IEC27002(GB/T22081)指南)組織使用：a)基于ISO/IEC27001:2022實(shí)施信息安全管理系統(tǒng)(ISMS);b)基于國際公認(rèn)的最佳實(shí)踐實(shí)施信息安全控制；c)制定特定于組織的信息安全管理指南。提供關(guān)于信息安全控制實(shí)施的指南，其中，第5章～第8章為支持ISO/IEC27001:2022的表A.1中列出的控制提供實(shí)施指南。5.4.2ISO/IEC27003(GB/T314信息技術(shù)安全技術(shù)信息安全管理體系指南(信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南)5.4.3ISO/IEC27004(G信息技術(shù)安全技術(shù)信息安全管理監(jiān)視、測量、分析和評價(jià)(信息技術(shù)安全技術(shù)信息安全管理測量)2022中9.1的要求。它解決：a)信息安全性能的監(jiān)視和測量；c)監(jiān)視和測量結(jié)果的分析和評價(jià)。5.4.4ISO/IEC27005(GB/T31722)就實(shí)施面向過程的風(fēng)險(xiǎn)管理方法提供指導(dǎo)，以幫助圓滿實(shí)施和滿足ISO/IEC27001:2022的信息安全風(fēng)險(xiǎn)管理要求。5.4.5ISO/IEC27007(G信息安全管理體系審核指南(信息技術(shù)安全技術(shù)信息中包含的適用于一般管理體系的指南外，該文件還提供了進(jìn)行或管理ISMS審核方案的組織提供指導(dǎo)。信息技術(shù)安全技術(shù)信息安全控制評估指南(信息技術(shù)安全技術(shù)信息安全控制措施審核員指南)范圍：該文件為評審和評估信息安全控制的實(shí)施和運(yùn)行提供了指南，包括信息系統(tǒng)控制的技術(shù)評范圍：該文件為打算以如下其中一種方式綜合實(shí)施ISO/IEC27001:2022和ISO/IEC20000-1的組織提供了指南：a)當(dāng)ISO/IEC20000-1已經(jīng)實(shí)施時(shí)實(shí)施ISO/IEC27001:2022,或者反之；b)同時(shí)實(shí)施ISO/IEC27001:2022和ISO/IEC20000-1;c)整合現(xiàn)有的ISO/IEC27001:2022和ISO/IEC20000-1管理體系。于規(guī)劃同時(shí)符合這兩個標(biāo)準(zhǔn)的綜合管理體系。5.4.8ISO/IEC27014(GB/T32923)效也會直接影響其聲譽(yù)。因此，作為其治理責(zé)任的一部分，越來越多地要求治理層對信息安全進(jìn)行監(jiān)息資產(chǎn)，評估這些信息資產(chǎn)面臨的潛在風(fēng)險(xiǎn)，評估為這些信息資產(chǎn)所采取的信息保護(hù)控制帶來的價(jià)2022的信息安全管理體系過程的ISMS專業(yè)人員的勝任力要求。a)希望證明其作為信息安全管理體系(ISMS)專業(yè)人員的勝任力，或希望了解并完成該領(lǐng)域工作b)尋找潛在ISMS專業(yè)候選人的組織，以確定ISMS相關(guān)職位所需的勝任力；c)需要一個知識體系(BOK)作為考試來源，來開發(fā)ISMS專業(yè)人員認(rèn)證的機(jī)構(gòu)；5.5.1ISO/IEC27010(GB/T32920)指南。設(shè)施相關(guān)的信息交換與共享。信息技術(shù)安全技術(shù)基于ISO/IEC27002的電信組織信息安全控制實(shí)踐指南信息技術(shù)安全技術(shù)基于ISO/IEC27002的云服務(wù)信息安全控制實(shí)踐指南范圍：ISO/IEC27017通—--—ISO/IEC27002:2022中提供的相關(guān)控制的附加實(shí)施指導(dǎo)；——具體與云服務(wù)相關(guān)的附加控制及其實(shí)施指導(dǎo)。5.5.4ISO/IEC27018(GB/T41括公共和私營企業(yè)、政府機(jī)構(gòu)和非營利組織。該文件中的指南也可能與作為PII控制者的組織相關(guān)。范圍：該文件提供了基于ISO/IEC27002:2022,適用于能源公用事業(yè)使用的過程控制系統(tǒng)的指——數(shù)字控制器和自動化組件，如控制和現(xiàn)場設(shè)備或可編程邏輯控制器(PLC),包括數(shù)字傳感器和——安裝在上述系統(tǒng)上的所有軟件、固件和(配電管理系統(tǒng))應(yīng)用程序或OMS(停電管理系統(tǒng));該文件不適用于核設(shè)施的過程控制領(lǐng)域。IEC62645涵蓋了該領(lǐng)域。該文件還包括使ISO/IEC27001:2022中所述的風(fēng)險(xiǎn)評估和處置過程適應(yīng)該文件提供的能源公用供者使用的系統(tǒng)提供了滿足進(jìn)一步特殊要求的信息安全控制指南。范圍：該文件給出了組織信息安全標(biāo)準(zhǔn)和信息安全管理實(shí)踐的指南，包括控制的選擇、實(shí)施和管能有效地用于管理健康信息安全。為健康組織提供適用于其行業(yè)的ISO/IEC27002:2022指南，是對指導(dǎo)滿足ISO/IEC27001:2022的附錄A要求的補(bǔ)充。21[1]GB/T22080信息技術(shù)安全技術(shù)信息安全管理體系要求[2]GB/T22081信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南[3]GB/T25067信息技術(shù)安全技術(shù)信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求[4]GB/T28450信息技術(shù)安全技術(shù)信息安全管理體系審核指南[5]GB/T31496信息技術(shù)安全技術(shù)信息安全管理體系指南[6]GB/T31497信息技術(shù)安全技術(shù)信息安全管理測量[7]GB/T31722信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理[8]GB/Z32916信息技術(shù)安全技術(shù)信息安全控制措施審核員指南[9]GB/T32920信息安全技術(shù)行業(yè)間和組織間通信的信息安全管理[10]GB/T32923信息技術(shù)安全技術(shù)信息安全治理[11]GB/T38631信息技術(shù)安全技術(shù)GB.T22080具體行業(yè)應(yīng)用要求[12]GB/T41574信息技術(shù)安全技術(shù)公有云中個人信息保護(hù)實(shí)踐指南[15]ISOGuide73:2009Riskmanagement—Vocabu[16]ISO/IEC17021Confcertificationofmanagementsystems[18]ISO/IEC20000-1:2011Informationtechnology—Servicemanagement—Part1:Serv-icemanagementsystemrequirements[19]ISO/IEC27001:2022Informationsecurity,cybersecurityandprivacyprotection—Infor-mationsecuritymanagementsystems—Require[20]ISO/IEC27002:2022Informationsecurity,cybersecurityandprivacyprotection—Infor-[21]ISO/IEC27003Informationtechnology—Securitytechniques—Informationsecuritymanage-ment—Guidance[22]ISO/IEC27004Informationtechnology—Securitytechniques—Informations[23]ISO/IEC27005Informationsecu[24]ISO/IEC27006Informationtechnology—Securitytechniques—Requirementsprovidingauditandcertifica[25]ISO/IEC27007Informationsecurity,cybersecu[26]ISO/IECTS27008Informationtechnology—SecuritytesessmentofinformationseplicationofISO/IEC27001—Requirements[28]ISO/IEC27010Informationtechnology—Securitytechniques—Informationsecuritymanage-22[29]ISO/IEC27011Informationtechnology—Securitytechniques—Codeofpracticeforinfor-mationsecuritycontrolsbasedonISO/IEC27002fortelecommunicationsorganizations[30]ISO/IEC27013Informationsecurity,cybersecurityandprivacyprotection—GuidanceontheintegratedimplementationofISO/IEC27001andISO/IEC20000-1[31]ISO/IEC27014Informationsecurity,cybersecuofinformationsecurity[32]ISO/IECTR27016Informationtechnology—Securitytechniques—I[33]ISO/IEC27017Informationtechnology—Securitytechniques—CodeofpracticeformationsecuritycontrolsbasedonISO/IEC27002forcloudservic[34]ISO/IEC27018Informationtechnology—Securitytechniques—Codeofpracticeforpro-tectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPIIproces[35]ISO/IEC27019Informationtechnology—Securitytechniques—Informationsecuritycon-[36]ISO/IEC27021Informationtechnology—Securitytechniques—CompetencerequirementsforinformationsecuritymanagementsystemsprofessionalsABCDF風(fēng)險(xiǎn)處置……3.72風(fēng)險(xiǎn)分析……3.63GHJK控制…………3.14LMNPS事態(tài)……………3.21W外包……………3.51外部語境………3.22完整性…………3.36威脅……………3.74文檔化信息……3.19X信息安全………3.28信息安全持續(xù)性………………3.29信息安全管理體系(ISMS)專業(yè)人員…………3.33信息安全事件…………………3.31信息安全事件管理……………3.32信息安全事態(tài)…………………3.30信息安全治理…………………3.23信息處理設(shè)施…………………3.27信息共享群組…………………3.34信息系統(tǒng)………3.35信息需要………3.26性能……………3.52Y要求……………3.56有效性…………3.20Z真實(shí)性……………3.6整改措施………3.17指標(biāo)……………3.25治理層…………3.24組織……………3.50最高管理層……3.75英文對應(yīng)詞索引Aaccesscontrol…………………3.1attack……………………………3.2audit……………………………3.3auditscope……………………3.4authentication…………………3.5authenticity……………………3.6availability……………………Bbasemeasure……………Ccompetence…………conformity…………………3.11consequence…………………3.12continualimprovement……………………3.13controlobjective……………correction……………………3.16correctiveaction……………GB/T29246—2023/ISO/IEC27000:2018Dderivedmeasure…………documentedinformation……………………3.19Eevent…………………………3.21externalcontext………………3.22Ggovernanceofinformationsecurity………………………3.23governingbody………………3.24Iindicator………………………3.25informationneed……………3.26informationprocessingfacilities……………3.27informationsecurity………………………3.28informationsecuritycontinuity……………3.29informationsecurityevent…………………3.30informationsecurityincident………………3.31informationsecurityincidentmanagement………………3.32informationsecuritymanagementsystem(ISMS)professional…………3.33informationsharingcommunity……………3.34informationsystem…………………………3.35integrity……………………3.36interestedparty………………3.37internalcontext………………………Llevelofrisk…………………3.39likelihood……………………3.40Mmanagementsystem…………………………3.41measure…………………measurement…………………3.43measurementfunction………………………3.44measurementmethod…