GB∕T 29246-2017标准规范下载简介
GB∕T 29246-2017 信息技术 安全技术信息安全管理体系 概述和词汇T29246—2017/ISO/IEC27000:2016
管理包含在适当的结构中指导、控制和持续改进组织的活动。管理活动包括组织、处理、指导、监督 和控制资源的行为、方式或实践。管理结构从小规模组织中的一个人扩展到大规模组织中由许多人组 成的管理层次结构。 就ISMS而言,管理包含通过保护组织的信息资产来实现业务目标所必要的监督和决策。信息安 全的管理通过信息安全策略、规程和指南的制定与采用来表达,然后应用到整个组织中所有与组织相关 的个人。
管理体系采用一种资源框架来实现组织的目标。管理体系包括组织结构、策略、规划、责任、实践、 规程、过程和资源。 就信息安全而言GB29540-2013溴化锂吸收式冷水机组能效限定值及能效等级,管理体系使组织: a)满足客户和其他利益相关方的信息安全要求; b) 改进组织的计划和活动; c) 满足组织的信息安全目标; d) 遵从法律法规、规章制度和行业规定; e) 以有组织的方式管理信息资产,来促进持续改进和调整当前的组织目标
组织需要识别和管理众多活动来有效果和有效率地运作。任何使用资源的活动都需要被管理,以 更能够使用一组相互关联或相互作用的活动完成输入到输出的转换,这也被称为过程。一个过程的输 出可以直接形成另一个过程的输人,通常这个转换是在计划和受控的条件下完成。过程系统在组织中 的应用,连同这些过程的识别和交互及其管理,可被称为“过程方法”
3.4为什么ISMS重要
与组织的信息资产相关的风险需要加以解决。实现信息安全需要管理风险,包括与组织内部或组 织使用的所有形式的信息相关,来自物理、人类和技术相关威胁的风险。 采用ISMS宜是一个组织的战略决策,并且有必要根据组织的需要进行无缝集成、规模调整利 更新。 设计和实施组织的ISMS受组织的需要和目标、安全要求、采用的业务过程以及组织的规模和结格 影响。设计和运行ISMS需要反映组织的利益相关方(包括客户、供应商、业务伙伴、股东和其他相关第 三方)的利益和信息安全要求。 在相互连接的世界中,信息和相关的过程、系统和网络组成关键业务资产。组织及其信息系统和网 络面临来源广泛的安全威胁,包括计算机辅助欺诈、间谍活动、蓄意破坏、火灾和洪水。由恶意代码、计
/T29246—2017/ISO/IEC27000:2016
算机黑客和拒绝服务攻击造成的信息系统和网络的损害已变得更加普遍、更有野心和目益复杂。 ISMS对于公共和私营部门业务都是重要的。在任何行业,ISMS是使电子商务成为可能,是风险 管理活动所必需的。公共和私营网络的互联以及信息资产的共享增加了信息访问控制和处理的难度。 另外,含有信息资产的移动存储设备的分布能够消弱传统控制的有效性。当组织采用了ISMS标准族, 更可以向业务伙伴和其他受益相关方证明其运用一致的和互认的信息安全原则的能力, 在信息系统的设计和开发中,信息安全有时并没被考虑到的。而且,信息安全常被认为是技术解决 方案。然而,能够通过技术手段实现的信息安全是有限的,并且若没有ISMS语境下适当的管理和规程 支持,可能是无效的。将安全集成到已经功能完备的信息系统中可能是困难和昂贵的。ISMS包含识 别哪些控制已经就位,并且要求仔细规划和注意细节。举例来说,访问控制,可能是技术的(逻辑的)、物 理的、行政的(管理的)或某种组合,提供一种手段来确保对信息资产的访问是基于业务和信息安全要求 得到授权和受限制的。 成功采用ISMS对于保护信息资产是重要的,它使组织能够: a) 更好地保障其信息资产得到持续的充分保护免受威胁; b 保持一个结构化和全面的框架,来识别和评估信息安全风险,选择和应用适用的控制,并测量 和改进其有效性; c) 持续改进其控制环境; d)有效地实现法律法规的合规性
3.5建立、监视、保持和改进ISMS
组织在建立、监视、保持和改进其ISMS时,需要采取如下步骤: a 识别信息资产及其相关的信息安全要求(见3.5.2); b) 评估信息安全风险(见3.5.3)和处置信息安全风险(见3.5.4); 选择和实施相关控制来管理不可接受的风险(见3.5.5); d)监视、保持和改进组织信息资产相关控制的有效性(见3.5.6)。 为确保ISMS持续有效地保护组织的信息资产,有必要不断重复步骤a)~d)来识别风险的变化,或 者组织战略或业务目标的变化
5.2识别信息安全要求
3.5.3评估信息安全风险
管理信息安全需要一种适合的风险评估和风险处置方法,该方法可能包括成本和效益的估算、法 求、利益相关方的关切和其他适合的输入和变量 风险评估宜识别、量化并依据风险接受准则和组织目标排序风险。评估结果宜指导和确定适当
T29246—2017/ISO/IEC27000:2016
管理行动及其优先级,以管理信息安全风险和实施所选择的控制来抵御这些风险 风险评估宜包括估算风险大小(风险分析)的系统性方法和将估算的风险与风险准则比较来确定风 险重要性(风险评价)的过程。 风险评估宜定期以及当发生重大变化时进行,以便应对信息安全要求和风险状况的变化,例如,资 产、威胁、脆弱性、影响、风险评价等方面的变化。这些风险评估宜以系统化方式进行,从而能够产生可 比较和可重现的结果, 信息安全风险评估为了有效宜有一个明确界定的范围,还宜包括与其他区域风险评估的关系(如果 合适)。 ISO/IEC27005提供信息安全风险管理指南,包括对风险评估、风险处置、风险接受、风险报告、风 险监视和风险评审的建议,还包括风险评估方法的示例
3.5.4处置信息安全风险
在考虑风险处置前,组织宜确定决定风险是否可接受的准则。如果评估结果是,例如,风险低或处 置成本不符合成本效益,风险可能也会被接受。这样的决定宜被记录。 对于经过风险评估后识别的每个风险,需要做出风险处置决定。可能的风险处置选项包括如下, a)采用适当的控制来降低风险; b) 在明显满足组织策略和风险接受准则的条件下,有意并客观地接受风险; ) 通过不允许导致风险发生的行动来规避风险; d 与其他方共担相关风险,例如,保险公司或供应商, 对于那些已决定采用适当控制来处置的风险,宜选择和实施相应控制
3.5.5选择和实施控制
生声明中记录控制的选择和实施来辅助合规要求
3.5.6监视、保持和改进ISMS有效性
/T29246—2017/ISO/IEC27000:2016
组织需要通过对照组织的策略和目标监视和评估执行情况, ,并将结果报告给管理者进行评审,来保 寺和改进ISMS。这种ISMS评审将检查ISMS是否包含了适合处置ISMS范围内风险的控制。此外, 基于所监视区域的记录,提供对纠正、预防和改进措施进行确认和追溯的证据
3.6ISMS关键成功因素
3.7ISMS标准族的益处
T29246—2017/ISO/IEC27000:2016
462017/ISO/IEC2700
其特定环境的相关控制,并在面临内部和外部变化的情况下保持这些控制 为信息安全提供共同语言和概念基础,使得在业务伙伴中利用合规的ISMS建立信心更为容 易,尤其是当他们需要由一个认可的认证机构进行ISO/IEC27001认证时。 e) 增加利益相关方对组织的信任。 1) 满足社会的需要和期望。 g 更有效、经济的信息安全投资管理
信息安全管理体系标准族
信息安全管理体系(ISMS)标准族由一系列已发布的或制定中的相互关联的标准组成,并包含许多 重要的结构组件。这些组件着重于对ISMS要求(ISO/IEC27001)、对进行ISO/IEC27001符合性认 正的认证机构的要求(ISO/IEC27006)和对行业特定ISMS实施的附加要求框架(ISO/IEC27009)进 行描述的规范性标准。其他标准提供ISMS实施的各方面指南,包括通用过程以及行业特定指南。 ISMS标准族中各标准之间的关系如图1所示
图1ISMS标准族关系
ISMS标准族的每一个标准按照其在ISMS标准族中的类型(或角色)和编号分别在下面描述。 的条款为: a) 给出概述和术语的标准(见4.2); b) 规范要求的标准(见4.3); c) 给出一般指南的标准(见4.4); d)给出行业特定指南的标准(见4.5)
ISMS标准族的每一个标准按照其在ISMS标准族中的类型(或角色)和编号分别在下面描述。 的条款为: a) 给出概述和术语的标准(见4.2); 规范要求的标准(见4.3); 给出一般指南的标准(见4.4); d) 给出行业特定指南的标准(见4.5)。
4.2给出概述和术语的标准
4.2.1ISO/IEC 27000
信息技术安全技术 信息安全管理体系 概述和词汇 16
46—2017/ISO/IEC2700
/T29246—2017/ISO/IEC27000:2016
范围:该标准为组织和个人提供: a ISMS标准族的概述; b)信息安全管理体系的介绍; c)ISMS标准族中使用的术语和定义。 目的:该标准描述信息安全管理体系的基础,形成ISMS标准族的主题,并定义相关术语
4.3.1ISO/IEC 27001
信息技术安全技术信息安全管理体系要求 范围:该标准规范在组织整体业务风险的语境下建立、实施、运行、监视、评审、保持和改进正式信息 安全管理体系(ISMS)的要求。它规范可被用来定制以满足单个组织或其部门需要的信息安全控制的 实现要求。该标准可被用于所有类型、规模和性质的组织。 目的:ISO/IEC27001为ISMS的开发和运行提供规范性要求,包括一套控制和降低信息资产相关 风险的控制。组织通过运行ISMS寻求对其信息资产的保护。组织可以对其运行的ISMS的符合性进 行审核和认证。作为ISMS过程的一部分,应从ISO/IEC270O1附录A中选择对所识别要求适合的控 制目标和控制。ISO/IEC27001附录A.1中列出的控制目标和控制是直接来自ISO/IEC27002第5章~ 第18章并与其一致。
4.3.2ISO/IEC27006
信息技术安全技术信息安全管理体系审核认证机构的要求 范围:该标准在ISO/IEC17021所含要求的基础上,为依据ISO/IEC27001提供审核和ISMS认证 的机构,规范要求并提供指南。它主要为依据ISO/IEC27001提供ISMS认证的认证机构的认可提供 支持。 目的:ISO/IEC27006是对ISO/IEC17021的补充,提供对认证组织进行认可的要求,以此许可这 些组织一贯地提供对ISO/IEC27001要求的符合性认证
4.4给出一般指南的标准
4.4.1ISO/IEC27002
信息技术安全技术信息安全控制实践指南 范围:该标准提供一套被广泛接受的控制目标和最佳实践的控制,为选择和实施实现信息安全的控 制提供指南。 目的:ISO/IEC27002提供关于信息安全控制实施的指南。特别是第5章~第18章为支持ISO/ IEC27001中所规范的控制提供最佳实践方面的具体实施建议和指南
4.4.2ISO/IEC27003
信息技术安全技术信息安全管理体系实施指南 范围:该标准为依据ISO/IEC27OO1建立、实施、运行、监视、评审、保持和改进ISMS提供实用的实 施指南和进一步信息。 且的:ISO/IEC27003为依据ISO/IEC27001成功实施ISMS提供面向过程的方法
4.4.3ISO/IEC 27004
信息技术安全技术信息安全管理测量
T29246—2017/ISO/IEC27000:2016
范围:该标准为了对ISO/IEC27001所规范的,用于实施和管理信息安全的,ISMS、控制目标和控 制的有效性进行评估,提供测量的开发和使用指南及建议, 目的:ISO/IEC27004提供一种测量框架,以便能够依据ISO/IEC27001对ISMS的有效性进行 测量。
4.4.4ISO/IEC27005
信息技术安全技术信息安全风险管理 范围:该标准为信息安全风险管理提供指南。该标准给出的方法支持ISO/IEC27001中所规范的 般概念。 目的:ISO/IEC27005为实施面向过程的风险管理方法提供指南,有助于圆满实施和兑现ISO/IEC 27001中的信息安全风险管理要求
4.4.5ISO/IEC27007
信息技术安全技术信息安全管理体系审核指南 范围:该标准在适用于一般管理体系的ISO19011指南的基础上,为ISMS审核实施以及信息安全 管理体系审核员能力提供指南。 目的:ISO/IEC27007为需要依据ISO/IEC27001中所规范的要求,进行ISMS内部或外部审核或 者管理ISMS审核方案的组织提供指南
4.4.6ISO/EC TR 27008
信息技术安全技术信息安全控制措施审核员指南 范围:该指导性技术文件为评审控制措施的实施和运行符合组织建立的信息安全标准提供指南,包 括信息系统控制措施的技术符合性检查。 目的:该指导性技术文件重点在于评审信息安全控制措施,包括对照组织建立的信息安全实施标准 险查技术符合性。它不是为分别在ISO/IEC27004、ISO/IEC27005或ISO/IEC27007中规范的测量、 风险评估或ISMS审核.提供任何具体的符合性检查指南。该指导性技术文件不用于管理体系审核。
4.4.7ISO/IEC27013
4.4.8ISO/IEC27014
信息技术安全技术信息安全治理 范围:该标准就信息安全治理的原则和过程提供指南,组织依此可以评价、指导和监视信息安全 管理。 目的:信息安全已成为组织的一个关键问题。不仅法律法规要求日益增加,而且组织的信息安全措 18
/T29246—2017/ISO/IEC27000:2016
施失效会直接影响其声誉。因此,治理者越来越需要承担起治理责任中的信息安全监督职责,来确保组 织目标的实现
4.4.9ISO/IEC TR 270
范围:该指导性技术文件提供一种方法学,以使组织能够更好地从经济上理解如何准确估价其所识 别的信息资产,评价这些信息资产面临的潜在风险,认识对这些信息资产进行保护控制的价值,并确定 用于保护这些信息资产的资源最佳配置程度 目的:该指导性技术文件在组织所处的更广泛社会环境的语境下,在组织信息资产的保护中叠加经 对ISMS标准族的补充
4.5给出行业特定指南的标准
4.5.1ISO/IEC 27010
信息技术安全技术行业间和组织间通信的信息安全管理 范围:该标准在ISMS标准族已有指南的基础上,为在信息共享社区中实施信息安全管理提供指 南,特别是为在组织间和行业间启动、实施、保持和改进信息安全另外提供控制和指南。 目的:该标准适用于所有形式的敏感信息交换与共享,不论公共的还是私人的、国内的还是国际的, 同行业或市场的还是行业间的。特别是,它可适用于与组织或国家关键基础设施的供给、维护和保护相 送的信息交换与共享
4.5.2ISO/IEC27011
信息技术安全技术基于ISO/IEC27002的电信组织信息安全管理指南 范围:该标准为支持在电信组织中实施信息安全控制提供指南。 目的:ISO/IEC27011能使电信组织满足保密性、完整性、可用性和任何其他相关安全属性的信息 安全管理基线要求
4.5.3ISO/IEC TR 27015
信息技术安全技术金融服务信息安全管理指南 范围:该指导性技术文件在ISMS标准族已有指南的基础上,为在提供金融服务的组织中启动、实 施、保持和改进信息安全提供指南, 目的:该指导性技术文件是对ISO/IEC27001和ISO/IEC27002的专业补充,为提供金融服务的 组织所用,以提供如下方面的支持: a)启动、实施、保持和改进基于ISO/IEC27001的信息安全管理体系。 b)设计和实施ISO/IEC27002或该标准中定义的控制
4.5.4ISO/IEC27017
信息技术安全技术基于ISO/IEC27002的云服务信息安全控制实践指南 范围:ISO/IEC27017通过提供如下指南给出适用于云服务供给和使用的信息安全控制指南: ISO/IEC27002中规范的相关控制的额外实施指南; 与云服务特别相关的额外控制及其实施指南。 目的:该标准为云服务提供者和云服务客户提供控制和实施指南
T29246—2017/ISO/IEC27000:2016
2017/IS0/IEC27000
4.5.5ISO/IEC27018
信息技术安全技术可识别个人信息(PII)处理者在公有云中保护PII的实践指南 范围:ISO/IEC27018按照ISO/IEC29100中公有云计算环境下的隐私保护原则,为保护可识别个 人信息(PII)建立被广泛接受的控制目标和控制,并提供措施的实施指南。 目的:该标准适用于通过与其他组织签约的云计算提供信息处理服务,作为PII处理者的组织,不 论公共企业还是私营企业、政府机构还是非营利组织。该标准中的指南可能与作为PII控制者的组织 也有关,但PII控制者可能受制于额外的,不适用于PII处理者的且不在该标准范围内的,保护PII的法 律法规、规章制度和义务。
4.5.6ISO/IECTR27019
信息技术安全技术基于ISO/IEC27002的能源供给行业过程控制系统信息安全管理指南 范围:ISO/IECTR27019就能源供给行业过程控制系统中实施的信息安全控制提供指南。能源 共给行业的过程控制系统,与支持过程的控制相结合,对电力、燃气和供热的产生、传输、存储和分配进 行控制和监视。特别是包括如下系统、应用和组件: 全面信息技术(IT)支持的集中式和分布式过程控制、监视和自动化技术以及用于其运行的IT 系统,诸如编程和参数化设备; 数字控制器和自动化组件,诸如控制和现场设备或可编程逻辑控制器(PLC),包括数字传感器 和执行器元件; 过程控制领域中用到的所有进一步的IT系统支持,例如对补充的数据可视化任务的支持,对 控制、监控、数据归档和文档化的支持; 过程控制领域中用到的全部通信技术,例如,网络、遥测、远程控制应用和远程控制技术; 数字计量和测量装置,例如,对能量消耗、产生和释放的测量; 数字保护和安全系统,例如,继电保护或安全PLC; 未来智能电网环境下的分布式组件; 上述系统中安装的所有软件、固件和应用。 目的:在ISO/IEC27002所规范的安全目标和措施的基础上,该指导性技术文件为能源供给行业 知能源供应商使用的系统提供满足其进一步特定要求的信息安全控制的指南,
4.5.7ISO 2779g
健康信息学使用ISO/1EC27002的健康信息安全管理 范围:该标准为支持信息安全管理在健康组织中实施提供指南。 目的:ISO27799基于ISO/IEC27002,除了那些满足ISO/IEC27001附录A要求的指南外,为健 康组织提供其行业独特的指南
46—2017/ISO/IEC2700
/T29246—2017/ISO/IEC27000:2016
附录A (资料性附录) 条款表达的措辞形式 ISMS标准族的每个标准文件本身没有对任何人施加遵从的义务。但是,这种义务可以通过,例 如,法律或合同被施加。为了能够声明符合一个标准文件,用户需要能够识别要满足的要求。用户还需 要能够将这些要求与其他可选的建议进行区分。 下表阐明ISMS标准族文件如何在措辞上区分要求和建议,
该表是基于《ISO/IEC导则 第2部分:国际标准结构和起草规则》(2011版)的附录H。
T29246—2017/ISO/IEC27000:2016
ISMS标准族的术语归属者是指最初定义该术语的标准。术语归属者还要负责对定义进行维护 即提供、评审、更新和删除。 注1:ISO/IEC27000本身不定义任何术语。 注2:ISO/IEC27001和ISO/IEC27006作为规范性标准(即包含要求)总是始终作为各自术语的归属者
ISMS标准族的术语归属者是指最初定义该术语的标准。术语归属者还要负责对定义进行维 提供、评审、更新和删除。 注1:ISO/IEC27000本身不定义任何术语。 注2:ISO/IEC27001和ISO/IEC27006作为规范性标准(即包含要求)总是始终作为各自术语的归属者
B.2ISMS标准族中使用的术语
/T29246—2017/ISO/IEC27000:2016
462017/ISO/IEC2700
T29246—2017/ISO/IEC27000:2016
B.2.9ISO/IEC27010
B.2.10ISO/IEC 2701
B.2.11ISO/IEC 27014
执行管理者 executive management 2.26 信息安全治理 governanceof information 2.28 security
B.2.12ISO/IEC TR 27015
金融服务financial services
金融服务financial services
B.2.13ISO/IEC TR 27
DB/T 29-135-2018 天津市脲醛发泡保温夹心复合墙技术规程B.2.14ISO/IEC TR 27017
能力capability 数据受侵databreach 24
治理者governingbody 利益相关方stakeholder
46—2017/ISO/IEC2700
/T29246—2017/ISO/IEC27000:2016
B.2.15ISO/IECTR27018 数据受侵databreach 可识别个人信息 personallyidentifiableinform tion,PII PII控制者PIIcontroller PPI主体PIIprincipal B.2.16ISO/IECTR27019 停电blackout 计算机安全应急响应组 Computer Emergend ResponseTeam,CERT 关键基础设施criticalinfrastructure 调试debugging 分布distribution 能源设备装置 energyequipmentinstallation 能源供给energysupply 能源供应者 energy utility
DBJ43/T 002-2010 预拌砂浆生产与应用技术规程.pdf过程控制系统processcontrolsystem 安全性safety 安全系统safetysystems 智能电网 smart grid 适用性声明 statement of applicability,SOA 传输系统 transmission system
T29246—2017/ISO/IEC27000:2016
/T29246—2017/ISO/IEC27000:2016