《2022信息安全技术信息安全管理体系概述和词汇.docx》由会员分享,可在线阅读,更多相关《2022信息安全技术信息安全管理体系概述和词汇.docx(32页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全技术信息安全管理体系概述和词汇GB/T 29246XXXX/1 SO/1 EC 27000:2018注1:目标可能是战略性的、战术性的或操作性的。注2:目标可能涉及不同学科(诸如金融、健康与安全以及环境目标),可能适用于不同层次(诸如战略、组织、 项目、产品和过程(3. 54)0注3:目标可能以其他方式表示,例如,作为预期结果、意图、操作准则,作为信息安全(3. 28)目标,或者使用 具有类似含义的其他词语(例如,目的或靶标)。注4:在信息安全(3. 28)管理体系(3.41)的语境下,组织(3. 50)制定与信息安全策略(3. 53) 一致的信息安 全目标,以实现特定结果。3.50组
2、织 organ i zat i on具有自身的职责、权威和关系以实现其目标(3.49)的个人或集体。注:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或者其部 分或其组合,无论注册与否,是公共的还是私营的。3.51外 包 outsource做出由外部组织(3. 50)执行组织的部分功能或过程(3. 54)的安排。注:外部组织(3. 50)不在管理体系(3.41)的范围,尽管外包的功能或过程(3.54)在范围之内。3.52性 能 performance一种可测量的属性。注1:性能可能与定量或定性的调查发现相关。注2:性能可能与活动、过程(3.54)、产
3、品(包括服务)、系统或组织(3. 50)的管理相关。3.53策略policy由其最高管理层(3. 75)正式表达的组织(3. 50)的意图和方向。注:总策略一般称为方针,包括总策略的策略集可称为方针策略。3.54过程 process将输入转化为输出的相互关联或相关作用的活动集合。3.55可靠性 reliability与预期行为和结果一致的性质。3.56要求 requ i rement明示的、通常隐含的或强制性的需要或期望。注1: “通常隐含的”意指所考虑的需要或期望是不言而喻的,对于组织(3. 50)或利益相关方(3. 37)是惯例或 常见做法。注2:规定的要求是明示的,例如在文档化信息(3.
4、 19)中明示。GB/T 29246XXXX/1 SO/1 EC 27000:20183.57残余风险residual risk风险处置(3. 72)后余下的风险(3.61)。注1:残余风险可能包含未识别的风险(3.61)。注2:残余风险也可称为“保留风险” o3.58评审rev i ew为确定主题事项的适宜性、充分性和有效性(3. 20)以实现既定目标而采取的活动。来源:ISO Guide 73:2009, 3. 8. 2.2,有修改:删除注3.59评审对象review object被评审的特定事项。3. 60评审目标 review objective描述所要达到的评审(3. 58)结果的声
5、明。3. 61风险r i sk对目标(3. 49)的不确定性影响。注1:影响是指与期望的偏离(正向的或反向的)。注2:不确定性是对事态(3.21)及其后果(3. 12)或可能性(3.40)的相关信息、理解或知识缺乏的状态(即使 是部分的)。注3:风险常被表征为潜在的“事态”(3.21)和“后果” (3.12),或者它们的组合。注4:风险常被表示为事态(3.21)(包括境况改变)的后果(3. 12)和其发生“可能性” (3.40)的组合。注5:在信息安全(3. 28)管理体系(3.41)的语境下,信息安全风险能被表示为对信息安全目标(3.49)的不确 定性影响。注6:信息安全(3. 28)风险与
6、威胁(3. 74)利用信息资产或信息资产组的脆弱性(3. 77)对组织(3.50)造成伤 害的潜力相关。3. 62风险接受 risk acceptance承担特定风险(3.61)的知情决定。注1:风险接受可能是在不经风险处置(3. 72)或风险处置过程(3. 54)中做出。注2:接受的风险(3.61)处于监视(3. 46)和评审(3. 58)中。来源:ISO Guide 73:2009, 3. 7. 1.63. 63风险分析risk ana lysis理解风险(3.61)本质和确定风险级别(3. 39)的过程(3.54)。注1:风险分析为风险评价(3. 67)和风险处置(3. 72)决策提供基
7、础。注2:风险分析包括风险估算。来源:ISO Guide 73:2009, 3.6. 1GB/T 29246XXXX/1 SO/1 EC 27000:20183. 64风险评估 r i sk assessment风险识别(3.68)、风险分析(3. 63)和风险评价(3. 67)的全过程(3.54)。来源:ISO Guide 73:2009, 3. 4. 13.65风险沟通与咨询 risk communication and consultation组织(3. 50)就风险(3.61)管理所进行的,提供、共享或获取信息以及与利益相关方(3.37)对 话的持续和迭代过程(3.54)。注1:这些信
8、息可能涉及风险(3.61)的存在、性质、形式、可能性(3.40)、重要性、评价、可接受性和处置。注2:咨询是对问题进行决策或确定方向之前,在组织(3.50)和其利益相关方(3. 37)之间进行知情沟通的双向 过程(3.54)。咨询是指:通过影响力而不是权力来影响决策的过程(3.54);决策的输入,而非联合做出决策。3. 66风险准则risk cr i ter i a评价风险(3.61)重要性的基准。注1:风险准则是基于组织的目标以及外部语境(3. 22)和内部语境(3.38)。注2:风险准则能根据标准、法律、策略(3. 53)和其他要求(3. 56)得出。来源:ISO Guide 73:200
9、9, 3. 3. 1.33. 67风险评价 risk eva I uat i on将风险分析(3. 63)的结果与风险准则(3.66)比较,以确定风险(3.61)和/或其大小是否可接 受或可容忍的过程(3.54)。注:风险评价有助于风险处置(3. 72)的决策。来源:ISO Guide 73:2009, 3. 7. 13. 68风险识别 risk identification发现、识别和描述风险(3.61)的过程(3.54)。注1:风险识别涉及风险源、事态(3.21)及其原因和潜在后果(3.12)的识别。注2:风险识别可能涉及历史数据、理论分析、知情者和专家的意见以及利益相关方(3. 37)的
10、需要。来源:ISO Guide 73:2009, 3. 5. 13. 69风险管理 r i sk management指导和控制组织(3. 50)相关风险(3.61)的协调活动。来源:ISO Guide 73:2009, 2. 13.70风险管理过程 risk management process管理策略(3.53)、规程和实践在沟通、咨询、语境建立以及识别、分析、评价、处置、监视和评 审风险(3.61)活动上的系统性应用。注:GB/T 31722使用术语“过程” (3. 54)来描述全面风险管理。风险管理(3.69)过程中的元素称为“活动”。9GB/T 29246XXXX/1 SO/1 EC
11、 27000:2018来源:ISO Guide 73:2009, 3. 1,有修改:增加注3.71风险责任者r i sk owner具有责任和权力来管理风险(3.61)的个人或实体。来源:ISO Guide 73:2009, 3. 5. 1.53.72风险处置 risk treatment改变风险(3.61)的过程(3.54)。注1:风险处置可能涉及如下方面:通过决定不启动或不继续进行引发风险(3.61)的活动来规避风险;承担或增加风险(3.61)以追求机会;消除风险源;改变可能性(3. 40);改变后果(3. 12);一与另外一方或多方共担风险(包括合同和风险融资);有根据地选择保留风险。注
12、2:处理负面后果(3.12)的风险处置有时称为“风险缓解”、“风险消除”、“风险防范”和“风险降低”。注3: 风险处置可能产生新的风险(3.61)或改变现有风险。来源:ISO Guide 73:2009, 3. 8. 1,有修改:将注1中的“决定”替换为“选择”3. 73安全实施标准 secur ity implementation standard规定授权的安全实现方式的文件。3. 74威胁threat可能对系统或组织(3. 50)造成伤害的不希望事件的潜在因素。3.75最高管理层top management在最高级别上指导和控制组织(3. 50)的个人或集体。注1:最高管理层有权在组织(3
13、. 50)内授权和提供资源。注2:如果管理体系(3.41)的范围仅涵盖组织(3. 50)的一部分,则最高管理层就是指指导和控制组织这一部分 的个人或集体。注3:最高管理层有时称为执行管理层,可能包括首席执行官、首席财务官、首席信息官和类似角色。3. 76可信信息通信实体 trusted information communication entity支持信息共享社区(3. 34)内信息交换的自主组织(3.50)。3.77脆弱性 vu I nerab i I i ty能被一个或多个威胁(3.74)利用的资产或控制措施(3.14)的弱点。10GB/T 29246XXXX/1 SO/1 EC 270
14、00:20184信息安全管理体系(ISMS) 4. 1概要各种类型和规模组织的主要任务:a)收集、处理、存储和传输信息;b)认识到信息及其相关过程、系统、网络和人员是实现组织目标的重要资产;c)面临一系列可能影响资产运作的风险;d)通过实施信息安全控制措施解决其感知的风险暴露。组织持有和处理的所有信息在其使用中都会受到攻击、错误、自然灾害(例如,洪水或火灾)等威 胁,并存在固有的脆弱性。术语“信息安全”通常基于将信息视为一种资产,其价值需要适当保护,例如, 防止丧失保密性、完整性和可用性。使已授权的需要者能及时获得准确、完整的信息,有助于促进提升业务 效率。通过有效地阐明、实现、维护和改进信息
15、安全来保护信息资产,对于组织实现其目标并保持和增强其 法律合规性和形象至关重要。这些指导实施适当控制措施和处置不可接受的信息安全风险的协调活动通常被 称为信息安全管理的元素。由于信息安全风险和控制措施的有效性随着环境的变化而变化,组织需要:e)监视和评价已实施的控制措施和规程的有效性;f)识别待处置的新风险;g)根据需要选择、实施和改进适当的控制措施。为了相互关联和协调此类信息安全活动,每个组织都需要制定其信息安全策略和目标,并通过使用管 理体系有效地实现这些目标。4. 2 ISMS的概念4. 2. 1概述和原则信息安全管理体系(ISMS)由策略、规程、指南以及相关资源和活动组成,由组织集中管
16、理,目的在 于保护其信息资产。ISMS是建立、实施、运行、监视、评审、维护和改进组织信息安全来实现业务目标的系 统方法。它是基于风险评估和组织的风险接受程度,为有效地处置和管理风险而设计的。分析信息资产保护 的需求,并根据需要应用适当的控制措施来切实保护这些信息资产,有助于ISMS的成功实施。下列基本原则 也有助于ISMS的成功实施:a)认识到信息安全的需要;b)分配信息安全的责任;c)包含管理者的承诺和利益相关方的利益;d)提升社会价值;e)进行风险评估来确定适当的控制措施,以达到可接受的风险程度;f)将安全作为信息网络和系统的基本元素;g)主动防范和发现信息安全事件;h)确保信息安全管理方
17、法的全面性;i)持续对信息安全进行再评估并酌情进行修改。4. 2. 2信息信息是一种资产,与其他重要的业务资产一样,对组织的业务至关重要,因此需要得到适当的保护。信息 可以以多种形式存储,包括:数字形式(如存储在电子或光媒体上的数据文件)、物质形式(如纸11GB/T 29246XXXX/1 SO/1 EC 27000:2018质),以及以员工知识形式表示的未呈现信息。信息可能通过各种方式进行传输,包括:快递、电子或口 头通信。无论信息采用何种形式,或以何种形式传输,它总是需要适当的保护。在许多组织中,信息依赖于信息通信技术。这项技术通常是组织的一个基本元素,有助于促进信息的 创建、处理、存储、
18、传输、保护和销毁。4. 2. 3信息安全信息安全确保信息的保密性、可用性和完整性。信息安全涉及应用和管理适当的控制措施,包括考虑 到各种威胁,以确保业务的持续成功和持续性,并最大限度地减少信息安全事件的后果。信息安全是通过实施一套适用的控制措施来实现的,这套控制措施通过选定的风险管理过程进行选择, 并使用ISMS进行管理,包括策略、过程、规程、组织结构、软件和硬件,用以保护已识别的信息资产。必 要时,需要规定、实施、监视、评审和改进这些控制措施,以确保满足组织的特定信息安全和业务目标。相 关的信息安全控制措施也是期望与组织业务过程无缝集成。4. 2. 4管理管理涉及在适当的结构中指导、控制和持
19、续改进组织的活动。管理活动包括组织、处理、指导、监督 和控制资源的行为、方式或实践。管理结构从小型组织中的一个人扩展到大型组织中由许多人组成的管理层 级。就ISMS而言,管理涉及到通过保护组织的信息资产来实现业务目标所需的监督和决策。信息安全管理 通过制定和使用信息安全策略、规程和指南来表达,然后由与组织相关的所有个人在整个组织中应用这些 策略、规程和指南。4. 2. 5管理体系管理体系使用资源框架来实现组织的目标。管理体系包括组织架构、策略、规划活动、责任、实践、规 程、过程和资源。在信息安全方面,管理体系使组织能够:a)满足客户和其他利益相关方的信息安全需求;b)改进组织的计划和活动;c)
20、满足组织的信息安全目标;d)遵从法律法规、规章制度和行业规定;e)以有组织的方式管理信息资产,来促进持续改进和调整当前的组织目标。4. 3过程方法组织需要识别和管理许多活动,以便既有效果又有效率地运作。需要管理任何使用资源的活动,以便 能够使用一组相互关联或相互作用的活动将输入转换为输出,这也称为过程。一个过程的输出可直接形成 另一个过程的输入,通常这种转换是在计划和受控的条件下进行的。组织内过程系统的应用,以及这些过 程的识别、交互及其管理,可称为“过程方法”。4. 4 ISMS的重要性需要解决与组织信息资产相关的风险。实现信息安全需要管理风险,包括与组织内部或组织使用的所 有形式的信息相关
21、的物理、人为和技术威胁带来的风险。采用ISMS是期望其成为组织的一项战略决策,并且该决策有必要根据组织的需要进行无缝集成、扩展 和更新。12GB/T 29246XXXX/1 SO/1 EC 27000:2018组织ISMS的设计和实施受组织的需要和目标、安全需求、采用的业务过程以及组织的规模和结构的影 响。ISMS的设计和运行需要反映组织的利益相关方(包括客户、供应商、业务伙伴、股东和其他相关第三 方)的利益和信息安全需求。在相互连接的世界中,信息和相关的过程、系统和网络组成关键业务资产。组织及其信息系统和网络 面临来源广泛的安全威胁,包括计算机辅助欺诈、间谍活动、蓄意破坏、火灾和洪水。恶意代
22、码、计算机 黑客和拒绝服务攻击对信息系统和网络造成的损害已变得更加普遍、更有野心和日益复杂。ISMS对于公共和私营部门业务都很重要。在任何行业中,ISMS都使电子商务成为可能,对风险管理活 动至关重要。公共和私营网络的互联以及信息资产的共享增加了信息访问控制和处理的难度。止匕外,包 含信息资产的移动存储设备的分布可能削弱传统控制措施的有效性。当组织采用了ISMS标准族,便可向业 务伙伴和其他受益相关方证明其运用一致且互认的信息安全原则的能力。在信息系统的设计和开发中,信息安全并不总是被考虑到的。而且,信息安全常被认为是技术解决方 案。然而,能通过技术手段实现的信息安全是有限的,若没有ISMS的
23、适当管理和规程支持,信息安全可能 是无效的。将安全性集成到功能完备的信息系统中可能是困难和昂贵的。ISMS涉及确认哪些控制措施到位, 需要仔细规划并注意细节。例如,可能是技术(逻辑)、物理、行政(管理)或组合的访问控制提供了 一种手段,以确保根据业务和信息安全需求授权和限制对信息资产的访问。ISMS的成功采用对于保护信息资产非常重要,它使组织能够:a)更好地确保其信息资产得到持续的充分保护,免受威胁;b)保持一个结构化和全面的框架,来识别和评估信息安全风险,选择和应用适用的控制措施,并测 量和改进其有效性;c)持续改进其控制环境;d)有效地遵从法律法规。4.5建立、监视、保持和改进ISMS4.
24、 5.1概述组织在建立、监视、保持和改进其ISMS时,需要采取如下步骤:a)识别信息资产及其相关的信息安全需求(见4.5.2);b)评估信息安全风险(见4.5.3)和处置信息安全风险(见4.5.4);c)选择并实施相关控制措施,以管理不可接受的风险(见4.5.5);d)监视、保持和改进组织信息资产相关控制措施的有效性(见4.5.6)。为确保ISMS持续有效地保护组织的信息资产,有必要不断重复步骤a)至d),以识别风险或组织 战略或业务目标的变化。5. 5. 2识别信息安全需求在组织的总体战略和业务目标、规模和地理分布的范围内,可通过了解如下方面来识别信息安全需求: a)已识别的信息资产及其价值
25、;b)信息处理、存储和通信的业务需要;c)法律法规、规章制度和合同要求。对与组织信息资产相关的风险进行有条不紊的评估包含分析信息资产面临的威胁、信息资产存在的 脆弱性、威胁实现的可能性,以及任何信息安全事件对信息资产的潜在影响。期望相关控制措施的支出与 感知到的风险成为现实所造成的业务影响相称。13GB/T 29246XXXX/1 SO/1 EC 27000:20186. 5. 3评估信息安全风险管理信息安全需要一种适合的风险评估和风险处置方法,该方法可包括对成本和收益、法律要求、 利益相关方的关切以及其他适合的输入和变量的判断。风险评估宜根据风险接受准则和与组织相关的目标来识别、量化并按重要
26、性排列风险。评估结果宜指 导和确定适当的管理行动及其优先级,以管理信息安全风险,并实施为防范这些风险而选择的控制措施。风险评估宜包括:系统性估算风险大小的方法(风险分析);一将估算的风险与风险准则比较,以确定风险重要性的过程(风险评价)。宜定期进行风险评估,以应对信息安全需求和风险状况的变化,例如,资产、威胁、脆弱性、影响、风 险评价以及发生重大变化时的变化。这些风险评估宜以能够产生可比较和可重现结果的有条不紊的方法进行。信息安全风险评估宜具有明确界定的范围以保障其有效性,还宜包括与其他区域风险评估的关系(如果适用)。ISO/IEC 27005 (GB/T 31722)提供信息安全风险管理指南
27、,包括关于风险评估、风险处置、风险 接受、风险报告、风险监视和风险评审的建议。风险评估方法的例子也包括在内。4. 5. 4处置信息安全风险在考虑风险处置之前,组织宜确定风险是否可接受的准则。例如,如果评估风险较低或处置成本对组 织不具有成本效益,则可接受风险。此类决定宜予以记录。对于经过风险评估后识别的每个风险,需要做出风险处置决策。风险处置的可能选项包括:a)采用适当的控制措施来降低风险;b)明知而客观地接受风险,前提是这些风险明确地满足组织的风险接受策略和准则;c)通过不允许可能导致风险发生的行为来规避风险;d)与其他方共担相关风险,例如,保险公司或供应商。对于那些已决定采用适当控制措施来
28、处置的风险,宜选择和实施这些控制措施。4. 5. 5选择和实施控制措施一旦识别了信息安全需求(见4.5.2),确定和评估了所识别信息资产的信息安全风险(见4.5.3), 并做出了处置信息安全风险的决定,则选择和实施风险降低的控制措施。控制措施宜确保将风险降低至可接受的程度,同时考虑到以下因素:a)国家和国际法律法规的要求和约束;b)组织目标;c)运行要求和约束;d)风险降低相关的实施和运行成本,并保持与组织要求和约束相称;e)监视、评价和改进信息安全控制措施的效果和效率以支持组织目的的目标。控制措施的选择和实 施宜记录在适用性声明中,以协助合规要求;f)控制措施的实施和运行投入与信息安全事件可
29、能导致的损失之间平衡的需要。ISO/IEC 27002 (GB/T 22081)中规范的控制措施是公认的适用于大多数组织的最佳实践,并易于 调整以适应各种规模和复杂性的组织。ISMS标准族中的其他标准为选择和应用ISMS的ISO/IEC 27002 (GB/T 22081)控制措施提供了指导。宜在系统和项目需求规范和设计阶段考虑信息安全控制措施。如果不这样做,可能会导致额外的成本 和低效的解决方案,并且在最坏的情况下,无法实现足够的安全性。控制措施可从ISO/IEC 27002(GB/T14GB/T 29246XXXX/1 SO/1 EC 27000:201822081)或其他控制措施集中选择
30、。或者,可设计新的控制措施,以满足组织的特定需要。有必要认识 到,某些控制措施可能不适用于每个信息系统或环境,也不适用于所有组织。有时,实施所选择的一组控制措施需要时间,在此期间,风险程度可能高于长期所能容忍的程度。 风险准则宜涵盖控制措施实施期间短期风险的可承受性。随着控制措施的逐步实施,宜将在不同时间点估 算或预计的风险程度告知利益相关方。宜记住,没有一套控制措施能够实现完全的信息安全。宜实施额外的管理行动来监视、评价和改进信 息安全控制措施的效果和效率,以支持组织目的。控制措施的选择和实施宜记录在适用性声明中,以协助合规要求。4. 5. 6监视、保持和改进ISMS有效性组织需要根据其策略
31、和目标监视和评估ISMS的执行情况,并将结果报告给管理层审查,从而保持和改 进ISMS。这种ISMS审查检查ISMS是否包括适用于处置ISMS范围内风险的特定控制措施。此外,根据所监 视区域的记录,提供对纠正、预防和改进措施进行验证和追溯的证据。5. 5. 7持续改进ISMS持续改进的目的是提高实现信息保密性、可用性和完整性目标的可能性。持续改进的重点是寻找 改进的机会,而不是假设现有的管理活动已经足够好或已尽其可能。改进措施包括:a)分析和评价现状,以识别改进的地方;b)制定改进的目标;c)寻找实现目标的可能解决方案;d)评价这些解决方案并做出选择;e)实施选定的解决方案;f)测量、验证、分
32、析和评价实施结果,以确定目标已实现;g)正式确认改进。必要时,对结果进行评审,以确定进一步的改进机会。因此,改进是一个持续活动,即经常重复行动。 客户和其他利益相关方的反馈、信息安全管理体系的审核和评审也可用于识别改进机会。6. 6 ISMS关键成功因素许多因素对于ISMS的成功实施至关重要,以使组织能够实现其业务目标。关键成功因素的例子包括:a)信息安全策略、目标和与目标一致的活动;b)设计、实施、监视、保持和改进符合组织文化的信息安全的方法与框架;c)各级管理层,特别是最高管理层的明显支持和承诺;d)对应用信息安全风险管理(见ISO/IEC 27005 (GB/T 31722)实现的信息资
33、产保护要求的理 解;e)有效的信息安全意识、培训和教育计划,告知所有员工和其他相关方信息安全策略、标准等中规 定的信息安全义务,并激励他们采取相应的行动;f)有效的信息安全事件管理过程;g)有效的业务持续性管理方法;h)用于评价信息安全管理绩效和反馈改进建议的度量系统。ISMS提高了组织持续实现其信息资产所需关键成功因素的可能性。15GB/T 29246XXXX/1 SO/1 EC 27000:20184. 7 I SMS标准族的益处实施ISMS的益处主要来自降低信息安全风险(即降低信息安全事件发生的可能性和/或造成的影 响)。具体而言,通过采用ISMS标准族,组织实现可持续成功的益处包括:a
34、)以结构化框架支持规范、实施、运行和保持一个综合全面、成本有效、创造价值、一体化和一致 的ISMS,以满足组织跨不同运行和场所的需要。b)在企业风险管理和治理的语境下,协助管理层以负责任的方式持续管理和运用其信息安全管理方 法,包括就信息安全的整体管理对业务和系统所有者进行教育和培训;c)以非指定的方式促进全球公认的良好信息安全实践,使组织有自由采纳和改进适合其具体环境的 相关控制措施,并在面对内部和外部变化时保持这些控制措施;d)提供信息安全的共同语言和概念基础,使其更容易信任具有符合ISMS的业务伙伴,特别是如果 他们需要由一个被认可的认证机构根据ISO/IEC 27001 (GB/T 2
35、2080)进行认证;e)增加利益相关方对组织的信任;f)满足社会的需要和期望;g)对信息安全投资进行更有效的经济管理。5信息安全管理体系标准族5.1 一般信息信息安全管理体系(ISMS)标准族由已发布或制定中的相互关联的标准组成,并包含许多重要的结 构组件。这些组件的重点是规定如下要求的标准: ISMS的要求(ISO/IEC 27001 (GB/T 22080); 对进行ISO/IEC 27001 (GB/T 22080)符合性认证的认证机构的要求(ISO/IEC 27006 (GB/T 25067); 对具体行业ISMS实施的附加要求框架(ISO/IEC 27009 (GB/T 38631)
36、。其他文件为ISMS实施的各个方面提供指导,包括通用过程以及具体行业指导。ISMS标准族中各标准之间的关系如图1所示。16前言II1范围12规范性引用文件13术语和定义14信息安全管理体系(ISMS) 114. 1概要114.2 ISMS 的概念114.3 过程方法124.4 ISMS的重要性124.5 建立、监视、保持和改进ISMS 134.6 ISMS关键成功因素154.7 ISMS标准族的益处165信息安全管理体系标准族165. 1 一般信息165.2 概述和术语标准:ISO/IEC 27000 (GB/T 29246 (本文件)175. 3要求标准185.4 一般指南标准185.5 具
37、体行业指南标准21参考文献23索引25汉语拼音索引25英文对应术语索引28GB/T 29246XXXX/1 SO/1 EC 27000:2018ISMS标准族术语标准(5.2)ISO/IEC 27000(GB/T 29246)要求标准(5.3)ISO/IEC 27001(GB/T 22080)ISO/IEC 27006(GB/T 25067)ISO/IEC 27009(GB/T 38631)ISO/IEC 27002ISO/IEC 27003ISO/IEC 27004(GB/T 22081)(GB/T 31496)(GB/T 31497)指南标准(5.4)ISO/IEC 27005ISO/IE
38、C 27007(GB/T 28450)ISO/IEC TS 27008(GB/Z 32916)(GB/T 31722)ISO/IECISO/IEC 2701427013GB/T 32923)ISO/IECISO/IECTR 2701627021ISO/IEC 27010ISO/IEC 27011ISO/IEC 27017具体行业指南标准(GB/T 32920)(5.5)ISO/IEC 27018ISO/IEC 27019ISO 27799具体控制措施指南标准(本文件范围之外)ISO/IEC 27003xISO/IEC 27004x注:对于已转国家标准的国际标准编号,加括号标出对应的国家标准编号
39、,具体发布年号详见参考文献。图1 ISMS标准族关系以下对ISMS标准族的每个标准按其在ISMS标准族中的类型(或角色)及其编号进行说明。5. 2概述和术语标准:ISO/IEC 27000 (GB/T 29246 (本文件)信息技术安全技术信息安全管理体系概述和术语(信息安全技术信息安全管理体系概述和术语)范围:该文件为组织和个人提供了:a) ISMS标准族的概述;b)信息安全管理体系的介绍;c) ISMS标准族中使用的术语和定义。目的:该文件描述信息安全管理体系的基础,构成ISMS标准族的主题,并定义相关术语。17GB/T 29246XXXX/1 SO/1 EC 27000:20185. 3
40、要求标准5.3.1 I SO/1 EC 27001 (GB/T 22080)信息技术安全技术信息安全管理体系要求范围:该文件规定了在组织整体业务风险的语境下建立、实施、运行、监视、评审、保持和改进正式 信息安全管理体系(ISMS)的要求。它规定了实施信息安全控制措施的要求,这些控制措施是根据单个组 织或其组成部分的需要定制的。该文件可供所有类型、规模和性质的组织使用。目的:ISO/IEC 27001 (GB/T 22080)为ISMS的开发和运行提供规范性要求,包括一套控制措施, 用于控制和降低与组织试图通过运行其ISMS来保护的信息资产相关的风险。组织可对其运行的ISMS的合规 性进行审核和
41、认证。作为ISMS过程的一部分,应从ISO/核C 27001:2013 (GB/T 220802016)附录A中 选择适合的控制目标和控制措施,以涵盖明确的要求。ISO/IEC 27001:2013 (GB/T 220802016)表A. 1 中列出的控制目标和控制措施直接源自ISO/IEC 27002:2013 (GB/T 220812016)第5章至第18章,并 与其一致。5.3.2 I SO/1 EC 27006 (GB/T 25067)信息技术安全技术信息安全管理体系审核认证机构的要求范围:除了ISO/IEC 17021中包含的要求外,该文件还为根据ISO/IEC 27001 (GB/
42、T 22080)提供审 核和ISMS认证的机构规定了要求,并提供了指南。其主要目的是为根据ISO/IEC 27001 (GB/T 22080) 提供ISMS认证的认证机构的认可提供支持。该文件中包含的要求需要由提供ISMS认证的任何机构在胜任力和可靠性方面进行证明,该文件中包 含的指南为提供ISMS认证的任何机构提供这些要求的附加解释。目的:ISO/IEC 27006 (GB/T 25067)对ISO/IEC 17021补充认证机构的认可要求,从而允许这些机 构按照ISO/IEC 27001 (GB/T 22080)中规定的要求提供一致的合规认证。5.3.3 I SO/1 EC 27009 (
43、GB/T 38631)信息技术安全技术ISO/IEC 27001具体行业应用要求(信息技术安全技术GB/T 22080具 体行业应用要求)范围:该文件规定了在任何具体行业(领域、应用领域或市场领域)使用ISO/IEC 27001的要求, 并解释如何包括ISO/IEC 27001 (GB/T 22080)中的附加要求,如何细化任何ISO/IEC 27001要求,以及 如何包括ISO/IEC 27001:2013:2013 (GB/T 220802016)附录A中的控制措施或控制措施集。目的:ISO/IEC 27009 (GB/T 38631)确保附加或改进的要求不与ISO/IEC 27001 (
44、GB/T 22080)中 的要求冲突。5. 4 一般指南标准5.4. 1 I SO/1 EC 27002 (GB/T 22081)信息安全、网络空间安全和隐私保护信息安全控制措施(信息技术安全技术信息安全控制实 践指南)范围:该文件提供了一套通用信息安全控制措施的参考集,包括实施指南。目的:该文件旨在供以下组织使用:1818a)在基于ISO/IEC 27001 (GB/T 22080)的信息安全管理系统(ISMS)的语境下;GB/T 29246XXXX/1 SO/1 EC 27000:2018b)基于国际公认的最佳实践实施信息安全控制措施;c)制定特定于组织的信息安全管理指南。1.4.2 I
45、SO/1 EC 27003 (GB/T 31496)信息技术安全技术信息安全管理体系指南(信息技术安全技术信息安全管理体系实施指南)范围:该文件提供了ISO/IEC 27001:2013 (GB/T 220802016)的解释和指南。目的:ISO/IEC 27003 (GB/T 31496)为根据ISO/IEC 27001 (GB/T 22080)成功实施ISMS提供背景。1.4.3 3 I SO/1 EC 27004 (GB/T 31497)信息技术安全技术信息安全管理监视、测量、分析和评价(信息技术安全技术信息安全 管理测量)范围:该文件提供了旨在帮助组织评价信息安全性能和ISMS有效性的
46、指南,以满足ISO/IEC27001:2013 (GB/T 220802016)中9. 1 的要求。它解决:a)信息安全性能的监视和测量;b)信息安全管理体系(ISMS)有效性的监视和测量,包括其过程和控制措施;c)监视和测量结果的分析和评价。目的:ISO/IEC 27004 (GB/T 3149)提供一个能根据ISO/IEC 27001 (GB/T 22080)对ISMS有效性 进行测量的框架。1.4.4 I SO/1 EC 27005 (GB/T 31722)信息技术安全技术信息安全风险管理范围:该文件提供了信息安全风险管理指南。该文件中描述的方法支持ISO/IEC 27001 (GB/T 22080) 中规范的一般概念。目的:ISO/IEC 27005 (GB/T 31722)提供关于实施面向过程的风险管理方法的指南,以帮助圆满 实施和满足ISO/IEC 27001 (GB/T 22080)的信息安全风险管理要求。1.4.5 I SO/1 EC 27007 (GB/T 28450)信息安全、网络空间安全和隐私保护信息安全管理体系审核指南范围:除了ISO 19011中包含的适用于一般管理体系的指南外,该文件还提供了关于进行ISMS审核 的指南,以及关于信息安全管理体系审核员胜任力的指