信息技术 安全技术 信息安全管理体系 要求

声明

本文是学习29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿. 下载地址 http://github5.com/view/54234而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

信息安全管理体系标准族

一般信息

信息安全管理体系（ISMS）标准族由一系列已发布的或制定中的相互关联的标准组成，并包含许多重要的结构组件。这些组件着重于对ISMS要求（ISO/IEC 27001｜GB/T 22080）、对进行ISO/IEC 27001｜GB/T 22080符合性认证的认证机构的要求（ISO/IEC 27006｜GB/T 25067）和对行业特定ISMS实施的附加要求框架（ISO/IEC 27009）进行描述的规范性标准。其他标准提供ISMS实施的各方面指南，包括通用过程以及行业特定指南。

ISMS标准族中各标准之间的关系如图1所示。

1. ISMS标准族关系

ISMS标准族的每一个标准按照其在ISMS标准族中的类型（或角色）和编号分别在下面描述。相应的条款为：

1. 给出概述和术语的标准（见4.2）；
2. 规范要求的标准（见4.3）；
3. 给出一般指南的标准（见4.4）；
4. 给出行业特定指南的标准（见4.5）。

给出概述和术语的标准

ISO/IEC 27000｜GB/T 29246（本标准）

信息技术 安全技术 信息安全管理体系 概述和词汇

范围：该标准为组织和个人提供：

1. ISMS标准族的概述；
2. 信息安全管理体系的介绍；
3. ISMS标准族中使用的术语和定义。

目的：该标准描述信息安全管理体系的基础，形成ISMS标准族的主题，并定义相关术语。

规范要求的标准

ISO/IEC 27001｜GB/T 22080

信息技术 安全技术 信息安全管理体系 要求

范围：该标准规范在组织整体业务风险的语境下建立、实施、运行、监视、评审、保持和改进正式信息安全管理体系（ISMS）的要求。它规范可被用来定制以满足单个组织或其部门需要的信息安全控制的实现要求。该标准可被用于所有类型、规模和性质的组织。

目的：ISO/IEC 27001｜GB/T 22080为ISMS的开发和运行提供规范性要求，包括一套控制和降低信息资产相关风险的控制。组织通过运行ISMS寻求对其信息资产的保护。组织可以对其运行的ISMS的符合性进行审核和认证。作为ISMS过程的一部分，应从ISO/IEC 27001｜GB/T 22080附录A中选择对所识别要求适合的控制目标和控制。ISO/IEC 27001｜GB/T 22080附录A