声明
本文是学习29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿. 下载地址而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
信息安全管理体系
概述
管理体系标准提供一个在建立和运行管理体系时可遵循的模型。专门为信息安全开发的管理体系标准称为信息安全管理体系(Information Security Management System,简称ISMS)标准族。
通过使用ISMS标准族,组织能够开发和实施管理其信息资产安全的框架,包括财务信息、知识产权和员工详细资料,或者受客户或第三方委托的信息。这些标准还可用于对组织应用ISMS保护其信息做独立评估准备。
信息安全管理体系标准族
信息安全管理体系(ISMS)标准族(见第4章)旨在帮助所有类型和规模的组织实施和运行ISMS。在《信息技术 安全技术》通用标题下,ISMS标准族由下列标准组成(按标准号排序):
- ISO/IEC 27000|GB/T 29246 信息安全管理体系 概述和词汇(Information security management systems — Overview and vocabulary)
- ISO/IEC 27001|GB/T 22080 信息安全管理体系 要求(Information security management systems — Requirements)
- ISO/IEC 27002|GB/T 22081 信息安全控制实践指南(Code of practice for information security controls)
- ISO/IEC 27003|GB/T 31496 信息安全管理体系实施指南(Information security management system implementation guidance)
- ISO/IEC 27004|GB/T 31497 信息安全管理 测量(Information security management — Measurement)
- ISO/IEC 27005|GB/T 31722 信息安全风险管理(Information security risk management)
- ISO/IEC 27006|GB/T 25067 信息安全管理体系审核认证机构的要求(Requirements for bodies providing audit and certification of information security management systems)
- ISO/IEC 27007 信息安全管理体系审核指南(Guidelines for information security management systems auditing)
- ISO/IEC TR 27008|GB/Z 32916 信息安全控制措施审核员指南(Guidelines for auditors on information security controls)
- ISO/IEC 27009 ISO/IEC 27001的行业特定应用 要求(Sector-specific application of ISO/IEC 27001 — Requirements)
- ISO/IEC 27010|GB/T 32920 行业间和组织间通信的信息安全管理(Information security management for inter-sector and inter-organizational communications)
- ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全管理指南(Information security management guidelines for telecommunications organizations based on ISO/IEC 27002)
- ISO/IEC 27013 ISO/IEC 27001和ISO/IEC 20000-1综合实施指南(Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000‑1)
- ISO/IEC 27014|GB/T 32923 信息安全治理(Governance of information security)
- ISO/IEC TR 27015 金融服务信息安全管理指南(Information security management guidelines for financial services)
- ISO/IEC TR 27016 信息安全管理 组织经济学(Information security management — Organizational economics)
- ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制实践指南(Code of practice for information security controls based on ISO/IEC 27002 for cloud services)
- ISO/IEC 27018 可识别个人信息(PII)处理者在公有云中保护PII的实践指南(Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)
- ISO/IEC 27019 基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南(Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry)
注:通用标题《信息技术 安全技术》是指这些标准是由ISO/IEC的信息技术委员会(JTC1)下属的安全技术分委员会(SC27)制定的。
不在通用标题《信息技术 安全技术》之下,但也属于ISMS标准族的标准如下:
- ISO 27799 健康信息学 使用ISO/IEC 27002的健康信息安全管理(Health informatics — Information security management in health using ISO/IEC 27002)
信息安全管理体系范围
本标准概述了信息安全管理体系(ISMS),提供了ISMS标准族中常用的术语及其定义。本标准适用于所有类型和规模的组织(例如,商业企业、政府机构、非盈利组织)。
信息安全管理体系术语和定义
下列术语和定义适用于本文件。
访问控制 access control
确保对资产的访问是基于业务和安全要求(2.63)进行授权和限制的手段。
分析模型 analytical model
将一个或多个基本测度(2.10)和(或)导出测度(2.22)关联到决策准则(2.21)的算法或计算。
攻击 attack
企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。
属性 attribute
可由人工或自动化手段定量或定性辨别的对象(2.55)特性或特征。
[ISO/IEC 15939:2007,定义2.2,做了修改:将原定义中的“实体”替换为“对象”]
审核 audit
获取审核证据并客观地对其评价以确定满足审核准则程度的,系统的、独立的和文档化的过程(2.61)。
注1:审核可以是内部审核(第一方)或外部审核(第二方或第三方),可以是结合审核(结合两个或两个以上学科)。
注2:“审核证据”和“审核准则”在ISO 19011|GB/T 19011中被定义。
审核范围 audit scope
审核(2.5)的程度和边界。
[ISO 19011:2011,定义3.14,做了修改:删除注1]
鉴别 authentication
为一个实体声称的特征是正确的而提供的保障措施。
真实性 authenticity
一个实体是其所声称实体的这种特性。
可用性 availability
根据授权实体的要求可访问和可使用的特性。
基本测度 base measure
用某个属性(2.4)及其量化方法定义的测度(2.47)。
[ISO/IEC 15939:2007,定义2.3,做了修改:删除注2]
注1:基本测度在功能上独立于其他测度(2.47)。
能力 competence
应用知识和技能实现预期结果的才能。
保密性 confidentiality
信息对未授权的个人、实体或过程(2.61)不可用或不泄露的特性。
符合性 conformity
对要求(2.63)的满足。
注1:术语“一致性”是被弃用的同义词。
后果 consequence
事态(2.25)影响目标(2.56)的结果。
[ISO Guide 73:2009,定义3.6.1.3,做了修改]
注1:一个事态(2.25)可能导致一系列后果。
注2:一个后果可以是确定的或不确定的,在信息安全(2.33)的语境下通常是负面的。
注3:后果可以被定性或定量地表示。
注4:初始后果可能因连锁效应升级。
持续改进 continual improvement
为提高性能(2.59)的反复活动。
控制 control
改变风险(2.68)的措施。
[ISO Guide 73:2009,定义3.8.1.1]
注1:控制包括任何改变风险(2.68)的过程(2.61)、策略(2.60)、设备、实践或其他措施。
注2:控制不一定总是达到预期或假定的风险改变效果。
控制目标 control objective
描述控制(2.16)的实施结果所要达到目标的声明。
纠正 correction
消除已查明的不符合(2.53)的措施。
整改措施 corrective action
消除不符合(2.53)成因以防再次发生的措施。
数据 data
基本测度(2.10)、导出测度(2.22)和(或)指标(2.30)所赋值的集合。
[ISO/IEC 15939:2007,定义2.4,做了修改:增加注1]
注1:这个定义只适用于ISO/IEC 27004|GB/T 31497的语境。
决策准则 decision criteria
用于确定行动或进一步需要调查或者描述给定结果置信度的阈值、目标或模式。
[ISO/IEC 15939:2007,定义2.7]
导出测度 derived measure
定义为两个或两个以上基本测度(2.10)值的函数的测度(2.10)。
[ISO/IEC 15939:2007,定义2.8,做了修改:删除注1]
文档化信息 documented information
组织(2.57)需要控制和维护的信息及其载体。
注1:文档化信息可以采用任何格式,在任何载体中,出自任何来源。
注2:文档化信息可能涉及
- 管理体系(2.46),包括相关过程(2.61);
- 为组织(2.57)运作所创建的信息(文档);
- 结果实现的证据(记录)。
有效性 effectiveness
实现所计划活动和达成所计划结果的程度。
事态 event
一组特定情形的发生或改变。
[ISO Guide 73:2009,定义3.5.1.3,做了修改:删除注4]
注1:一个事态可能是一个或多个发生,并可能有多种原因。
注2:一个事态可能由一些未发生的事情组成。
注3:一个事态可能有时被称为“事件”或“事故”。
执行管理者 executive management
为达成组织(2.57)意图,承担由组织治理者(2.29)委派的战略和策略实现责任的人或一组人。
注1:执行管理者有时称为最高管理者(2.84),可以包括首席执行官、首席财务官、首席信息官和类似的角色。
外部语境 external context
组织(2.57)寻求实现其目标(2.56)的外部环境。
[ISO Guide 73:2009,定义3.3.1.1]
注1:外部语境可以包括如下方面:
- 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境,无论是国际的、国家的、地区的或地方的;
- 影响组织(2.57)目标(2.56)的关键驱动力和趋势;
- 与外部利益相关方(2.82)的关系及其认知和价值观。
信息安全治理 governance of information security
指导和控制组织(2.57)信息安全(2.33)活动的体系。
治理者 governing body
对组织(2.57)的性能(2.59)和合规负有责任的人或一组人。
注1:治理者在某些司法管辖区可以是董事会。
指标 indicator
针对定义的信息需求(2.31),为分析模型(2.2)导出的属性(2.4)提供估算或评价的测度(2.47)。
信息需求 information need
对目标(2.56)、目的、风险和问题进行管理所必需的洞察。
[ISO/IEC 15939:2007,定义2.12]
信息处理设施 information processing facilities
任何的信息处理系统、服务或基础设施,或者其安置的物理位置。
信息安全 information security
对信息的保密性(2.12)、完整性(2.40)和可用性(2.9)的保持。
注1:另外,也可包括诸如真实性(2.8)、可核查性、抗抵赖(2.54)和可靠性(2.62)等其他特性。
信息安全持续性 information security continuity
确保信息安全(2.33)持续作用的过程(2.61)和规程。
信息安全事态 information security event
识别到的一种系统、服务或网络状态的发生,表明可能违反信息安全(2.33)策略(2.60)或控制(2.16)失效,或者一种可能与信息安全相关但还不为人知的情况。
信息安全事件 information security incident
单一或一系列不希望或意外的,极有可能损害业务运行和威胁信息安全(2.33)的信息安全事态(2.35)。
信息安全事件管理 information security incident management
发现、报告、评估、响应、处理和总结信息安全事件(2.36)的过程(2.61)。
信息共享社区 information sharing community
同意共享信息的组织群体(2.57)。
注1:组织(2.57)可以是一个人。
信息系统 information system
应用、服务、信息技术资产或其他信息处理组件。
完整性 integrity
准确和完备的特性。
受益相关方 interested party
对于一项决策或活动,可能对其产生影响,或被其影响,或认为自己受到其影响的人或组织(2.57)。
内部语境 internal context
组织(2.57)寻求实现其目标的内部环境。
[ISO Guide 73:2009,定义3.3.1.2]
注1:内部语境可以包括如下方面:
- 治理、组织结构、角色和职责;
- 策略(2.60)、目标(2.56)和要实现它们的战略;
- 在资源和知识方面的能力(如资本、时间、人员、过程(2.61)、系统和技术);
- 信息系统(2.39)、信息流和决策过程(2.61)(正式的和非正式的);
- 与内部利益相关方(2.82)的关系及其认知和价值观;
- 组织(2.57)的文化;
- 组织(2.57)采用的标准、指南和模型;
- 契约关系的形式和程度。
信息安全管理体系项目 ISMS project
组织(2.57)为实施ISMS所开展的结构化活动。
风险程度 level of risk
以后果(2.14)和其可能性(2.45)的组合来表示的风险(2.68)大小。
[ISO Guide 73:2009,定义3.6.1.8,做了修改:删除定义中的“或风险组合”]
可能性 likelihood
某事发生的概率。
[ISO Guide 73:2009,定义3.6.1.1,做了修改:删除注1和注2]
管理体系 management system
组织中相互关联或相互作用的要素集,用来建立策略(2.60)和目标(2.56)以及达到这些目标的过程(2.61)。
注1:一个管理体系可能专注于单一学科或多个学科。
注2:体系要素包括组织结构、角色和责任、规划、运行。
注3:一个管理体系范围可能包括组织(2.57)的整体、组织(2.57)的特定且确定的功能、组织(2.57)的特定且确定的部门,或者跨一组组织(2.57)的一个或多个功能。
测度 measure
作为测量(2.48)结果赋值的变量。
[ISO/IEC 15939:2007,定义2.15,做了修改]
注1:术语“测度”是基本测度(2.10)、导出测度(2.22)和指标(2.30)的统称。
测量 measurement
确定一个值的过程(2.61)。
注1:在信息安全(2.33)的语境下,确定一个值的过程(2.61)需要使用测量方法(2.50)、测量函数(2.49)、分析模型(2.2)和决策准则(2.21),获得关于信息安全(2.33)管理体系(2.46)及其相关控制(2.16)有效性(2.24)的信息。
测量函数 measurement function
组合两个或两个以上基本测度(2.10)的算法或计算。
[ISO/IEC 15939:2007,定义2.20]
测量方法 measurement method
用于按规定的尺度(2.80)量化属性(2.4)的通用逻辑操作序列。
[ISO/IEC 15939:2007,定义2.22,做了修改:删除注2]
注1:测量方法的类型取决于属性(2.4)量化操作的性质。可区分为以下两种类型:
- 主观的:包含人为判断的量化;
- 客观的:基于数字规则的量化。
测量结果 measurement results
对信息需要(2.31)的一个或多个指标(2.30)及其相关解释。
监视 monitoring
确定系统、过程(2.61)或活动状态的行为。
注1:为确定状态可能需要检查、监督或严密观察。
不符合 nonconformity
对要求(2.63)的不满足。
抗抵赖 non-repudiation
证明所声称事态(2.25)或行为的发生及其源头的能力。
对象 object
通过测量(2.48)其属性(2.4)来描述其特性的事项。
目标 objective
要实现的结果。
注1:目标可以是战略性的、战术性的或操作性的。
注2:目标可以涉及不同学科(诸如金融、健康与安全以及环境目标),可以适用于不同层次(诸如战略、组织、项目、产品和过程(2.61))。
注3:目标可以以其他方式表示,例如,作为预期结果、意图、操作准则,作为信息安全(2.33)目标,或者使用具有类似含义的其他词(例如,目的或标靶)。
注4:在信息安全(2.33)管理体系(2.46)的语境下,组织(2.57)制定与信息安全(2.33)策略(2.60)一致的信息安全(2.33)目标以实现特定结果。
组织 organization
具有自身的功能、责任、权威和关系来实现其目标(2.56)的人或一组人。
注1:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或部分或其组合,不论注册与否,公共的还是私营的。
外包 outsource
做出由外部组织(2.57)执行部分的组织(2.57)功能或过程(2.61)的安排。
注1:外部组织在管理体系(2.46)的范围之外,尽管外包的功能或过程(2.61)在范围之内。
性能 performance
可测量的结果。
注1:性能可以涉及定量或定性的调查结果。
注2:性能可以涉及活动、过程(2.61)、产品(包括服务)、系统或组织(2.57)的管理。
策略 policy
由最高管理者(2.84)正式表达的组织(2.57)的意图和方向。
过程 process
将输入转换成输出的相互关联或相关作用的活动集。
可靠性 reliability
与预期行为和结果一致的特性。
要求 requirement
明示的、默认的或强制性的需要或期望。
注1:“默认的”意指所考虑的需要或期望是不言而喻的,对于组织(2.57)或受益相关方(2.41)是惯例或常见做法。
注2:指定要求是在例如文档化信息(2.23)中明示的。
残余风险 residual risk
风险处置(2.79)后余下的风险(2.68)。
注1:残余风险可能包含未识别的风险(2.68)。
注2:残余风险也可以被称为“保留风险”。
评审 review
针对实现所设立目标(2.54)的主题,为确定其适宜性、充分性和有效性(2.24)而采取的活动。
[ISO Guide 73:2009,定义3.8.2.2,做了修改:删除注1]
评审对象 review object
被评审的特定事项。
评审目标 review objective
描述评审(2.65)结果要达到什么的陈述。
风险 risk
对目标的不确定性影响。
[ISO Guide 73:2009,定义1.1,做了修改]
注1:影响是指与期望的偏离(正向的或反向的)。
注2:不确定性是对事态(2.25)及其结果(2.14)或可能性(2.45)的相关信息、理解或知识缺乏的状态(即使是部分的)。
注3:风险常被表征为潜在的事态(2.25)和后果(2.14),或者它们的组合。
注4:风险常被表示为事态(2.25)的后果(2.14)(包括情形的改变)和其发生可能性(2.45)的组合。
注5:在信息安全(2.33)管理体系(2.46)的语境下,信息安全(2.33)风险可被表示为对信息安全(2.33)目标(2.56)的不确定性影响。
注6:信息安全(2.33)风险与威胁(2.83)利用信息资产或信息资产组的脆弱性(2.89)对组织(2.57)造成危害的潜力相关。
风险接受 risk acceptance
接纳特定风险(2.68)的有根据的决定。
[ISO Guide 73:2009,定义3.7.1.6]
注1:可不经风险处置(2.79)或在风险处置(2.79)过程(2.61)中做出风险接受。
注2:接受的风险(2.68)要受到监视(2.52)和评审(2.65)。
风险分析 risk analysis
理解风险(2.68)本质和确定风险等级(2.44)的过程(2.61)。
[ISO Guide 73:2009,定义3.6.1]
注1:风险分析提供风险评价(2.74)和风险处置(2.79)决策的基础。
注2:风险分析包括风险估算。
风险评估 risk assessment
风险识别(2.75)、风险分析(2.70)和风险评价(2.74)的整个过程(2.61)。
[ISO Guide 73:2009,定义3.4.1]
风险沟通与咨询 risk communication and consultation
组织(2.57)就风险(2.68)管理所进行的,提供、共享或获取信息以及与利益相关方(2.82)对话的持续和迭代过程(2.61)。
注1:这些信息可能涉及到风险(2.68)的存在、性质、形式、可能性(2.45)、重要性、评价、可接受性和处置。
注2:咨询是对问题进行决策或确定方向之前,在组织(2.57)和其利益相关方(2.82)之间进行知情沟通的双向过程(2.51)。
咨询是
- 通过影响力而不是权力来影响决策的过程(2.61);
- 决策的输入,而非联合决策。
风险准则 risk criteria
评价风险(2.68)重要性的参照条款。
[SOURCE: ISO Guide 73:2009, 3.3.1.3]
[ISO Guide 73:2009,定义3.3.1.3]
注1:风险准则是基于组织的目标以及外部语境(2.27)和内部语境(2.42)。
注2:风险准则可来自标准、法律、策略(2.60)和其他要求(2.63)。
风险评价 risk evaluation
将风险分析(2.70)的结果与风险准则(2.73)比较以确定风险(2.68)和(或)其大小是否可接受或可容忍的过程(2.61)。
[ISO Guide 73:2009,定义3.7.1]
注1:风险评价辅助风险处置(2.79)的决策。
风险识别 risk identification
发现、识别和描述风险(2.61)的过程(2.61)。
[ISO Guide 73:2009,定义3.5.1]
注1:风险识别涉及风险源、事态(2.25)及其原因和潜在后果(2.14)的识别。
注2:风险识别可能涉及历史数据、理论分析、知情者和专家的意见以及利益相关方(2.82)的需要。
风险管理 risk management
指导和控制组织(2.57)相关风险(2.57)的协调活动。
[ISO Guide 73:2009,定义2.1]
风险管理过程 risk management process
管理策略(2.60)、规程和实践在沟通、咨询、语境建立以及识别、分析、评价、处置、监视和评审风险(2.68)活动上的系统性应用。
[ISO Guide 73:2009,定义3.1,做了修改:增加注1]
注1:ISO/IEC 27005|GB/T 31722使用术语“过程”(2.61)来描述全面风险管理。在风险管理(2.76)过程(2.61)中的要素被称为“活动”。
风险责任者 risk owner
具有责任和权威来管理风险(2.68)的人或实体。
[ISO Guide 73:2009,定义3.5.1.5]
风险处置 risk treatment
改变风险(2.68)的过程(2.61)。
[ISO Guide 73:2009,定义3.8.1,做了修改:将注1中的“决策”替换为“选择”]
注1:风险处置可能涉及如下方面:
- 通过决定不启动或不继续进行产生风险(2.68)的活动来规避风险(2.68);
- 承担或增加风险(2.68)以追求机会;
- 消除风险(2.68)源;
- 改变可能性(2.45);
- 改变后果(2.14);
- 与另外一方或多方共担风险(2.68)(包括合同和风险融资);
- 有根据地选择保留风险(2.68)。
注2:处理负面后果(2.14)的风险处置有时被称为“风险缓解”、“风险消除”、“风险防范”和“风险降低”。
注3:风险处置可能产生新的风险(2.68)或改变现有风险(2.68)。
尺度 scale
连续的或离散的值的有序集合,或者对应属性(2.4)的类集合。
[ISO/IEC 15939:2007,定义2.35,做了修改]
注1:尺度的类型取决于尺度上值之间关系的性质。通常定义如下四种尺度类型:
- 名义的:测量(2.48)值是类别化的;
- 顺序的:测量(2.48)值是序列化的;
- 间距的:测量(2.48)值对应于属性(2.4)的等同量是等距离的;
- 比率的:测量(2.48)值对应于属性(2.4)的等同量是等距离的,其中零值对应于属性的空。
这些只是尺度类型的示例。
安全实施标准 security implementation standard
规定授权的安全实现方式的文件。
利益相关方 stakeholder
对于一项决策或活动,可能对其产生影响,或被其影响,或认为自己受到其影响的人或组织(2.57)。
[ISO Guide 73:2009,定义3.2.1.1,做了修改:删除注1]
威胁 threat
可能对系统或组织(2.57)造成危害的不期望事件的潜在原由。
最高管理者 top management
最高层指导和控制组织(2.57)的人或一组人。
注1:最高管理者具有在组织(2.57)内授权和提供资源的权力。
注2:如果管理体系(2.46)的范围只涵盖组织(2.57)的一部分,则最高管理者就是指指导和控制组织(2.57)这部分的人或一组人。
可信信息通信实体 trusted information communication entity
支持在信息共享社区(2.38)内进行信息交换的自主组织(2.57)。
测量单位 unit of measurement
按惯例被定义和被采纳的特定量,用于其他同类量与其比较以表示它们相对于这个量的大小。
[ISO/IEC 15939:2007,定义2.40,做了修改]
确认 validation
通过提供客观证据,证实满足特定预期使用或应用要求(2.63)的行为。
[ISO 9000:2015,定义3.8.12,做了修改]
验证 verification
通过提供客观证据,证实满足规定要求(2.63)的行为。
[ISO 9000:2015,定义3.8.4]
注1:这也可被称为符合性测试。
脆弱性 vulnerability
可能被一个或多个威胁(2.83)利用的资产或控制(2.16)的弱点。
延伸阅读
更多内容 可以点击下载 29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿. 进一步学习
266
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
