声明
本文是学习29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
信息安全管理体系
概述
管理体系标准提供一个在建立和运行管理体系时可遵循的模型。专门为信息安全开发的管理体系标准称为信息安全管理体系(Information Security Management System,简称ISMS)标准族。
通过使用ISMS标准族,组织能够开发和实施管理其信息资产安全的框架,包括财务信息、知识产权和员工详细资料,或者受客户或第三方委托的信息。这些标准还可用于对组织应用ISMS保护其信息做独立评估准备。
信息安全管理体系标准族
信息安全管理体系(ISMS)标准族(见第4章)旨在帮助所有类型和规模的组织实施和运行ISMS。在《信息技术 安全技术》通用标题下,ISMS标准族由下列标准组成(按标准号排序):
- ISO/IEC 27000|GB/T 29246 信息安全管理体系 概述和词汇(Information security management systems — Overview and vocabulary)
- ISO/IEC 27001|GB/T 22080 信息安全管理体系 要求(Information security management systems — Requirements)
- ISO/IEC 27002|GB/T 22081 信息安全控制实践指南(Code of practice for information security controls)
- ISO/IEC 27003|GB/T 31496 信息安全管理体系实施指南(Information security management system implementation guidance)
- ISO/IEC 27004|GB/T 31497 信息安全管理 测量(Information security management — Measurement)
- ISO/IEC 27005|GB/T 31722 信息安全风险管理(Information security risk management)
- ISO/IEC 27006|GB/T 25067 信息安全管理体系审核认证机构的要求(Requirements for bodies providing audit and certification of information security management systems)
- ISO/IEC 27007 信息安全管理体系审核指南(Guidelines for information security management systems auditing)
- ISO/IEC TR 27008|GB/Z 32916 信息安全控制措施审核员指南(Guidelines for auditors on information security controls)
- ISO/IEC 27009 ISO/IEC 27001的行业特定应用 要求(Sector-specific application of ISO/IEC 27001 — Requirements)
- ISO/IEC 27010|GB/T 32920 行业间和组织间通信的信息安全管理(Information security management for inter-sector and inter-organizational communications)
- ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全管理指南(Information security management guidelines for telecommunications organizations based on ISO/IEC 27002)
- ISO/IEC 27013 ISO/IEC 27001和ISO/IEC 20000-1综合实施指南(Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000‑1)
- ISO/IEC 27014|GB/T 32923 信息安全治理(Governance of information security)
- ISO/IEC TR 27015 金融服务信息安全管理指南(Information security management guidelines for financial services)
- ISO/IEC TR 27016 信息安全管理 组织经济学(Information security management — Organizational economics)
- ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制实践指南(Code of practice for information security controls based on ISO/IEC 27002 for cloud services)
- ISO/IEC 27018 可识别个人信息(PII)处理者在公有云中保护PII的实践指南(Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)
- ISO/IEC 27019 基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南(Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry)
注:通用标题《信息技术 安全技术》是指这些标准是由ISO/IEC的信息技术委员会(JTC1)下属的安全技术分委员会(SC27)制定的。
不在通用标题《信息技术 安全技术》之下,但也属于ISMS标准族的标准如下:
- ISO 27799 健康信息学 使用ISO/IEC 27002的健康信息安全管理(Health informatics — Information security management in health using ISO/IEC 27002)
信息安全管理体系范围
本标准概述了信息安全管理体系(ISMS),提供了ISMS标准族中常用的术语及其定义。本标准适用于所有类型和规模的组织(例如,商业企业、政府机构、非盈利组织)。
信息安全管理体系术语和定义
下列术语和定义适用于本文件。
访问控制 access control
确保对资产的访问是基于业务和安全要求(2.63)进行授权和限制的手段。
分析模型 analytical model
将一个或多个基本测度(2.10)和(或)导出测度(2.22)关联到决策准则(2.21)的算法或计算。
攻击 attack
企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。
属性 attribute
可由人工或自动化手段定量或定性辨别的对象(2.55)特性或特征。
[ISO/IEC 15939:2007,定义2.2