信息安全技术 信息安全管理体系 概述和词汇 征求意见稿

声明

本文是学习29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

信息安全管理体系

概述

管理体系标准提供一个在建立和运行管理体系时可遵循的模型。专门为信息安全开发的管理体系标准称为信息安全管理体系（Information Security Management System，简称ISMS）标准族。

通过使用ISMS标准族，组织能够开发和实施管理其信息资产安全的框架，包括财务信息、知识产权和员工详细资料，或者受客户或第三方委托的信息。这些标准还可用于对组织应用ISMS保护其信息做独立评估准备。

信息安全管理体系标准族

信息安全管理体系（ISMS）标准族（见第4章）旨在帮助所有类型和规模的组织实施和运行ISMS。在《信息技术 安全技术》通用标题下，ISMS标准族由下列标准组成（按标准号排序）：

• ISO/IEC 27000｜GB/T 29246 信息安全管理体系 概述和词汇（Information security management systems — Overview and vocabulary）
• ISO/IEC 27001｜GB/T 22080 信息安全管理体系 要求（Information security management systems — Requirements）
• ISO/IEC 27002｜GB/T 22081 信息安全控制实践指南（Code of practice for information security controls）
• ISO/IEC 27003｜GB/T 31496 信息安全管理体系实施指南（Information security management system implementation guidance）
• ISO/IEC 27004｜GB/T 31497 信息安全管理 测量（Information security management — Measurement）
• ISO/IEC 27005｜GB/T 31722 信息安全风险管理（Information security risk management）
• ISO/IEC 27006｜GB/T 25067 信息安全管理体系审核认证机构的要求（Requirements for bodies providing audit and certification of information security management systems）
• ISO/IEC 27007 信息安全管理体系审核指南（Guidelines for information security management systems auditing）
• ISO/IEC TR 27008｜GB/Z 32916 信息安全控制措施审核员指南（Guidelines for auditors on information security controls）
• ISO/IEC 27009 ISO/IEC 27001的行业特定应用 要求（Sector-specific application of ISO/IEC 27001 — Requirements）
• ISO/IEC 27010｜GB/T 32920 行业间和组织间通信的信息安全管理（Information security management for inter-sector and inter-organizational communications）
• ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全管理指南（Information security management guidelines for telecommunications organizations based on ISO/IEC 27002）
• ISO/IEC 27013 ISO/IEC 27001和ISO/IEC 20000-1综合实施指南（Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000‑1）
• ISO/IEC 27014｜GB/T 32923 信息安全治理（Governance of information security）
• ISO/IEC TR 27015 金融服务信息安全管理指南（Information security management guidelines for financial services）
• ISO/IEC TR 27016 信息安全管理 组织经济学（Information security management — Organizational economics）
• ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制实践指南（Code of practice for information security controls based on ISO/IEC 27002 for cloud services）
• ISO/IEC 27018 可识别个人信息（PII）处理者在公有云中保护PII的实践指南（Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors）
• ISO/IEC 27019 基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南（Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry）

注：通用标题《信息技术 安全技术》是指这些标准是由ISO/IEC的信息技术委员会（JTC1）下属的安全技术分委员会（SC27）制定的。

不在通用标题《信息技术 安全技术》之下，但也属于ISMS标准族的标准如下：

• ISO 27799 健康信息学 使用ISO/IEC 27002的健康信息安全管理（Health informatics — Information security management in health using ISO/IEC 27002）

信息安全管理体系范围

本标准概述了信息安全管理体系（ISMS），提供了ISMS标准族中常用的术语及其定义。本标准适用于所有类型和规模的组织（例如，商业企业、政府机构、非盈利组织）。

信息安全管理体系术语和定义

下列术语和定义适用于本文件。

访问控制 access control

确保对资产的访问是基于业务和安全要求（2.63）进行授权和限制的手段。

分析模型 analytical model

将一个或多个基本测度（2.10）和（或）导出测度（2.22）关联到决策准则（2.21）的算法或计算。

攻击 attack

企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。

属性 attribute

可由人工或自动化手段定量或定性辨别的对象（2.55）特性或特征。

[ISO/IEC 15939:2007，定义2.2