信息技术安全技术信息安全管理体系概述和词汇(GBT29246—2017)
展开全文
GB/T29246—2017 《信息技术 安全技术 信息安全管理体系 概述和词汇》使用翻译法等同采用 ISO/IEC27000:2016《信息技术 安全技术 信息安全管理体系 概述和词汇》,2017年12月29日发布,2018年7月1日实施。标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。TC260负责专业范围为国内信息安全,秘书处所在单位为中国电子技术标准化研究院。
本文仅列举标准主要条款,为准确理解标准全部要求,请通过正规渠道获取标准全文。
引言
0.1 概述
vipabc英语管理体系标准提供一个在建立和运行管理体系时可遵循的模型。专门为信息安全开发的管理体系标准称为信息安全管理体系(Information Security Management System,简称ISMS)标准族。
0.2 信息安全管理体系标准族
信息安全管理体系(ISMS)标准族旨在帮助所有类型和规模的组织(例如商业企业、政府机构、非盈利组织)实施和运行ISMS。
ISMS标准族关系
注:信息技术标准的代号为ISO/IEC TR
ISO/IEC 27000 | 信息技术 安全技术 信息安全管理体系 概述和词汇 |
ISO/IEC 27001 | 信息技术 安全技术 信息安全管理体系 要求 |
ISO/IEC 27002 | 信息技术 安全技术 信息安全控制实践指南 |
ISO/IEC 27003 | brandoff信息技术 安全技术 信息安全管理体系实施指南 | 一年级数学教学计划
ISO/IEC 27004 | 信息技术 安全技术 信息安全管理 测量 |
ISO/IEC 27005 | 信息技术 安全技术 信息安全风险管理汉语翻译英语 |
ISO/IEC 27006 | 信息技术 安全技术 信息安全管理体系审核认证机构要求 |
ISO/IEC 27007 | 信息技术 安全技术 信息安全管理体系审核指南cosy |
ISO/IEC TR 27008 | 哥伦布传信息技术 安全技术 ISMS 控制措施的审核员指南 |
ISO/IEC 27009 | ISO/IEC 27001的行业特定应用 要求 |
ISO/IEC 27010 | 行业间和组织间通信的信息安全管理 |
ISO/IEC 27011 | 基于ISO/IEC 27002的电信组织信息安全管理指南 |
ISO/IEC 27013 | ISO/IEC 27001和ISO/IEC20000-1综合实施指南 |
ISO/IEC 27014libertad | 信息安全治理 |
| 音标mp3下载 ISO/IEC 27015 | 金融服务信息安全管理指南 |
ISO/IEC TR 27016 | 信息安全管理 组织经济学 |
ISO/IEC 27017 | 基于ISO/IEC 27002的云服务信息安全控制实践指南 |
ISO/IEC 27018 | 可识别个人信息处理者(PII)在公有云中保护PII的实践指南 |
ISO/IEC TR 27019 | 基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南 |
| |
2 术语和定义2.1 访问控制 access control
确保对资产的访问是基于业务和安全要求进行授权和控制的手段。
2.3 攻击 attack
企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。
2.5 审核 audit
获取审核证据并客观地对其评价以确定满足审核准则程度的,系统的、独立的和文档化的过程。
2.9 可用性 availability
根据授权实体的要求可访问和可使用的特性
2.12 保密性 confidentiality
信息对未授权的个人、实体或过程不可用或不泄露的特性。
2.13 符合性 conformity
对要求的满足
2.16 控制 control
改变风险的措施,包括任何改变风险的过程、策略、设备、实践或其他措施。
2.18 纠正 correction
消除已查明的不符合的措施
2.19 整改措施 corrective action
消除不符合成因以防再次发生的措施。
2.25 事态 event
一组特定情形的发生或改变。
注1:一个事态可能是一个或多个发生,并可能有多种原因。
注2:一个事态可能由一些未发生的事情组成。
注3:一个事态可能有时被称为“事件”或“事故”。
2.28 信息安全治理 governance of information curity
指导和控制组织信息安全活动的体系
2.32 信息处理设施 information processing facilities
任何的信息处理系统、服务或基础设施,或者其安置的物理位置。
2.33 信息安全 information curity
对信息的保密性、完整性和可用性的保持。
2.35 信息安全事态 information curity event
英语名言警句识别到的一种系统、服务或网络状态的发生,表明可能违反信息安全策略或控制失效,或者一种可能与信息安全相关但还不为人知的情况。
2.36 信息安全事件 information curity incident
>weakness
