中华人民共和国国家标准信息技术安全技术信息安全管理体系概述和词汇发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会实施发布目次前言引言范围术语和定义信息安全管理体系介绍什么是过程方法为什么重要建立监视保持和改进关键成功因素标准族的益处标准族一般信息概述和术语标准要求标准一般指南标准行业特定指南标准附录资料性附录条款表达的措辞形式附录资料性附录术语分类参考文献前言本标准按照给出的规则起草本标准使用翻译法等同采用信息技术述和词汇安全技术信息安全管理体系概本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位中国电子技术标准化研究所上海三零卫士有限公司北京信息安全测评中心本标准主要起草人上官晓丽许玉娜闵京华赵章界引言概述管理体系标准为建立和运行管理体系提供一个可遵循的模型这个模型综合了该领域中专家已达成一致的可代表国际技术发展水平的特征国际信息安全技术标准化组织设置了一个专家委员会专门开发信息安全管理体系国际标准也称为信息安全管理体系简称标准族组织通过使用标准族能够开发和实施管理其信息资产安全的框架并为保护组织信息诸如财务信息知识产权员工详细资料或者受客户或第三方委托的信息的的独立评估做准备标准族标准族旨在帮助所有类型和规模的组织实施和运行在信息技术通用标题下标准族由下列标准组成信息技术安全技术信息安全管理体系信息技术安全技术信息技术安全技术概述和词汇信息安全管理体系安全技术信息安全管理体系实施指南信息技术安全技术信息安全管理测量安全技术信息安全风险管理信息技术证机构的要求信息技术安全技术信息技术安全管理指南注通用标题信息技术安全技术要求信息安全管理实用规则信息技术信息技术安全技术这一信息安全管理体系审核认信息安全管理体系审核指南安全技术基于的电信行业组织的信息安全技术是指这些标准是由制定的不在通用标题信息技术安全技术之列同时也属于标准族的标准如下所示健康信息学使用的健康信息安全管理本标准的目的本标准提供了信息安全管理体系的概述该体系形成了标准族的主题并定义了相关术语注附录阐明了标准族在文字表达上如何区分要求和或指南标准族包括的标准定义的要求及其认证机构的要求提供对整个规划实施检查处置过程和要求的直接支持详细指南和或解释阐述特定行业的指南阐述的一致性评估本标准提供的术语和定义本节中列出的没有指明发布年的标准仍在开发中包含标准族中通用的术语和定义未包含标准族使用的所有术语和定义不限制标准族定义各自使用的术语相对于涉及中所有控制措施的标准而言那些仅阐述中控制措施实施的标准不包括在标准族内信息技术安全技术信息安全管理体系概述和词汇范围本标准提供标准族的概述信息安全管理体系的介绍规划实施检查处置过程的简要描述标准族所用的术语和定义本标准适用于所有类型的组织例如商业企业政府机构非赢利组织术语和定义下列术语和定义适用于本文件注定义或注中的术语如果在条款的其他地方被定义则以黑体标出并在其后的圆括号中标明其条目号这种黑体术语可以在定义中替换为其完整的定义示例攻击被定义为破坏泄露篡改损伤偷窃未授权访问或未授权使用资产的企图资产被定义为对组织有价值的任何东西如果术语资产被其定义替换则攻击的定义变为破坏泄露篡改损伤偷窃未授权访问或未授权使用对组织有价值的任何东西的企图访问控制基于业务要求和安全要求确保授权和受限地访问资产的手段可核查性实体的一种特性表征对自己的动作和做出的决定负责资产对组织有价值的任何东西注有许多类型的资产包括信息资产软件如计算机程序物理资产如计算机服务人员及其资格技能和经验无形资产如名誉和形象攻击破坏泄露篡改损伤偷窃未授权访问或未授权使用资产的企图鉴别确保一个实体声称的特征是正确的保障措施真实性一个实体正是其所声称实体的特性可用性根据授权实体的要求可访问和使用的特性业务连续性确保持续的业务运作的过程和或规程保密性信息不能被未授权的个人实体或者过程利用或知悉的特性控制措施管理风险的方法包括方针规程指南惯例或组织结构它们可以是行政技术管理法律等方面的注控制措施也用作防护措施或对策的同义词控制目标描述实施控制措施的结果所要达到的目标的声明纠正措施消除已查明的不符合项或其他不期望情形的成因的措施有效性实现计划活动和达到计划结果的程度效率所达到的结果和资源使用情况之间的关系事态一组特别情况的发生指南为达到目标而期望做什么的建议影响对已达到的业务目标水平的不利改变信息资产对组织有价值的知识或数据信息安全保持信息的保密性完整性和可用性注此外诸如真实性可核查性抗抵赖和可靠性等其他特性也可被包括进来信息安全事态已识别的一种系统服务或网络状态的发生指出可能违反信息安全方针或控制措施失效或者一种可能与安全相关但以前不为人知的情况信息安全事件一个或一系列意外或不期望的信息安全事态它它们极有可能损害业务运行并威胁信息安全信息安全事件管理发现报告评估响应处理和总结信息安全事件的过程信息安全管理体系整个管理体系的一部分基于业务风险方法建立实施运行监视评审保持和改进信息安全信息安全风险威胁利用单个或一组资产的脆弱性并对组织造成损害的可能性完整性保护资产的准确和完整的特性实现组织目标的方针规程指南和相关资源的框架管理体系抗抵赖证明所声称事态或行为的发生及其发起实体的能力以解决有关事态或行为发生与否以及事态中实体是否牵涉的争端方针管理者正式发布的总的宗旨和方向预防措施消除潜在不符合项或其他不期望的潜在情形的成因的措施规程执行活动或过程的规定方式过程将输入转换成输出的相互关联或相互作用的活动集记录陈述所达到的结果或提供所执行活动的证据的文件可靠性与预期行为和结果一致的特性风险事态发生的可能性及其后果的组合风险接受接受风险的决定风险分析系统地使用信息以识别风险来源并估算风险注风险分析为风险评价风险处置和风险接受提供基础风险评估风险分析和风险评价的整个过程风险沟通决策者和其他利益相关者之间关于风险的信息交换或共享风险准则评估风险重要程度的参照条款风险估算为风险发生的可能性及其后果赋值的活动风险评价将估算的风险与给定的风险准则加以比较以确定风险严重性的过程风险管理指导和控制一个组织相关风险的协调活动注风险管理一般包括风险评估风险处置风险接受风险沟通风险监视和风险评审风险处置选择并且执行措施来更改风险的过程适用性声明描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文件威胁可能导致对系统或组织的损害的不期望事件发生的潜在原因脆弱性可能会被威胁所利用的资产或控制措施的弱点信息安全管理体系介绍所有类型和规模的组织收集处理存储和传输大量信息认识到信息以及相关过程系统网络和人是实现组织目标的重要资产面临可能影响资产发挥作用的许多风险通过实施信息安全控制措施更改风险组织持有和处理的所有信息在使用中易受攻击错误自然灾害例如洪水或火灾等威胁和内在脆弱性的影响术语信息安全一般是建立在作为有价值资产的信息基础之上这些信息需要适当的保护例如防止可用性保密性和完整性的丧失使准确和完整的信息为已授权的需要者及时可用可提高业务效率通过有效地定义实现保持和改进信息安全来保护信息资产对于组织实现其目标并保持和提高法律符合性及自身形象来说必不可少用以指导适当控制措施的实施和处理不可接受的信息安全风险的协调活动通常被认为是信息安全管理的要素由于信息安全风险和控制措施的有效性随着环境的变化而改变组织需监视和评价已实施的控制措施和规程的有效性识别需要处理的新出现的风险视需要选择实施和改进适当的控制措施为了关联和协调这种信息安全活动每个组织需要建立信息安全方针和目标并通过使用管理体系来有效地达到这些目标什么是概述和原则提供了一个建立实施运行监视评审保持和改进保护信息资产的模型以实现组织的业务目标该目标是基于风险评估和组织为有效处置和管理风险而设定的风险可接受级别来确定的分析信息资产的保护要求并按照要求应用适当的控制措施确保这些信息资产得到保护有助于的成功实施下列基本原则也有助于的成功实施认识到信息安全的需要分配信息安全的责任得到管理承诺和反映利益相关者的利益提升社会价值观进行风险评估用以确定适当的控制措施来达到可接受的风险级别将安全作为一个基本要素纳入信息网络和系统主动预防和发现信息安全事件确保有一个整体的信息安全管理方法持续地对信息安全进行再评估和适时进行修正信息信息是一种资产像其他重要的业务资产一样对组织业务来说是必不可少的因此需要得到适当的保护信息可以以许多形式存储包括数字形式例如存储在电子或光介质上的数据文件物质形式例如在纸上以及以员工知识形式存在的未被表示的信息信息可采用各种不同手段进行传输包括信使电子通讯或口头交谈不管信息采用什么形式存在或什么手段传输它总是需要适当的保护组织的信息依赖信息和通信技术这种技术是任何组织中的基本元素并有助于创建处理存储传输保护和销毁信息随着全球业务环境互联程度的不断扩大由此现在的信息面临着各种各样大量的威胁和脆弱性因此保护信息的需求就随之增多信息安全信息安全主要包括保密性可用性和完整性信息安全以确保业务成功和持续性以及将影响最小化为目标涉及到应用和管理防范各种威胁的适当安全措施信息安全是通过实施一套适用的控制措施来实现的包括方针策略过程规程组织结构软件和硬件这套控制措施通过所选用的风险管理过程来选择并使用来管理以保护已识别的信息资产这些控制措施需要得到详细说明实施监视评审和必要时的改进以确保满足组织的特定安全和业务目标相关的信息安全控制措施宜与组织的业务过程充分整合管理管理包括一些活动指导控制和不断改进在适当结构中的组织这样的管理活动包括有关组织处理指导监督和控制资源的行为方式或实践管理结构从小规模组织的一个人到大规模组织中许多个体所组成的管理层次体系就而言管理包括通过保护组织的信息资产来实现业务目标所必需的监督和决策信息安全的管理是通过制定和使用为所有与组织相关的人员所应用的贯穿于整个组织的信息安全方针标准规程和指南来表达管理体系管理体系使用资源框架来达到组织的目标管理体系包括组织结构方针策略规划活动责任实践规程过程和资源就信息安全而言管理体系可以使组织满足客户和其他利益相关者的安全要求改进组织的计划和活动符合组织的信息安全目标遵从法律法规规章和行业要求采取有组织的方式管理信息资产以便于持续改进和调整以适应当前的组织目标和环境过程方法为使组织有效运作需要识别和管理众多活动任何使用资源的活动需要予以管理以便能够用一组相互关联或相互作用的活动来完成从输入到输出的转换这也称为过程一个过程的输出可直接形成另一个过程的输入通常这个转换是在计划和受控的条件下完成的组织内过程的系统化应用连同这些过程的识别和相互作用及其管理可称作过程方法标准族中所呈现的过程方法基于管理体系标准中所采用的运行原则通常称为规划实施检查处置过程规划确定目标并制定计划分析组织的情况确定整体目标和设定具体目标并制定实现这些目标的计划实施实施计划完成计划要做的事情检查测量结果测量监视达到计

pdf文档 GB-T 29246-2012 信息技术 安全技术 信息安全管理体系 概述和词汇

文档预览
中文文档 24 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共24页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
GB-T 29246-2012 信息技术 安全技术 信息安全管理体系 概述和词汇 第 1 页 GB-T 29246-2012 信息技术 安全技术 信息安全管理体系 概述和词汇 第 2 页 GB-T 29246-2012 信息技术 安全技术 信息安全管理体系 概述和词汇 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-05-24 14:26:44上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。