GB∕T 29246-2017标准规范下载简介
GB∕T 29246-2017 信息技术 安全技术信息安全管理体系 概述和词汇简介:
GB/T 29246-2017是中国的一项信息技术安全技术标准,全称为“信息技术 安全技术 信息安全管理体系 概述和词汇简介”。这个标准主要规定了信息安全管理体系(Information Security Management System, ISMS)的基础概念、、原则、过程、活动及术语的定义,为建立、实施、保持和改进ISMS提供了指导。
在标准中,ISMS被定义为一个结构化的方法,它将组织中的信息安全作为一项重要业务来管理,通过系统化的管理过程,确保信息资产的安全,包括信息的机密性、完整性、可用性。它包括组织的政策、过程、规程和指南,以及必要的资源。
标准主要包括以下内容: 1. ISMS概述:解释ISMS的目的、范围和如何与其他管理系统相协调。 2. ISMS:描述了一个基于风险管理的ISMS,包括规划、实施、运行、监控和改进五个阶段。 3. ISMS原则:列举了信息安全管理应遵循的基本原则,如系统化管理、领导作用、全员参与、过程方法、风险导向、持续改进等。 4. ISMS过程和活动:定义了一系列与信息安全相关的管理过程和活动,如信息安全方针的制定、风险评估、风险处理、信息安全控制的实施和持续改进等。 5. 术语和定义:为理解和应用ISMS提供了统一的术语和定义。
该标准适用于所有组织,无论其规模、类型或活动性质,旨在帮助组织建立、实施、维护和持续改进ISMS,以保护其信息资产,降低信息安全风险,同时提升组织的业务性能。
GB∕T 29246-2017 信息技术 安全技术信息安全管理体系 概述和词汇部分内容预览:
4.5.1ISO/IEC 27010
信息技术安全技术行业间和组织间通信的信息安全管理 范围:该标准在ISMS标准族已有指南的基础上,为在信息共享社区中实施信息安全管理提供指 南,特别是为在组织间和行业间启动、实施、保持和改进信息安全另外提供控制和指南。 目的:该标准适用于所有形式的敏感信息交换与共享,不论公共的还是私人的、国内的还是国际的, 同行业或市场的还是行业间的。特别是,它可适用于与组织或国家关键基础设施的供给、维护和保护相 送的信息交换与共享
4.5.2ISO/IEC27011
《水及燃气用球墨铸铁管、管件和附件 GB/T 13295-2013》信息技术安全技术基于ISO/IEC27002的电信组织信息安全管理指南 范围:该标准为支持在电信组织中实施信息安全控制提供指南。 目的:ISO/IEC27011能使电信组织满足保密性、完整性、可用性和任何其他相关安全属性的信息 安全管理基线要求
4.5.3ISO/IEC TR 27015
信息技术安全技术金融服务信息安全管理指南 范围:该指导性技术文件在ISMS标准族已有指南的基础上,为在提供金融服务的组织中启动、实 施、保持和改进信息安全提供指南, 目的:该指导性技术文件是对ISO/IEC27001和ISO/IEC27002的专业补充,为提供金融服务的 组织所用,以提供如下方面的支持: a)启动、实施、保持和改进基于ISO/IEC27001的信息安全管理体系。 b)设计和实施ISO/IEC27002或该标准中定义的控制
4.5.4ISO/IEC27017
信息技术安全技术基于ISO/IEC27002的云服务信息安全控制实践指南 范围:ISO/IEC27017通过提供如下指南给出适用于云服务供给和使用的信息安全控制指南: ISO/IEC27002中规范的相关控制的额外实施指南; 与云服务特别相关的额外控制及其实施指南。 目的:该标准为云服务提供者和云服务客户提供控制和实施指南
T29246—2017/ISO/IEC27000:2016
2017/IS0/IEC27000
4.5.5ISO/IEC27018
信息技术安全技术可识别个人信息(PII)处理者在公有云中保护PII的实践指南 范围:ISO/IEC27018按照ISO/IEC29100中公有云计算环境下的隐私保护原则,为保护可识别个 人信息(PII)建立被广泛接受的控制目标和控制,并提供措施的实施指南。 目的:该标准适用于通过与其他组织签约的云计算提供信息处理服务,作为PII处理者的组织,不 论公共企业还是私营企业、政府机构还是非营利组织。该标准中的指南可能与作为PII控制者的组织 也有关,但PII控制者可能受制于额外的,不适用于PII处理者的且不在该标准范围内的,保护PII的法 律法规、规章制度和义务。
4.5.6ISO/IECTR27019
信息技术安全技术基于ISO/IEC27002的能源供给行业过程控制系统信息安全管理指南 范围:ISO/IECTR27019就能源供给行业过程控制系统中实施的信息安全控制提供指南。能源 共给行业的过程控制系统,与支持过程的控制相结合,对电力、燃气和供热的产生、传输、存储和分配进 行控制和监视。特别是包括如下系统、应用和组件: 全面信息技术(IT)支持的集中式和分布式过程控制、监视和自动化技术以及用于其运行的IT 系统,诸如编程和参数化设备; 数字控制器和自动化组件,诸如控制和现场设备或可编程逻辑控制器(PLC),包括数字传感器 和执行器元件; 过程控制领域中用到的所有进一步的IT系统支持,例如对补充的数据可视化任务的支持,对 控制、监控、数据归档和文档化的支持; 过程控制领域中用到的全部通信技术,例如,网络、遥测、远程控制应用和远程控制技术; 数字计量和测量装置,例如,对能量消耗、产生和释放的测量; 数字保护和安全系统,例如,继电保护或安全PLC; 未来智能电网环境下的分布式组件; 上述系统中安装的所有软件、固件和应用。 目的:在ISO/IEC27002所规范的安全目标和措施的基础上,该指导性技术文件为能源供给行业 知能源供应商使用的系统提供满足其进一步特定要求的信息安全控制的指南,
4.5.7ISO 2779g
健康信息学使用ISO/1EC27002的健康信息安全管理 范围:该标准为支持信息安全管理在健康组织中实施提供指南。 目的:ISO27799基于ISO/IEC27002,除了那些满足ISO/IEC27001附录A要求的指南外,为健 康组织提供其行业独特的指南
46—2017/ISO/IEC2700
/T29246—2017/ISO/IEC27000:2016
附录A (资料性附录) 条款表达的措辞形式 ISMS标准族的每个标准文件本身没有对任何人施加遵从的义务。但是,这种义务可以通过,例 如,法律或合同被施加。为了能够声明符合一个标准文件,用户需要能够识别要满足的要求。用户还需 要能够将这些要求与其他可选的建议进行区分。 下表阐明ISMS标准族文件如何在措辞上区分要求和建议,
该表是基于《ISO/IEC导则 第2部分:国际标准结构和起草规则》(2011版)的附录H。
T29246—2017/ISO/IEC27000:2016
ISMS标准族的术语归属者是指最初定义该术语的标准。术语归属者还要负责对定义进行维护 即提供、评审、更新和删除。 注1:ISO/IEC27000本身不定义任何术语。 注2:ISO/IEC27001和ISO/IEC27006作为规范性标准(即包含要求)总是始终作为各自术语的归属者
ISMS标准族的术语归属者是指最初定义该术语的标准。术语归属者还要负责对定义进行维 提供、评审、更新和删除。 注1:ISO/IEC27000本身不定义任何术语。 注2:ISO/IEC27001和ISO/IEC27006作为规范性标准(即包含要求)总是始终作为各自术语的归属者
B.2ISMS标准族中使用的术语
/T29246—2017/ISO/IEC27000:2016
462017/ISO/IEC2700
T29246—2017/ISO/IEC27000:2016
B.2.9ISO/IEC27010
B.2.10ISO/IEC 2701
B.2.11ISO/IEC 27014
执行管理者 executive management 2.26 信息安全治理 governanceof information 2.28 security
B.2.12ISO/IEC TR 27015
金融服务financial services
金融服务financial services
B.2.13ISO/IEC TR 27
JIS A5504-1994 钢丝网B.2.14ISO/IEC TR 27017
能力capability 数据受侵databreach 24
治理者governingbody 利益相关方stakeholder
46—2017/ISO/IEC2700
/T29246—2017/ISO/IEC27000:2016
B.2.15ISO/IECTR27018 数据受侵databreach 可识别个人信息 personallyidentifiableinform tion,PII PII控制者PIIcontroller PPI主体PIIprincipal B.2.16ISO/IECTR27019 停电blackout 计算机安全应急响应组 Computer Emergend ResponseTeam,CERT 关键基础设施criticalinfrastructure 调试debugging 分布distribution 能源设备装置 energyequipmentinstallation 能源供给energysupply 能源供应者 energy utility
过程控制系统processcontrolsystem 安全性safety 安全系统safetysystems 智能电网 smart grid 适用性声明 statement of applicability,SOA 传输系统 transmission system
T29246—2017/ISO/IEC27000:2016
【徐州市】《城市规划管理条例》(2003年)/T29246—2017/ISO/IEC27000:2016