GB∕T 29246-2017 信息技术 安全技术信息安全管理体系 概述和词汇
- 文档部分内容预览:
GB∕T 29246-2017 信息技术 安全技术信息安全管理体系 概述和词汇
应用、服务、信息技术资产或其他信息处理组件
46—2017/ISO/IEC2700
/T29246—2017/ISO/IEC27000:2016
完整性integrity 准确和完备的特性。 2.41 受益相关方 interested party 对于一项决策或活动,可能对其产生影响,或被其影响,或认为自已受到其影响的 2.42 内部语境 internalcontext 组织(2.57)寻求实现其目标的内部环境。 [ISOGuide73:2009,定义3.3.1.2] 注:内部语境可以包括如下方面: 治理、组织结构、角色和职责; 策略(2.60)、目标(2.56)和要实现它们的战略; 在资源和知识方面的能力[如资本、时间、人员、过程(2.61)、系统和技术」; 信息系统(2.39)、信息流和决策过程(2.61)(正式的和非正式的); 一与内部利益相关方(2.82)的关系及其认知和价值观; 组织(2.57)的文化: 组织(2.57)采用的标准、指南和模型; 契约关系的形式和程度。 2.43 信息安全管理体系项目ISMSproject 组织(2.57)为实施ISMS所开展的结构化活动。 2.44 风险程度 levelof risk 以后果(2.14)和其可能性(2.45)的组合来表示的风险(2.68)大小。 [ISOGuide73:2009,定义3.6.1.8,做了修改:删除定义中的"或风险组合” 2.45 可能性likelihood 某事发生的概率。 [ISOGuide73:2009,定义3.6.1.1,做了修改:删除注1和注2] 2.46 管理体系 management system 组织中相互关联或相互作用的要素集,用来建立策略(2.60)和目标(2.56)以及达 程(2.61)。 注1:一个管理体系可能专注于单一学科或多个学科。 注2:体系要素包括组织结构、角色和责任、规划、运行。 注3:一个管理体系范围可能包括组织(2.57)的整体、组织(2.57)的特定且确定的功能、组织(2. 部门,或者跨一组组织(2.57)的一个或多个功能。 2.47 测度measure 作为测量(2.48)结果赋值的变量。 LISO/IEC15939:2007,定义2.15,做了修改
完整性integrity 准确和完备的特性。 41 受益相关方interestedparty 对于一项决策或活动污水处理标准规范范本,可能对其产生影响,或被其影响,或认为自已受到 42 内部语境 internal context 组织(2.57)寻求实现其目标的内部环境。 [ISOGuide73:2009,定义3.3.1.2] 注:内部语境可以包括如下方面: 治理、组织结构、角色和职责; 策略(2.60)、目标(2.56)和要实现它们的战略 在资源和知识方面的能力[如资本、时间、人员、过程(2.61)、系统和技术」; 信息系统(2.39)、信息流和决策过程(2.61)(正式的和非正式的); 与内部利益相关方(2.82)的关系及其认知和价值观: 组织(2.57)的文化; 组织(2.57)采用的标准、指南和模型; 契约关系的形式和程度
测度measure 作为测量(2.48)结果赋值的变量。 [ISO/IEC15939:2007,定义2.15,做了修改] 注:术语"测度”是基本测度(2.10)、导出测度(2.22)和指标(2.30)的统称
T29246—2017/ISO/IEC27000:2016
组织organization
具有自身的功能、责任、权威和关系来实现其目标(2.56)的人或一组人。
具有自身的功能、责任、权威和关系来实现其目标(2.56)的人或一组
/T29246—2017/ISO/IEC27000:2016
注:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或部分或其 合,不论注册与否,公共的还是私营的。 2.58 外包 outsource 做出由外部组织(2.57)执行部分的组织(2.57)功能或过程(2.61)的安排, 注:外部组织在管理体系(2.46)的范围之外,尽管外包的功能或过程(2.61)在范围之内。 2.59 性能performance 可测量的结果, 注1:性能可以涉及定量或定性的调查结果。 注2:性能可以涉及活动、过程(2.61)、产品(包括服务)、系统或组织(2.57)的管理 2.60 策略 policy 由最高管理者(2.84)正式表达的组织(2.57)的意图和方向。 2.61 过程 process 将输入转换成输出的相互关联或相关作用的活动集。 2.62 可靠性 reliability 与预期行为和结果一致的特性。 2.63 要求 requirement 明示的、默认的或强制性的需要或期望 注1:“默认的"意指所考虑的需要或期望是不言而喻的,对于组织(2.57)或受益相关方(2.41)是惯例或常见做法 注2:指定要求是在例如文档化信息(2.23)中明示的 2.64 残余风险 residual risk 风险处置(2.79)后余下的风险(2.68)。 注1:残余风险可能包含未识别的风险(2.68) 注2:残余风险也可以被称为“保留风险”。 2.65 评审 review 针对实现所设立目标(2.54)的主题,为确定其适宜性、充分性和有效性(2.24)而采取的活动。 [ISOGuide73:2009,定义3.8.2.2,做了修改:删除注1] 2.66 评审对象 review object 被评审的特定事项。 2.67 评审目标 reviewobjective 描述评审(2.65)结果要达到什么的陈述。 2.68 风险risk 对目标的不确定性影响。 [ISOGuide73:2009,定义1.1.做了修改]
注:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或部分或其 合,不论注册与否,公共的还是私营的。 2.58 外包 outsource 做出由外部组织(2.57)执行部分的组织(2.57)功能或过程(2.61)的安排。 注:外部组织在管理体系(2.46)的范围之外,尽管外包的功能或过程(2.61)在范围之内。 2.59 性能performance 可测量的结果, 注1:性能可以涉及定量或定性的调查结果。 注2:性能可以涉及活动、过程(2.61)、产品(包括服务)、系统或组织(2.57)的管理 2.60 策略 policy 由最高管理者(2.84)正式表达的组织(2.57)的意图和方向。 2.61 过程 process 将输入转换成输出的相互关联或相关作用的活动集。 2.62 可靠性 reliability 与预期行为和结果一致的特性。 2.63 要求 requirement 明示的、默认的或强制性的需要或期望。 注1:“默认的”意指所考虑的需要或期望是不言而喻的,对于组织(2.57)或受益相关方(2.41)是惯例或常见做法 注2:指定要求是在例如文档化信息(2.23)中明示的 2.64 残余风险 residual risk 风险处置(2.79)后余下的风险(2.68)。 注1:残余风险可能包含未识别的风险(2.68)。 注2:残余风险也可以被称为“保留风险”。 2.65 评审 review 针对实现所设立目标(2.54)的主题,为确定其适宜性、充分性和有效性(2.24)而采取的活动。 [ISOGuide73:2009,定义3.8.2.2,做了修改:删除注1] 2.66 评审对象 reviewobject 被评审的特定事项。 2.67 评审目标 reviewobjective 描述评审(2.65)结果要达到什么的陈述。 2.68 风险risk 对目标的不确定性影响。 [ISOGuide73:2009,定义1.1,做了修改」
T29246—2017/ISO/IEC27000:2016
注1:影响是指与期望的偏离(正向的或反向的)。 注2:不确定性是对事态(2.25)及其结果(2.14)或可能性(2.45)的相关信息、理解或知识缺乏的状态(即使是部分 的)。 注3:风险常被表征为潜在的事态(2.25)和后果(2.14),或者它们的组合。 注4:风险常被表示为事态(2.25)的后果(2.14)(包括情形的改变)和其发生可能性(2.45)的组合。 注5:在信息安全(2.33)管理体系(2.46)的语境下,信息安全(2.33)风险可被表示为对信息安全(2.33)目标(2.56)的 不确定性影响 注6:信息安全(2.33)风险与威胁(2.83)利用信息资产或信息资产组的脆弱性(2.89)对组织(2.57)造成危害的潜力 相关。
注1:影响是指与期望的偏离(正间的或反向的)。 注2:不确定性是对事态(2.25)及其结果(2.14)或可能性(2.45)的相关信息、理解或知识缺乏的状态(即使是部分 的)。 注3:风险常被表征为潜在的事态(2.25)和后果(2.14),或者它们的组合。 注4:风险常被表示为事态(2.25)的后果(2.14)(包括情形的改变)和其发生可能性(2.45)的组合。 注5:在信息安全(2.33)管理体系(2.46)的语境下,信息安全(2.33)风险可被表示为对信息安全(2.33)目标(2.56)的 不确定性影响 注6:信息安全(2.33)风险与威胁(2.83)利用信息资产或信息资产组的脆弱性(2.89)对组织(2.57)造成危害的潜力 相关。
风险评价riskevaluation 将风险分析(2.70)的结果与风险准则(2.73)比较以确定风险(2.68)和(或)其大小是否可接受或 忍的过程(2.61)
/T29246—2017/ISO/IEC27000:2016
462017/ISO/IEC2700
LISOGuide73:2009,定义3.7.1 注:风险评价辅助风险处置(2.79)的决策。 2.75 风险识别 riskidentification 发现、识别和描述风险(2.61)的过程(2.61)。 [ISOGuide73:2009,定义3.5.1] 注1:风险识别涉及风险源、事态(2.25)及其原因和潜在后果(2.14)的识别。 注2:风险识别可能涉及历史数据、理论分析、知情者和专家的意见以及利益相关方(2.82)的需要。 2.76 风险管理 riskmanagement 指导和控制组织(2.57)相关风险(2.57)的协调活动。 [ISOGuide73:2009,定义2.1] 2.77 风险管理过程 riskmanagementprocess 管理策略(2.60)、规程和实践在沟通、咨询、语境建立以及识别、分析、评价、处置、监视和评审风险 (2.68)活动上的系统性应用。 [ISOGuide73:2009,定义3.1,做了修改:增加注1] 注:ISO/IEC27005使用术语过程"(2.61)来描述全面风险管理。在风险管理(2.76)过程(2.61)中的要素被称为 “活动”。 2.78 风险责任者 riskowner 具有责任和权威来管理风险(2.68)的人或实体。 [ISOGuide73:2009,定义3.5.1.5] 2.79 风险处置 risktreatment 改变风险(2.68)的过程(2.61)。 [ISOGuide73:2009,定义3.8.1,做了修改:将注1中的“决策”替换为“选择”] 注1:风险处置可能涉及如下方面: 通过决定不启动或不继续进行产生风险(2.68)的活动来规避风险(2.68); 承担或增加风险(2.68)以追求机会; 消除风险(2.68)源; 一改变可能性(2.45); 一改变后果(2.14); 一与另外一方或多方共担风险(2.68)(包括合同和风险融资); 有根据地选择保留风险(2.68), 注2:处理负面后果(2.14)的风险处置有时被称为"风险缓解”"风险消除”"风险防范"和"风险降低”。 注3:风险处置可能产生新的风险(2.68)或改变现有风险(2.68)。 2.80 尺度scale 连续的或离散的值的有序集合,或者对应属性(2.4)的类集合。 LISO/IEC15939:2007,定义2.35,做了修改 注:尺度的类型取决于尺度上值之间关系的性质。通常定义如下四种尺度类型: 名义的:测量(2.48)值是类别化的; 一顺序的:测量(2.48)值是序列化的; 间距的:测量(2.48)值对应于属性(2.4)的等同量是等距离的:
[ISOGuide73:2009,定义3.7.1] 注:风险评价辅助风险处置(2.79)的决策, 风险识别 riskidentification 发现、识别和描述风险(2.61)的过程(2.61)。 [ISOGuide73:2009,定义3.5.1] 注1:风险识别涉及风险源、事态(2.25)及其原因和潜在后果(2.14)的识别 注2:风险识别可能涉及历史数据、理论分析、知情者和专家的意见以及利益相关方(2.82)的需要。 风险管理 riskmanagement 指导和控制组织(2.57)相关风险(2.57)的协调活动。 [ISOGuide73:2009.定义2.1] 风险管理过程 riskmanagementprocess 管理策略(2.60)、规程和实践在沟通、咨询、语境建立以及识别、分析、评价、处置、监视 68)活动上的系统性应用。 [ISOGuide73:2009,定义3.1,做了修改:增加注1] 注:ISO/IEC27005使用术语"过程"(2.61)来描述全面风险管理。在风险管理(2.76)过程(2.61)中 “活动”。 风险责任者 riskowner 具有责任和权威来管理风险(2.68)的人或实体。 [ISOGuide73:2009,定义3.5.1.5] 风险处置 risktreatment 改变风险(2.68)的过程(2.61)。 [ISOGuide73:2009,定义3.8.1,做了修改:将注1中的“决策”替换为“选择”] 注1:风险处置可能涉及如下方面: 通过决定不启动或不继续进行产生风险(2.68)的活动来规避风险(2.68); 承担或增加风险(2.68)以追求机会; 消除风险(2.68)源; 一改变可能性(2.45); 改变后果(2.14); 与另外一方或多方共担风险(2.68)(包括合同和风险融资); 有根据地选择保留风险(2.68) 注2:处理负面后果(2.14)的风险处置有时被称为"风险缓解”"风险消除”“风险防范"和"风险降低”。 注3:风险处置可能产生新的风险(2.68)或改变现有风险(2.68)。 尺度scale 连续的或离散的值的有序集合,或者对应属性(2.4)的类集合。 LISO/IEC15939:2007,定义2.35,做了修改 注:尺度的类型取决于尺度上值之间关系的性质。通常定义如下四种尺度类型: 名义的:测量(2.48)值是类别化的; 顺序的:测量(2.48)值是序列化的; 间距的:测量(2.48)值对应于属性(2.4)的等同量是等距离的;
T29246—2017/ISO/IEC27000:2016
各种类型和规模的组织:
各种类型和规模的组织:
46—2017/ISO/IEC2700
/T29246—2017/ISO/IEC27000:2016
b)认识到信息及其相关过程、系统、网络和人是实现组织目标的重要资产; c)面临可能影响资产运作的一系列风险; d)通过实施信息安全控制应对其感知的风险。 组织持有和处理的所有信息在使用中易受到攻击、过失、自然灾害(例如,洪水或火灾)等威胁以及 内在脆弱性的影响。术语“信息安全”一般是建立在被认为有价值的信息资产的基础上,这些信息需要 适当的保护,例如,防止可用性、保密性和完整性的丧失。使准确和完整的信息对已授权的需要者及时 可用,可促进提升业务效率。 通过有效地定义、实现、维护和改进信息安全来保护信息资产,对于组织实现其目标并保持和增强 其合法及形象,必不可少。指导适当控制的实施和处置不可接受的信息安全风险这些协调活动,通常被 认为是信息安全管理的要素。 由于信息安全风险和控制的有效性随着环境的变化而改变,组织需要: a)监视和评价已实施的控制和规程的有效性; b)1 识别待处置的新出现的风险; c)视需要选择、实施和改进适当的控制。 为了关联和协调这类信息安全活动,每个组织需要建立其信息安全策略和目标,并通过便用管理体 系有效地实现这些目标
信息安全管理体系(ISMS)由策略、规程、指南和相关资源及活动组成,由组织集中管理,目的在于 保护其信息资产。ISMS是建立、实施、运行、监视、评审、维护和改进组织信息安全来实现业务目标的 系统方法。它是基于风险评估和组织的风险接受程度,为有效地处置和管理风险而设计。分析信息资 产保护要求,并按要求应用适当的控制来切实保护这些信息资产,有助于ISMS的成功实施。下列基本 原则也有助于ISMS的成功实施: a) 意识到信息安全的需要; b) 分配信息安全的责任; 包含管理者的承诺和利益相关方的利益; g d) 提升社会价值; e) 进行风险评估来确定适当的控制,以达到可接受的风险程度; f) 将安全作为信息网络和系统的基本要素; g) 主动防范和发现信息安全事件; h) 确保信息安全管理方法的全面性; i) 持续对信息安全进行再评估并在适当时进行修正
信息是一种资产,像其他重要的业务资产一样,对组织业务来说必不可少,因此需要得到适当保护。 言息可以以多种形式存储,包括:数字形式(例如,存储在电子或光介质上的数据文件)、物质形式(例如, 全纸上),以及以员工知识形式存在、未被表现的信息。信息可以采用客种手段进行传输,包括:信使、电 子通信或口头交流。不管信息采用什么形式存在或什么手段传输,它总是需要适当的保护。 在许多组织中,信息依赖于信息和通信技术。这种技术往往是组织的基本要素,协助信息的创建、 处理、存储、传输、保护和销毁。
T29246—2017/ISO/IEC27000:2016
信息安全确保信息的保密性、可用性和完整性。信息安全包含应用和管理适当的控制,这些控制广 泛地考虑到各种威胁,目标是确保业务的持续成功和连续性,并最大限度地减少信息安全事件的后果。 信息安全是通过实施一套适用的控制来实现,这套控制通过所采用的风险管理过程选出,并使用 SMS来管理,包括策略、过程、规程、组织结构、软件和硬件,用以保护已识别的信息资产。这些控制需 要得到详细说明、实施、监视、评审和必要时的改进,以确保满足组织的特定信息安全和业务目标。相关 信息安全控制宜与组织业务过程无缝集成
管理包含在适当的结构中指导、控制和持续改进组织的活动。管理活动包括组织、处理、指导、监督 和控制资源的行为、方式或实践。管理结构从小规模组织中的一个人扩展到大规模组织中由许多人组 成的管理层次结构。 就ISMS而言,管理包含通过保护组织的信息资产来实现业务目标所必要的监督和决策。信息安 全的管理通过信息安全策略、规程和指南的制定与采用来表达,然后应用到整个组织中所有与组织相关 的个人。
管理体系采用一种资源框架来实现组织的目标。管理体系包括组织结构、策略、规划、责任、实践、 规程、过程和资源。 就信息安全而言,管理体系使组织: a)满足客户和其他利益相关方的信息安全要求; b) 改进组织的计划和活动; c) 满足组织的信息安全目标; d) 遵从法律法规、规章制度和行业规定; e) 以有组织的方式管理信息资产,来促进持续改进和调整当前的组织目标
组织需要识别和管理众多活动来有效果和有效率地运作。任何使用资源的活动都需要被管理,以 更能够使用一组相互关联或相互作用的活动完成输入到输出的转换,这也被称为过程。一个过程的输 出可以直接形成另一个过程的输人,通常这个转换是在计划和受控的条件下完成。过程系统在组织中 的应用,连同这些过程的识别和交互及其管理,可被称为“过程方法”
3.4为什么ISMS重要
与组织的信息资产相关的风险需要加以解决。实现信息安全需要管理风险,包括与组织内部或组 织使用的所有形式的信息相关,来自物理、人类和技术相关威胁的风险。 采用ISMS宜是一个组织的战略决策,并且有必要根据组织的需要进行无缝集成、规模调整利 更新。 设计和实施组织的ISMS受组织的需要和目标、安全要求、采用的业务过程以及组织的规模和结格 影响。设计和运行ISMS需要反映组织的利益相关方(包括客户、供应商、业务伙伴、股东和其他相关第 三方)的利益和信息安全要求。 在相互连接的世界中,信息和相关的过程、系统和网络组成关键业务资产。组织及其信息系统和网 络面临来源广泛的安全威胁,包括计算机辅助欺诈、间谍活动、蓄意破坏、火灾和洪水。由恶意代码、计
/T29246—2017/ISO/IEC27000:2016
算机黑客和拒绝服务攻击造成的信息系统和网络的损害已变得更加普遍、更有野心和目益复杂。 ISMS对于公共和私营部门业务都是重要的。在任何行业,ISMS是使电子商务成为可能,是风险 管理活动所必需的。公共和私营网络的互联以及信息资产的共享增加了信息访问控制和处理的难度。 另外,含有信息资产的移动存储设备的分布能够消弱传统控制的有效性。当组织采用了ISMS标准族, 更可以向业务伙伴和其他受益相关方证明其运用一致的和互认的信息安全原则的能力, 在信息系统的设计和开发中,信息安全有时并没被考虑到的。而且,信息安全常被认为是技术解决 方案。然而,能够通过技术手段实现的信息安全是有限的,并且若没有ISMS语境下适当的管理和规程 支持,可能是无效的。将安全集成到已经功能完备的信息系统中可能是困难和昂贵的。ISMS包含识 别哪些控制已经就位,并且要求仔细规划和注意细节。举例来说,访问控制,可能是技术的(逻辑的)、物 理的、行政的(管理的)或某种组合,提供一种手段来确保对信息资产的访问是基于业务和信息安全要求 得到授权和受限制的。 成功采用ISMS对于保护信息资产是重要的,它使组织能够: a) 更好地保障其信息资产得到持续的充分保护免受威胁; b 保持一个结构化和全面的框架,来识别和评估信息安全风险,选择和应用适用的控制,并测量 和改进其有效性; c) 持续改进其控制环境; d)有效地实现法律法规的合规性
3.5建立、监视、保持和改进ISMS
组织在建立、监视、保持和改进其ISMS时,需要采取如下步骤: a 识别信息资产及其相关的信息安全要求(见3.5.2); b) 评估信息安全风险(见3.5.3)和处置信息安全风险(见3.5.4); 选择和实施相关控制来管理不可接受的风险(见3.5.5); d)监视、保持和改进组织信息资产相关控制的有效性(见3.5.6)。 为确保ISMS持续有效地保护组织的信息资产,有必要不断重复步骤a)~d)来识别风险的变化,或 者组织战略或业务目标的变化
5.2识别信息安全要求
在组织的整体战略和业务目标及其规模和地理分布的范围内,信息安全要求可以通过了解如下方 面来识别: a)t 已识别的信息资产及其价值; b)信息处理、存储和通信的业务需求; c)法律法规、规章制度和合同要求, 对组织信息资产的相关风险进行的系统化评估将包含分析信息资产面临的威胁、信息资产存在的 脆弱性、威胁实现的可能性,以及任何信息安全事件对信息资产的潜在影响。相关控制的支出宜与感知 的风险成为现实时所造成的业务影响相称
3.5.3评估信息安全风险
管理信息安全需要一种适合的风险评估和风险处置方法,该方法可能包括成本和效益的估算、法 求、利益相关方的关切和其他适合的输入和变量 风险评估宜识别、量化并依据风险接受准则和组织目标排序风险。评估结果宜指导和确定适当
T29246—2017/ISO/IEC27000:2016
管理行动及其优先级,以管理信息安全风险和实施所选择的控制来抵御这些风险 风险评估宜包括估算风险大小(风险分析)的系统性方法和将估算的风险与风险准则比较来确定风 险重要性(风险评价)的过程。 风险评估宜定期以及当发生重大变化时进行,以便应对信息安全要求和风险状况的变化,例如,资 产、威胁、脆弱性、影响、风险评价等方面的变化。这些风险评估宜以系统化方式进行,从而能够产生可 比较和可重现的结果, 信息安全风险评估为了有效宜有一个明确界定的范围,还宜包括与其他区域风险评估的关系(如果 合适)。 ISO/IEC27005提供信息安全风险管理指南,包括对风险评估、风险处置、风险接受、风险报告、风 险监视和风险评审的建议,还包括风险评估方法的示例
3.5.4处置信息安全风险
在考虑风险处置前,组织宜确定决定风险是否可接受的准则。如果评估结果是,例如,风险低或处 置成本不符合成本效益,风险可能也会被接受。这样的决定宜被记录。 对于经过风险评估后识别的每个风险,需要做出风险处置决定。可能的风险处置选项包括如下, a)采用适当的控制来降低风险; b) 在明显满足组织策略和风险接受准则的条件下,有意并客观地接受风险; ) 通过不允许导致风险发生的行动来规避风险; d 与其他方共担相关风险,例如,保险公司或供应商, 对于那些已决定采用适当控制来处置的风险,宜选择和实施相应控制
3.5.5选择和实施控制
一且识别了信息安全要求,明确和评估厂所识别信息资产的信息安全风险(见3.5.3),并做出了信 息安全风险处置的决定,则选择和实施风险降低的控制。 控制宜确保将风险降低至可接受程度,并考虑到以下方面: a)[ 国家法律法规的要求和约束; b) 组织目标; 运行要求和约束; d) 风险降低的相关实施和运行成本,保持与组织要求和约束相称; e) 监视、评价和改进信息安全控制的效果和效率,以支持组织的目标; f)控制的实施和运行投人与信息安全事件可能导致的损失之间平衡的需要。 ISO/IEC27002中规范的控制是公认的适用于多数组织的最佳实践,并易于裁剪来适应各种规模 和复杂度的组织。ISMS标准族中的其他标准为选择和应用ISO/IEC27002控制来建立信息安全管理 本系提供指南。 信息安全控制宜在系统和项目要求的规范与设计阶段就加以考虑。否则,可能导致额外成本和低 效解决方案,最坏情况下,可能无法实现足够的安全。控制可以选自ISO/IEC27002或其他控制集,或 者设计新的控制来满足组织的特定需要。需要承认,一些控制可能不适用于每个信息系统或环境,可能 不适用于所有组织。 有时需要时间来实施所选择的一组控制,但在这期间的风险程度可能不可长期承受。风险准则宜 涵盖在实施控制期间风险的短期承受性。在分步实施控制时,宜告知受益相关方不同时间点上估算或 预计的风险程度。 宜记住没有一套控制能够实现完全的信息安全。宜实施额外的管理行动来监视、评价和改进信息 安全控制的效果和效率以支持组织目标,
生声明中记录控制的选择和实施来辅助合规要求
3.5.6监视、保持和改进ISMS有效性
/T29246—2017/ISO/IEC27000:2016
组织需要通过对照组织的策略和目标监视和评估执行情况, ,并将结果报告给管理者进行评审,来保 寺和改进ISMS。这种ISMS评审将检查ISMS是否包含了适合处置ISMS范围内风险的控制。此外, 基于所监视区域的记录,提供对纠正、预防和改进措施进行确认和追溯的证据
3.6ISMS关键成功因素
很多因素对于一个组织成功实施ISMS来满足其业务目标都是关键的。关键成功因素的例子 包括: a) 信息安全策略、目标和与目标一致的活动; b) 与组织文化一致的,信息安全设计、实施、监视、保持和改进的方法与框架; c) 来自所有管理层级,特别是最高管理者的可见支持和承诺; d) 对应用信息安全风险管理(见ISO/IEC27005)实现信息资产保护的理解; e) 有效的信息安全意识、培训和教育计划,以使所有员工和其他相关方知悉在信息安全策略、标 准等当中他们的信息安全义务,并激励他们做出相应的行动; f) 有效的信息安全事件管理过程; g) 有效的业务持续性管理方法; h)评价信息安全管理性能的测量系统和反馈的改进建议。 ISMS将增加组织持续实现其信息资产所需关键成功因素的可能性
3.7ISMS标准族的益处
T29246—2017/ISO/IEC27000:2016
462017/ISO/IEC2700
其特定环境的相关控制,并在面临内部和外部变化的情况下保持这些控制 为信息安全提供共同语言和概念基础,使得在业务伙伴中利用合规的ISMS建立信心更为容 易,尤其是当他们需要由一个认可的认证机构进行ISO/IEC27001认证时。 e) 增加利益相关方对组织的信任。 1) 满足社会的需要和期望。 g 更有效、经济的信息安全投资管理
信息安全管理体系标准族
信息安全管理体系(ISMS)标准族由一系列已发布的或制定中的相互关联的标准组成,并包含许多 重要的结构组件。这些组件着重于对ISMS要求(ISO/IEC27001)、对进行ISO/IEC27001符合性认 正的认证机构的要求(ISO/IEC27006)和对行业特定ISMS实施的附加要求框架(ISO/IEC27009)进 行描述的规范性标准。其他标准提供ISMS实施的各方面指南,包括通用过程以及行业特定指南。 ISMS标准族中各标准之间的关系如图1所示
图1ISMS标准族关系
ISMS标准族的每一个标准按照其在ISMS标准族中的类型(或角色)和编号分别在下面描述。 的条款为: a) 给出概述和术语的标准(见4.2); b) 规范要求的标准(见4.3); c) 给出一般指南的标准(见4.4); d)给出行业特定指南的标准(见4.5)
ISMS标准族的每一个标准按照其在ISMS标准族中的类型(或角色)和编号分别在下面描述。 的条款为: a) 给出概述和术语的标准(见4.2); 规范要求的标准(见4.3); 给出一般指南的标准(见4.4); d) 给出行业特定指南的标准(见4.5)。
4.2给出概述和术语的标准
4.2.1ISO/IEC 27000
信息技术安全技术 信息安全管理体系 概述和词汇 16
46—2017/ISO/IEC2700
/T29246—2017/ISO/IEC27000:2016
范围:该标准为组织和个人提供: a ISMS标准族的概述; b)信息安全管理体系的介绍; c)ISMS标准族中使用的术语和定义。 目的:该标准描述信息安全管理体系的基础,形成ISMS标准族的主题,并定义相关术语
4.3.1ISO/IEC 27001
信息技术安全技术信息安全管理体系要求 范围:该标准规范在组织整体业务风险的语境下建立、实施、运行、监视、评审、保持和改进正式信息 安全管理体系(ISMS)的要求。它规范可被用来定制以满足单个组织或其部门需要的信息安全控制的 实现要求。该标准可被用于所有类型、规模和性质的组织。 目的:ISO/IEC27001为ISMS的开发和运行提供规范性要求,包括一套控制和降低信息资产相关 风险的控制。组织通过运行ISMS寻求对其信息资产的保护。组织可以对其运行的ISMS的符合性进 行审核和认证。作为ISMS过程的一部分,应从ISO/IEC270O1附录A中选择对所识别要求适合的控 制目标和控制。ISO/IEC27001附录A.1中列出的控制目标和控制是直接来自ISO/IEC27002第5章~ 第18章并与其一致。
4.3.2ISO/IEC27006
信息技术安全技术信息安全管理体系审核认证机构的要求 范围:该标准在ISO/IEC17021所含要求的基础上,为依据ISO/IEC27001提供审核和ISMS认证 的机构,规范要求并提供指南。它主要为依据ISO/IEC27001提供ISMS认证的认证机构的认可提供 支持。 目的:ISO/IEC27006是对ISO/IEC17021的补充,提供对认证组织进行认可的要求,以此许可这 些组织一贯地提供对ISO/IEC27001要求的符合性认证
4.4给出一般指南的标准
4.4.1ISO/IEC27002
信息技术安全技术信息安全控制实践指南 范围:该标准提供一套被广泛接受的控制目标和最佳实践的控制,为选择和实施实现信息安全的控 制提供指南。 目的:ISO/IEC27002提供关于信息安全控制实施的指南。特别是第5章~第18章为支持ISO/ IEC27001中所规范的控制提供最佳实践方面的具体实施建议和指南
4.4.2ISO/IEC27003
信息技术安全技术信息安全管理体系实施指南 范围:该标准为依据ISO/IEC27OO1建立、实施、运行、监视、评审、保持和改进ISMS提供实用的实 施指南和进一步信息。 且的:ISO/IEC27003为依据ISO/IEC27001成功实施ISMS提供面向过程的方法
4.4.3ISO/IEC 27004
信息技术安全技术信息安全管理测量
T29246—2017/ISO/IEC27000:2016
范围:该标准为了对ISO/IEC27001所规范的,用于实施和管理信息安全的,ISMS、控制目标和控 制的有效性进行评估,提供测量的开发和使用指南及建议, 目的:ISO/IEC27004提供一种测量框架,以便能够依据ISO/IEC27001对ISMS的有效性进行 测量。
4.4.4ISO/IEC27005
信息技术安全技术信息安全风险管理 范围:该标准为信息安全风险管理提供指南。该标准给出的方法支持ISO/IEC27001中所规范的 般概念。 目的:ISO/IEC27005为实施面向过程的风险管理方法提供指南,有助于圆满实施和兑现ISO/IEC 27001中的信息安全风险管理要求
4.4.5ISO/IEC27007
信息技术安全技术信息安全管理体系审核指南 范围:该标准在适用于一般管理体系的ISO19011指南的基础上,为ISMS审核实施以及信息安全 管理体系审核员能力提供指南。 目的:ISO/IEC27007为需要依据ISO/IEC27001中所规范的要求,进行ISMS内部或外部审核或 者管理ISMS审核方案的组织提供指南
4.4.6ISO/EC TR 27008
信息技术安全技术信息安全控制措施审核员指南 范围:该指导性技术文件为评审控制措施的实施和运行符合组织建立的信息安全标准提供指南,包 括信息系统控制措施的技术符合性检查。 目的:该指导性技术文件重点在于评审信息安全控制措施,包括对照组织建立的信息安全实施标准 险查技术符合性。它不是为分别在ISO/IEC27004、ISO/IEC27005或ISO/IEC27007中规范的测量、 风险评估或ISMS审核.提供任何具体的符合性检查指南。该指导性技术文件不用于管理体系审核。
4.4.7ISO/IEC27013
4.4.8ISO/IEC27014
信息技术安全技术信息安全治理 范围:该标准就信息安全治理的原则和过程提供指南,组织依此可以评价、指导和监视信息安全 管理。 目的:信息安全已成为组织的一个关键问题。不仅法律法规要求日益增加,而且组织的信息安全措 18
/T29246—2017/ISO/IEC27000:2016
施失效会直接影响其声誉。因此,治理者越来越需要承担起治理责任中的信息安全监督职责,来确保组 织目标的实现
4.4.9ISO/IEC TR 270
范围:该指导性技术文件提供一种方法学,以使组织能够更好地从经济上理解如何准确估价其所识 别的信息资产,评价这些信息资产面临的潜在风险,认识对这些信息资产进行保护控制的价值,并确定 用于保护这些信息资产的资源最佳配置程度 目的:该指导性技术文件在组织所处的更广泛社会环境的语境下,在组织信息资产的保护中叠加经 对ISMS标准族的补充
4.5给出行业特定指南的标准
4.5.1ISO/IEC 27010
信息技术安全技术行业间和组织间通信的信息安全管理 范围:该标准在ISMS标准族已有指南的基础上,为在信息共享社区中实施信息安全管理提供指 南,特别是为在组织间和行业间启动、实施、保持和改进信息安全另外提供控制和指南。 目的:该标准适用于所有形式的敏感信息交换与共享,不论公共的还是私人的、国内的还是国际的, 同行业或市场的还是行业间的。特别是,它可适用于与组织或国家关键基础设施的供给、维护和保护相 送的信息交换与共享
4.5.2ISO/IEC27011
信息技术安全技术基于ISO/IEC27002的电信组织信息安全管理指南 范围:该标准为支持在电信组织中实施信息安全控制提供指南。 目的:ISO/IEC27011能使电信组织满足保密性、完整性、可用性和任何其他相关安全属性的信息 安全管理基线要求
4.5.3ISO/IEC TR 27015
信息技术安全技术金融服务信息安全管理指南 范围:该指导性技术文件在ISMS标准族已有指南的基础上,为在提供金融服务的组织中启动、实 施、保持和改进信息安全提供指南, 目的:该指导性技术文件是对ISO/IEC27001和ISO/IEC27002的专业补充,为提供金融服务的 组织所用,以提供如下方面的支持: a)启动、实施、保持和改进基于ISO/IEC27001的信息安全管理体系。 b)设计和实施ISO/IEC27002或该标准中定义的控制
4.5.4ISO/IEC27017
信息技术安全技术基于ISO/IEC27002的云服务信息安全控制实践指南 范围:ISO/IEC27017通过提供如下指南给出适用于云服务供给和使用的信息安全控制指南: ISO/IEC27002中规范的相关控制的额外实施指南; 与云服务特别相关的额外控制及其实施指南。 目的:该标准为云服务提供者和云服务客户提供控制和实施指南
T29246—2017/ISO/IEC27000:2016
2017/IS0/IEC27000
4.5.5ISO/IEC27018
信息技术安全技术可识别个人信息(PII)处理者在公有云中保护PII的实践指南 范围:ISO/IEC27018按照ISO/IEC29100中公有云计算环境下的隐私保护原则,为保护可识别个 人信息(PII)建立被广泛接受的控制目标和控制,并提供措施的实施指南。 目的:该标准适用于通过与其他组织签约的云计算提供信息处理服务,作为PII处理者的组织,不 论公共企业还是私营企业、政府机构还是非营利组织。该标准中的指南可能与作为PII控制者的组织 也有关,但PII控制者可能受制于额外的,不适用于PII处理者的且不在该标准范围内的,保护PII的法 律法规、规章制度和义务。
4.5.6ISO/IECTR27019
信息技术安全技术基于ISO/IEC27002的能源供给行业过程控制系统信息安全管理指南 范围:ISO/IECTR27019就能源供给行业过程控制系统中实施的信息安全控制提供指南。能源 共给行业的过程控制系统,与支持过程的控制相结合,对电力、燃气和供热的产生、传输、存储和分配进 行控制和监视。特别是包括如下系统、应用和组件: 全面信息技术(IT)支持的集中式和分布式过程控制、监视和自动化技术以及用于其运行的IT 系统,诸如编程和参数化设备; 数字控制器和自动化组件,诸如控制和现场设备或可编程逻辑控制器(PLC),包括数字传感器 和执行器元件; 过程控制领域中用到的所有进一步的IT系统支持,例如对补充的数据可视化任务的支持,对 控制、监控、数据归档和文档化的支持; 过程控制领域中用到的全部通信技术,例如,网络、遥测、远程控制应用和远程控制技术; 数字计量和测量装置,例如,对能量消耗、产生和释放的测量; 数字保护和安全系统,例如,继电保护或安全PLC; 未来智能电网环境下的分布式组件; 上述系统中安装的所有软件、固件和应用。 目的:在ISO/IEC27002所规范的安全目标和措施的基础上,该指导性技术文件为能源供给行业 知能源供应商使用的系统提供满足其进一步特定要求的信息安全控制的指南,
4.5.7ISO 2779g
健康信息学使用ISO/1EC27002的健康信息安全管理 范围:该标准为支持信息安全管理在健康组织中实施提供指南。 目的:ISO27799基于ISO/IEC27002,除了那些满足ISO/IEC27001附录A要求的指南外二建标准规范范本,为健 康组织提供其行业独特的指南
46—2017/ISO/IEC2700
/T29246—2017/ISO/IEC27000:2016
附录A (资料性附录) 条款表达的措辞形式 ISMS标准族的每个标准文件本身没有对任何人施加遵从的义务。但是,这种义务可以通过,例 如装修设计教程,法律或合同被施加。为了能够声明符合一个标准文件,用户需要能够识别要满足的要求。用户还需 要能够将这些要求与其他可选的建议进行区分。 下表阐明ISMS标准族文件如何在措辞上区分要求和建议,
该表是基于《ISO/IEC导则 第2部分:国际标准结构和起草规则》(2011版)的附录H。
T29246—2017/ISO/IEC27000:2016
....- 相关专题: 信息安全技术