ICS 35.030 CCS L80 中华人民共和国国家标准 GB/T 29246—XXXX/ISO/IEC 27000:2018 代替 GB/T 29246—2017 信息安全技术 信息安全管理体系 概述 和词汇 Information security technology—Information security management systems—Overview and vocabulary （ISO/IEC 27000:2018，Information technology—Security techniques— Information security management systems—Overview and vocabulary，IDT） 在提交反馈意见时，请将您知道的相关专利与支持性文件一并附上。 （征求意见稿） 2022-07-01 XXXX - XX - XX 发布 国 家 市 场 监 督 管 理 总 局 国 家 标 准 化 管 理 委 员 会 XXXX - XX - XX 实施 发 布 GB/T 29246—XXXX/ISO/IEC 27000:2018 目 次 前言 ................................................................................ II 1 2 3 4 范围 ............................................................................... 1 规范性引用文件 ..................................................................... 1 术语和定义 ......................................................................... 1 信息安全管理体系（ISMS） .......................................................... 11 4.1 概要 .......................................................................... 11 4.2 ISMS 的概念 .................................................................... 11 4.3 过程方法 ...................................................................... 12 4.4 ISMS 的重要性 .................................................................. 12 4.5 建立、监视、保持和改进 ISMS .................................................... 13 4.6 ISMS 关键成功因素 .............................................................. 15 4.7 ISMS 标准族的益处 .............................................................. 16 5 信息安全管理体系标准族 ............................................................ 16 5.1 一般信息 ...................................................................... 16 5.2 概述和术语标准：ISO/IEC 27000（GB/T 29246（本文件） ） .......................... 17 5.3 要求标准 ...................................................................... 18 5.4 一般指南标准 .................................................................. 18 5.5 具体行业指南标准 .............................................................. 21 参考文献 ............................................................................ 23 索引 ................................................................................ 25 汉语拼音索引 ...................................................................... 25 英文对应术语索引 .................................................................. 28 I GB/T 29246—XXXX/ISO/IEC 27000:2018 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T 29246—2017《信息技术 安全技术 信息安全管理体系 概述和词汇》，与GB/T 29246—2017相比，除结构调整和编辑性改动外，主要技术变化如下： a) 增加了“规范性引用文件”一章（见第2章）； b) 删除了术语“分析模型”“属性”“数据”“决策准则”“执行管理者”“信息安全管理体系 （ISMS）专业人员”“信息安全管理体系项目”“测量结果”“对象”“尺度”“测量单位” “确认”“验证”（见2017年版的第3章）； c) 合并了定义相同的术语“受益相关方”（见2017年版的2.41）和“利益相关方”（见2017年版 的2.82）为“利益相关方”（见3.37）； d) 在图1中增加了ISO/IEC 27021（见图1），删除了ISO/IEC 27015（见2017年版的图1）； e) 增加了对ISO/IEC 27009（GB/T 38631）的描述（见5.3.3）； f) 增加了对ISO/IEC 27021的描述（见5.4.10）； g) 删除了对ISO/IEC 27015（已废止）的描述（见2017年版的4.5.3）； h) 更新了信息安全管理体系标准族中一些标准的描述（见第5章，2017年版的第4章）； i) 删除了2017年版的附录A和附录B。 本文件等同采用ISO/IEC 27000:2018《信息技术 安全技术 信息安全管理体系 概述和术语》。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中电长城网际系统应用有限公司、中国电子技术标准化研究院、杭州安恒信息技 术股份有限公司、中国软件评测中心、中国信息通信研究院网络安全检测评估中心、北京赛西认证有限 责任公司、中通服咨询设计研究院有限公司、国家计算机网络应急技术处理协调中心、深信服科技股份 有限公司、启明星辰信息技术集团股份有限公司、长扬科技（北京）有限公司、公安第三研究所、深圳 大学中国质量经济发展研究院、北京百度网讯科技有限公司、北京时代新威信息技术有限公司、中国长 江三峡集团有限公司。 本文件主要起草人：闵京华、王惠莅、范博、周亚超、左冉、李杺恬、李汪蔚、赵丽华、高丽芬、 王文磊、刘晨、朱宇泽、赵华、王宁、刘伟丽、王海棠、郭建领、潘文博、唐进。 本文件及其所代替文件的历次版本发布情况为： ——2012年首次发布为GB/T 29246—2012； ——2017年第一次修订； ——本次为第二次修订。 II GB/T 29246—XXXX/ISO/IEC 27000:2018 信息安全技术 信息安全管理体系 概述和词汇 1 1 范围 本文件给出了信息安全管理体系（ISMS）概述，界定了ISMS标准族中常用的术语和定义。 本文件适用于所有类型和规模的组织（例如，商业企业、政府机构、非营利组织）。 本文件中提供的术语和定义： ——包含ISMS标准族中的通用术语和定义； ——不包含ISMS标准族中应用的所有术语和定义； ——不限制ISMS标准族定义需使用的新术语。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 3.1 访问控制 access control 确保对资产访问是基于业务和安全要求（3.56）进行授权和限制的手段。 3.2 攻击 attack 企图破坏、泄露、篡改、禁用、窃取或者未经授权访问或未经授权使用资产的行为。 3.3 审核 audit 为获取审核证据并对其进行客观评价，以确定满足审核准则的程度所进行的系统的、独立的并形成 文件的过程（3.54）。 注 1：审核可能是内部审核（第一方）或外部审核（第二方或第三方），也可能是联合审核（结合两个或更多管理 体系） 。 注 2：内部审核由组织（3.50）自己或由外部方代表进行。 注 3：ISO 19011 中定义了“审核证据”和“审核准则” 。 3.4 审核范围 audit scope 审核（3.3）的程度和边界。 [来源：ISO 19011:2011，3.14，有修改：删除注] 1 目前本文件名称中的“vocabulary”按照以往转标国家标准的通常译法译为“词汇” ，但在 GB/T 1.1—2020 的表 1（文 件名称中表示标准功能类型的词语及其英文译名）中建议将“术语”译为“vocabulary” ，那么本文件名称中的“词 汇”是否需要改为“术语” ，值得商榷。 1 GB/T 29246—XXXX/ISO/IEC 27000:2018 3.5 鉴别 authentication 为一个实体所声称特征的正确性而提供的确保措施。 3.6 真实性 authenticity 一个实体是其所声称实体的性质。 3.7 可用性 availability 可由经授权实体按需访问和使用的性质。 3.8 基本测度 base measure 用某一属性及其量化方法定义的测度（3.