GB/T 29246-2023 信息安全技术 信息安全管理体系 概述和词汇.pdf

中华人民共和国国家标准

GB/T 29246-2023/ISO/IEC 27000:2018代替GB/T 29246-2017

信息安全技术信息安全管理体系 概述和词汇

Information security technology-Information security management systems-Overview andvocabulary

(ISO/IEC27000:2018.Information technology-Security techniques-Information security management systems-Overview and vocabulary，IDT)

国家标准化管理委员会 国家市场监督管理总局 发布

目 次

前言1范围2规范性引用文件3术语和定义4信息安全管理体系（ISMS）4.1要4.2ISMS概念 过程方法 104.3 4.4 ISMS重要性 114.5建立、监视、保持和改进ISMS 11 124.6ISMS关键成功因素 144.7ISMS标准族的益处 145信息安全管理体系标准族 145.1 一般信息 145.2 述和术语标准：ISO/IEC27000（GB/T29246） 155.3 要求标准.. 165.4 一般指南标准 165.5具体行业指南标准 18参考文献 21索引

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草.

GB/T29246-2017相比，除结构调整和编辑性改动外，主要技术变化如下： 本文件代替GB/T29246一2017《信息技术安全技术信息安全管理体系概述和词汇》，与

）Y喜喜目Y2017年版的第3章）；b）合并了定义相同的术语“受益相关方”（见2017年版的2.41）和=利益相关方”（见2017年版的 2.82）为“利益相关方”（见3.37）；c）增加了对ISO/IEC27009的说明（见5.3.3）；d）增加了对ISO/IEC27021的说明（见5.4.10）；e）更新了对信息安全管理体系标准族中一些标准的说明（见第5章，2017年版的第4章）.

本文做了下列最小限度的编辑性改动：

-为与现有标准协调，将标准名称改为（信息安全技术信息安全管理体系概述和词汇》.

请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.

本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口.

本文件起草单位：中电长城网际系统应用有限公司、中国电子技术标准化研究院、杭州安恒信息技术股份有限公司、中国软件评测中心、中国信息通信研究院、北京赛西认证有限责任公司、中通服咨询设计研究院有限公司、国家计算机网络应急技术处理协调中心、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、长扬科技（北京）有限公司、公安部第三研究所、深圳大学、北京百度网讯科技有限公司、北京时代新威信息技术有限公司、中国长江三峡集团有限公司.

本文件主要起草人：闵京华、王惠莅、范博、周亚超、左冉、李恬、李汪蔚、赵丽华、高丽芬、王文磊、刘晨、朱宇泽、赵华、王宁、刘伟丽、王海案、郭建领、潘文博、唐进、王秉政.

本文件及其所代替文件的历次版本发布情况为：

2012年首次发布为GB/T29246-2012；一本次为第二次修订. 2017年第一次修订；

信息安全技术信息安全管理体系 概述和词汇

1范围

本文件给出了信息安全管理体系（ISMS）概述，界定了ISMS标准族中常用的术语和定义.本文件适用于类型和规模的组织（例如，商业企业、政府机构、非营利组织）.本文件中提供的术语和定义：包含ISMS标准族中的通用术语和定义； 不包含ISMS标准族中应用的术语和定义；-不限制ISMS标准族定义新的使用术语.

2规范性引用文件

本文件没有规范性引用文件.

3术语和定义

3.1 访问控制access control

确保对资产访问是基于业务和安全要求（3.56）进行授权和限制的手段.

3.2攻击attack企图破坏、泄露、纂改、禁用、窃取或者未经授权访问或未经授权使用资产的行为.

为获取审核证据并对其进行客观评价，以确定满足审核准则的程度所进行的系统的、独立的并形成

文件的过程（3.54).注1：审核可能是内部审核（第一方）或外部审核（第二方或第三方），也可能是联合审核（结合两个或更多管理 体系）.注2：内部审核由组织（3.50）自己或由外部方代表进行.注3：1SO19011：2018中定义了“审核证据*和“审核准则”

审核范围audit scope

审核（3.3）的程度和边界.[来源：ISO19011：2018 3.5，有修改：删除注]

3.5签别authentication

确保实体所声称其特征是正确的一种措施.

GB/T 29246-2023/ISO/IEC 27000 :2018

9真实性authenticity一个实体是其所声称实体的性质.

3.7可用性availability 可由经授权实体按需访问和使用的性质.

基本测度hase measure用某一属性及其量化方法定义的测度（3.42）.注：基本测度在功能上独立于其他测度. [来源：ISO/IEC/IEEE15939：2017，3.3，有修改：删除注2]

3.9胜任力petence运用知识和技能实现预期结果的能力.

3.10保密性confidentiality信息对未经授权的个人、实体或过程（3.54）不可用或不泄露的性质.

3.11符合性conformity 对要求（3.56）的满足.

3.12后果consequence事态（3.21）影响目标（3.49）的结果.注2：一个后果可能是确定的或不确定的.在信息安全（3.28)的语境下通常是负面的. 注1：一个事态（3.21）可能导致一系列后果.注3：后果可能定性或定量表示.注4：初始后果可能通过连锁效应升级.[来源：ISOGuide73：2009.3.6.1.3，有修改：更改注2]

3.13 持续改进continual improvement为提高性能（3.52）面反复进行的活动.

3.14控制control 改变风险（3.61）的措施.注1：控制包括任何改变风险（3 61）的过程（3.54）、策略（3 53）、装置、实践或其他措施.注2：控制可能并不总是发挥出预期或假定的改变效果.[来源：ISO Guide73：2009，3.8.1.1，有修改：更改注2]

3.15 控制目标controlobjective描述控制（3.14）的实施结果所要达到目标的声明.

3.16消除已查明不符合性（3.47）的措施. 丝纠正correction

2