信息安全技术 信息安全管理体系 概述和词汇 征求意见稿

声明

本文是学习29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

信息安全管理体系

概述

管理体系标准提供一个在建立和运行管理体系时可遵循的模型。专门为信息安全开发的管理体系标准称为信息安全管理体系(Information Security Management System,简称ISMS)标准族。

通过使用ISMS标准族,组织能够开发和实施管理其信息资产安全的框架,包括财务信息、知识产权和员工详细资料,或者受客户或第三方委托的信息。这些标准还可用于对组织应用ISMS保护其信息做独立评估准备。

信息安全管理体系标准族

信息安全管理体系(ISMS)标准族(见第4章)旨在帮助所有类型和规模的组织实施和运行ISMS。在《信息技术 安全技术》通用标题下,ISMS标准族由下列标准组成(按标准号排序):

  • ISO/IEC 27000|GB/T 29246 信息安全管理体系 概述和词汇(Information security management systems — Overview and vocabulary)
  • ISO/IEC 27001|GB/T 22080 信息安全管理体系 要求(Information security management systems — Requirements)
  • ISO/IEC 27002|GB/T 22081 信息安全控制实践指南(Code of practice for information security controls)
  • ISO/IEC 27003|GB/T 31496 信息安全管理体系实施指南(Information security management system implementation guidance)
  • ISO/IEC 27004|GB/T 31497 信息安全管理 测量(Information security management — Measurement)
  • ISO/IEC 27005|GB/T 31722 信息安全风险管理(Information security risk management)
  • ISO/IEC 27006|GB/T 25067 信息安全管理体系审核认证机构的要求(Requirements for bodies providing audit and certification of information security management systems)
  • ISO/IEC 27007 信息安全管理体系审核指南(Guidelines for information security management systems auditing)
  • ISO/IEC TR 27008|GB/Z 32916 信息安全控制措施审核员指南(Guidelines for auditors on information security controls)
  • ISO/IEC 27009 ISO/IEC 27001的行业特定应用 要求(Sector-specific application of ISO/IEC 27001 — Requirements)
  • ISO/IEC 27010|GB/T 32920 行业间和组织间通信的信息安全管理(Information security management for inter-sector and inter-organizational communications)
  • ISO/IEC 27011 基于ISO/IEC 27002的电信组织信息安全管理指南(Information security management guidelines for telecommunications organizations based on ISO/IEC 27002)
  • ISO/IEC 27013 ISO/IEC 27001和ISO/IEC 20000-1综合实施指南(Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000‑1)
  • ISO/IEC 27014|GB/T 32923 信息安全治理(Governance of information security)
  • ISO/IEC TR 27015 金融服务信息安全管理指南(Information security management guidelines for financial services)
  • ISO/IEC TR 27016 信息安全管理 组织经济学(Information security management — Organizational economics)
  • ISO/IEC 27017 基于ISO/IEC 27002的云服务信息安全控制实践指南(Code of practice for information security controls based on ISO/IEC 27002 for cloud services)
  • ISO/IEC 27018 可识别个人信息(PII)处理者在公有云中保护PII的实践指南(Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)
  • ISO/IEC 27019 基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南(Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry)

注:通用标题《信息技术 安全技术》是指这些标准是由ISO/IEC的信息技术委员会(JTC1)下属的安全技术分委员会(SC27)制定的。

不在通用标题《信息技术 安全技术》之下,但也属于ISMS标准族的标准如下:

  • ISO 27799 健康信息学 使用ISO/IEC 27002的健康信息安全管理(Health informatics — Information security management in health using ISO/IEC 27002)

信息安全管理体系范围

本标准概述了信息安全管理体系(ISMS),提供了ISMS标准族中常用的术语及其定义。本标准适用于所有类型和规模的组织(例如,商业企业、政府机构、非盈利组织)。

信息安全管理体系术语和定义

下列术语和定义适用于本文件。

访问控制 access control

确保对资产的访问是基于业务和安全要求(2.63)进行授权和限制的手段。

分析模型 analytical model

将一个或多个基本测度(2.10)和(或)导出测度(2.22)关联到决策准则(2.21)的算法或计算。

攻击 attack

企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。

属性 attribute

可由人工或自动化手段定量或定性辨别的对象(2.55)特性或特征。

[ISO/IEC 15939:2007,定义2.2,做了修改:将原定义中的“实体”替换为“对象”]

审核 audit

获取审核证据并客观地对其评价以确定满足审核准则程度的,系统的、独立的和文档化的过程(2.61)。

注1:审核可以是内部审核(第一方)或外部审核(第二方或第三方),可以是结合审核(结合两个或两个以上学科)。

注2:“审核证据”和“审核准则”在ISO 19011|GB/T 19011中被定义。

审核范围 audit scope

审核(2.5)的程度和边界。

[ISO 19011:2011,定义3.14,做了修改:删除注1]

鉴别 authentication

为一个实体声称的特征是正确的而提供的保障措施。

真实性 authenticity

一个实体是其所声称实体的这种特性。

可用性 availability

根据授权实体的要求可访问和可使用的特性。

基本测度 base measure

用某个属性(2.4)及其量化方法定义的测度(2.47)。

[ISO/IEC 15939:2007,定义2.3,做了修改:删除注2]

注1:基本测度在功能上独立于其他测度(2.47)。

能力 competence

应用知识和技能实现预期结果的才能。

保密性 confidentiality

信息对未授权的个人、实体或过程(2.61)不可用或不泄露的特性。

符合性 conformity

对要求(2.63)的满足。

注1:术语“一致性”是被弃用的同义词。

后果 consequence

事态(2.25)影响目标(2.56)的结果。

[ISO Guide 73:2009,定义3.6.1.3,做了修改]

注1:一个事态(2.25)可能导致一系列后果。

注2:一个后果可以是确定的或不确定的,在信息安全(2.33)的语境下通常是负面的。

注3:后果可以被定性或定量地表示。

注4:初始后果可能因连锁效应升级。

持续改进 continual improvement

为提高性能(2.59)的反复活动。

控制 control

改变风险(2.68)的措施。

[ISO Guide 73:2009,定义3.8.1.1]

注1:控制包括任何改变风险(2.68)的过程(2.61)、策略(2.60)、设备、实践或其他措施。

注2:控制不一定总是达到预期或假定的风险改变效果。

控制目标 control objective

描述控制(2.16)的实施结果所要达到目标的声明。

纠正 correction

消除已查明的不符合(2.53)的措施。

整改措施 corrective action

消除不符合(2.53)成因以防再次发生的措施。

数据 data

基本测度(2.10)、导出测度(2.22)和(或)指标(2.30)所赋值的集合。

[ISO/IEC 15939:2007,定义2.4,做了修改:增加注1]

注1:这个定义只适用于ISO/IEC 27004|GB/T 31497的语境。

决策准则 decision criteria

用于确定行动或进一步需要调查或者描述给定结果置信度的阈值、目标或模式。

[ISO/IEC 15939:2007,定义2.7]

导出测度 derived measure

定义为两个或两个以上基本测度(2.10)值的函数的测度(2.10)。

[ISO/IEC 15939:2007,定义2.8,做了修改:删除注1]

文档化信息 documented information

组织(2.57)需要控制和维护的信息及其载体。

注1:文档化信息可以采用任何格式,在任何载体中,出自任何来源。

注2:文档化信息可能涉及

  • 管理体系(2.46),包括相关过程(2.61);
  • 为组织(2.57)运作所创建的信息(文档);
  • 结果实现的证据(记录)。

有效性 effectiveness

实现所计划活动和达成所计划结果的程度。

事态 event

一组特定情形的发生或改变。

[ISO Guide 73:2009,定义3.5.1.3,做了修改:删除注4]

注1:一个事态可能是一个或多个发生,并可能有多种原因。

注2:一个事态可能由一些未发生的事情组成。

注3:一个事态可能有时被称为“事件”或“事故”。

执行管理者 executive management

为达成组织(2.57)意图,承担由组织治理者(2.29)委派的战略和策略实现责任的人或一组人。

注1:执行管理者有时称为最高管理者(2.84),可以包括首席执行官、首席财务官、首席信息官和类似的角色。

外部语境 external context

组织(2.57)寻求实现其目标(2.56)的外部环境。

[ISO Guide 73:2009,定义3.3.1.1]

注1:外部语境可以包括如下方面:

  • 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境,无论是国际的、国家的、地区的或地方的;
  • 影响组织(2.57)目标(2.56)的关键驱动力和趋势;
  • 与外部利益相关方(2.82)的关系及其认知和价值观。

信息安全治理 governance of information security

指导和控制组织(2.57)信息安全(2.33)活动的体系。

治理者 governing body

对组织(2.57)的性能(2.59)和合规负有责任的人或一组人。

注1:治理者在某些司法管辖区可以是董事会。

指标 indicator

针对定义的信息需求(2.31),为分析模型(2.2)导出的属性(2.4)提供估算或评价的测度(2.47)。

信息需求 information need

对目标(2.56)、目的、风险和问题进行管理所必需的洞察。

[ISO/IEC 15939:2007,定义2.12]

信息处理设施 information processing facilities

任何的信息处理系统、服务或基础设施,或者其安置的物理位置。

信息安全 information security

对信息的保密性(2.12)、完整性(2.40)和可用性(2.9)的保持。

注1:另外,也可包括诸如真实性(2.8)、可核查性、抗抵赖(2.54)和可靠性(2.62)等其他特性。

信息安全持续性 information security continuity

确保信息安全(2.33)持续作用的过程(2.61)和规程。

信息安全事态 information security event

识别到的一种系统、服务或网络状态的发生,表明可能违反信息安全(2.33)策略(2.60)或控制(2.16)失效,或者一种可能与信息安全相关但还不为人知的情况。

信息安全事件 information security incident

单一或一系列不希望或意外的,极有可能损害业务运行和威胁信息安全(2.33)的信息安全事态(2.35)。

信息安全事件管理 information security incident management

发现、报告、评估、响应、处理和总结信息安全事件(2.36)的过程(2.61)。

信息共享社区 information sharing community

同意共享信息的组织群体(2.57)。

注1:组织(2.57)可以是一个人。

信息系统 information system

应用、服务、信息技术资产或其他信息处理组件。

完整性 integrity

准确和完备的特性。

受益相关方 interested party

对于一项决策或活动,可能对其产生影响,或被其影响,或认为自己受到其影响的人或组织(2.57)。

内部语境 internal context

组织(2.57)寻求实现其目标的内部环境。

[ISO Guide 73:2009,定义3.3.1.2]

注1:内部语境可以包括如下方面:

  • 治理、组织结构、角色和职责;
  • 策略(2.60)、目标(2.56)和要实现它们的战略;
  • 在资源和知识方面的能力(如资本、时间、人员、过程(2.61)、系统和技术);
  • 信息系统(2.39)、信息流和决策过程(2.61)(正式的和非正式的);
  • 与内部利益相关方(2.82)的关系及其认知和价值观;
  • 组织(2.57)的文化;
  • 组织(2.57)采用的标准、指南和模型;
  • 契约关系的形式和程度。

信息安全管理体系项目 ISMS project

组织(2.57)为实施ISMS所开展的结构化活动。

风险程度 level of risk

以后果(2.14)和其可能性(2.45)的组合来表示的风险(2.68)大小。

[ISO Guide 73:2009,定义3.6.1.8,做了修改:删除定义中的“或风险组合”]

可能性 likelihood

某事发生的概率。

[ISO Guide 73:2009,定义3.6.1.1,做了修改:删除注1和注2]

管理体系 management system

组织中相互关联或相互作用的要素集,用来建立策略(2.60)和目标(2.56)以及达到这些目标的过程(2.61)。

注1:一个管理体系可能专注于单一学科或多个学科。

注2:体系要素包括组织结构、角色和责任、规划、运行。

注3:一个管理体系范围可能包括组织(2.57)的整体、组织(2.57)的特定且确定的功能、组织(2.57)的特定且确定的部门,或者跨一组组织(2.57)的一个或多个功能。

测度 measure

作为测量(2.48)结果赋值的变量。

[ISO/IEC 15939:2007,定义2.15,做了修改]

注1:术语“测度”是基本测度(2.10)、导出测度(2.22)和指标(2.30)的统称。

测量 measurement

确定一个值的过程(2.61)。

注1:在信息安全(2.33)的语境下,确定一个值的过程(2.61)需要使用测量方法(2.50)、测量函数(2.49)、分析模型(2.2)和决策准则(2.21),获得关于信息安全(2.33)管理体系(2.46)及其相关控制(2.16)有效性(2.24)的信息。

测量函数 measurement function

组合两个或两个以上基本测度(2.10)的算法或计算。

[ISO/IEC 15939:2007,定义2.20]

测量方法 measurement method

用于按规定的尺度(2.80)量化属性(2.4)的通用逻辑操作序列。

[ISO/IEC 15939:2007,定义2.22,做了修改:删除注2]

注1:测量方法的类型取决于属性(2.4)量化操作的性质。可区分为以下两种类型:

  • 主观的:包含人为判断的量化;
  • 客观的:基于数字规则的量化。

测量结果 measurement results

对信息需要(2.31)的一个或多个指标(2.30)及其相关解释。

监视 monitoring

确定系统、过程(2.61)或活动状态的行为。

注1:为确定状态可能需要检查、监督或严密观察。

不符合 nonconformity

对要求(2.63)的不满足。

抗抵赖 non-repudiation

证明所声称事态(2.25)或行为的发生及其源头的能力。

对象 object

通过测量(2.48)其属性(2.4)来描述其特性的事项。

目标 objective

要实现的结果。

注1:目标可以是战略性的、战术性的或操作性的。

注2:目标可以涉及不同学科(诸如金融、健康与安全以及环境目标),可以适用于不同层次(诸如战略、组织、项目、产品和过程(2.61))。

注3:目标可以以其他方式表示,例如,作为预期结果、意图、操作准则,作为信息安全(2.33)目标,或者使用具有类似含义的其他词(例如,目的或标靶)。

注4:在信息安全(2.33)管理体系(2.46)的语境下,组织(2.57)制定与信息安全(2.33)策略(2.60)一致的信息安全(2.33)目标以实现特定结果。

组织 organization

具有自身的功能、责任、权威和关系来实现其目标(2.56)的人或一组人。

注1:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或部分或其组合,不论注册与否,公共的还是私营的。

外包 outsource

做出由外部组织(2.57)执行部分的组织(2.57)功能或过程(2.61)的安排。

注1:外部组织在管理体系(2.46)的范围之外,尽管外包的功能或过程(2.61)在范围之内。

性能 performance

可测量的结果。

注1:性能可以涉及定量或定性的调查结果。

注2:性能可以涉及活动、过程(2.61)、产品(包括服务)、系统或组织(2.57)的管理。

策略 policy

由最高管理者(2.84)正式表达的组织(2.57)的意图和方向。

过程 process

将输入转换成输出的相互关联或相关作用的活动集。

可靠性 reliability

与预期行为和结果一致的特性。

要求 requirement

明示的、默认的或强制性的需要或期望。

注1:“默认的”意指所考虑的需要或期望是不言而喻的,对于组织(2.57)或受益相关方(2.41)是惯例或常见做法。

注2:指定要求是在例如文档化信息(2.23)中明示的。

残余风险 residual risk

风险处置(2.79)后余下的风险(2.68)。

注1:残余风险可能包含未识别的风险(2.68)。

注2:残余风险也可以被称为“保留风险”。

评审 review

针对实现所设立目标(2.54)的主题,为确定其适宜性、充分性和有效性(2.24)而采取的活动。

[ISO Guide 73:2009,定义3.8.2.2,做了修改:删除注1]

评审对象 review object

被评审的特定事项。

评审目标 review objective

描述评审(2.65)结果要达到什么的陈述。

风险 risk

对目标的不确定性影响。

[ISO Guide 73:2009,定义1.1,做了修改]

注1:影响是指与期望的偏离(正向的或反向的)。

注2:不确定性是对事态(2.25)及其结果(2.14)或可能性(2.45)的相关信息、理解或知识缺乏的状态(即使是部分的)。

注3:风险常被表征为潜在的事态(2.25)和后果(2.14),或者它们的组合。

注4:风险常被表示为事态(2.25)的后果(2.14)(包括情形的改变)和其发生可能性(2.45)的组合。

注5:在信息安全(2.33)管理体系(2.46)的语境下,信息安全(2.33)风险可被表示为对信息安全(2.33)目标(2.56)的不确定性影响。

注6:信息安全(2.33)风险与威胁(2.83)利用信息资产或信息资产组的脆弱性(2.89)对组织(2.57)造成危害的潜力相关。

风险接受 risk acceptance

接纳特定风险(2.68)的有根据的决定。

[ISO Guide 73:2009,定义3.7.1.6]

注1:可不经风险处置(2.79)或在风险处置(2.79)过程(2.61)中做出风险接受。

注2:接受的风险(2.68)要受到监视(2.52)和评审(2.65)。

风险分析 risk analysis

理解风险(2.68)本质和确定风险等级(2.44)的过程(2.61)。

[ISO Guide 73:2009,定义3.6.1]

注1:风险分析提供风险评价(2.74)和风险处置(2.79)决策的基础。

注2:风险分析包括风险估算。

风险评估 risk assessment

风险识别(2.75)、风险分析(2.70)和风险评价(2.74)的整个过程(2.61)。

[ISO Guide 73:2009,定义3.4.1]

风险沟通与咨询 risk communication and consultation

组织(2.57)就风险(2.68)管理所进行的,提供、共享或获取信息以及与利益相关方(2.82)对话的持续和迭代过程(2.61)。

注1:这些信息可能涉及到风险(2.68)的存在、性质、形式、可能性(2.45)、重要性、评价、可接受性和处置。

注2:咨询是对问题进行决策或确定方向之前,在组织(2.57)和其利益相关方(2.82)之间进行知情沟通的双向过程(2.51)。

咨询是

  • 通过影响力而不是权力来影响决策的过程(2.61);
  • 决策的输入,而非联合决策。

风险准则 risk criteria

评价风险(2.68)重要性的参照条款。

[SOURCE: ISO Guide 73:2009, 3.3.1.3]

[ISO Guide 73:2009,定义3.3.1.3]

注1:风险准则是基于组织的目标以及外部语境(2.27)和内部语境(2.42)。

注2:风险准则可来自标准、法律、策略(2.60)和其他要求(2.63)。

风险评价 risk evaluation

将风险分析(2.70)的结果与风险准则(2.73)比较以确定风险(2.68)和(或)其大小是否可接受或可容忍的过程(2.61)。

[ISO Guide 73:2009,定义3.7.1]

注1:风险评价辅助风险处置(2.79)的决策。

风险识别 risk identification

发现、识别和描述风险(2.61)的过程(2.61)。

[ISO Guide 73:2009,定义3.5.1]

注1:风险识别涉及风险源、事态(2.25)及其原因和潜在后果(2.14)的识别。

注2:风险识别可能涉及历史数据、理论分析、知情者和专家的意见以及利益相关方(2.82)的需要。

风险管理 risk management

指导和控制组织(2.57)相关风险(2.57)的协调活动。

[ISO Guide 73:2009,定义2.1]

风险管理过程 risk management process

管理策略(2.60)、规程和实践在沟通、咨询、语境建立以及识别、分析、评价、处置、监视和评审风险(2.68)活动上的系统性应用。

[ISO Guide 73:2009,定义3.1,做了修改:增加注1]

注1:ISO/IEC 27005|GB/T 31722使用术语“过程”(2.61)来描述全面风险管理。在风险管理(2.76)过程(2.61)中的要素被称为“活动”。

风险责任者 risk owner

具有责任和权威来管理风险(2.68)的人或实体。

[ISO Guide 73:2009,定义3.5.1.5]

风险处置 risk treatment

改变风险(2.68)的过程(2.61)。

[ISO Guide 73:2009,定义3.8.1,做了修改:将注1中的“决策”替换为“选择”]

注1:风险处置可能涉及如下方面:

  • 通过决定不启动或不继续进行产生风险(2.68)的活动来规避风险(2.68);
  • 承担或增加风险(2.68)以追求机会;
  • 消除风险(2.68)源;
  • 改变可能性(2.45);
  • 改变后果(2.14);
  • 与另外一方或多方共担风险(2.68)(包括合同和风险融资);
  • 有根据地选择保留风险(2.68)。

注2:处理负面后果(2.14)的风险处置有时被称为“风险缓解”、“风险消除”、“风险防范”和“风险降低”。

注3:风险处置可能产生新的风险(2.68)或改变现有风险(2.68)。

尺度 scale

连续的或离散的值的有序集合,或者对应属性(2.4)的类集合。

[ISO/IEC 15939:2007,定义2.35,做了修改]

注1:尺度的类型取决于尺度上值之间关系的性质。通常定义如下四种尺度类型:

  • 名义的:测量(2.48)值是类别化的;
  • 顺序的:测量(2.48)值是序列化的;
  • 间距的:测量(2.48)值对应于属性(2.4)的等同量是等距离的;
  • 比率的:测量(2.48)值对应于属性(2.4)的等同量是等距离的,其中零值对应于属性的空。

这些只是尺度类型的示例。

安全实施标准 security implementation standard

规定授权的安全实现方式的文件。

利益相关方 stakeholder

对于一项决策或活动,可能对其产生影响,或被其影响,或认为自己受到其影响的人或组织(2.57)。

[ISO Guide 73:2009,定义3.2.1.1,做了修改:删除注1]

威胁 threat

可能对系统或组织(2.57)造成危害的不期望事件的潜在原由。

最高管理者 top management

最高层指导和控制组织(2.57)的人或一组人。

注1:最高管理者具有在组织(2.57)内授权和提供资源的权力。

注2:如果管理体系(2.46)的范围只涵盖组织(2.57)的一部分,则最高管理者就是指指导和控制组织(2.57)这部分的人或一组人。

可信信息通信实体 trusted information communication entity

支持在信息共享社区(2.38)内进行信息交换的自主组织(2.57)。

测量单位 unit of measurement

按惯例被定义和被采纳的特定量,用于其他同类量与其比较以表示它们相对于这个量的大小。

[ISO/IEC 15939:2007,定义2.40,做了修改]

确认 validation

通过提供客观证据,证实满足特定预期使用或应用要求(2.63)的行为。

[ISO 9000:2015,定义3.8.12,做了修改]

验证 verification

通过提供客观证据,证实满足规定要求(2.63)的行为。

[ISO 9000:2015,定义3.8.4]

注1:这也可被称为符合性测试。

脆弱性 vulnerability

可能被一个或多个威胁(2.83)利用的资产或控制(2.16)的弱点。

信息安全技术 信息安全管理体系 概述和词汇 征求意见稿_第1张图片

延伸阅读

更多内容 可以 29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿. 进一步学习

联系我们

DB22-T 1758-2012 延边朝鲜族辣白菜 吉林省.pdf

你可能感兴趣的:(人工智能,大数据)