信息技术 安全技术 信息安全管理体系 要求
声明
这份学习材料是基于29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿整理而成的学习笔记。作为个人学习资源分享给更多读者,在此提醒如若涉及版权问题,请及时联系。
信息安全管理体系标准族
一般信息
信息安全管理体系(ISMS)标准族由多个相互关联的标准构成,并包含一系列重要的结构要素。这些要素特别关注满足ISO/IEC 27001|GB/T 22080的相关要求、对进行该认证所需的认证机构实施的规定(涉及ISO/IEC 27006|GB/T 25067)以及针对特定行业实施的额外要求框架(如ISO/IEC 27009)。此外的标准则提供了实施ISMS所需的各类指导原则和说明
ISMS标准族中各标准之间的关系如图1所示。
- ISMS标准族关系
所有ISMS标准族的标准根据其在ISMS标准族中的类型(或角色)以及编号逐一进行详细描述。对应的条款如下
阐述概述性说明及专业术语标准依据(参考第4章第2节)。
明确规范性要求的技术标准依据(参见第4章第3节)。
提供常规指导原则的技术标准依据(参考第4章第4节)。
制定行业专用指导方针的技术标准依据(参见第5章第5节)。
给出概述和术语的标准
ISO/IEC 27000|GB/T 29246(本标准)
信息技术 安全技术 信息安全管理体系 概述和词汇
范围:该标准为组织和个人提供:
ISMS标准族的概念及其应用;
信息安全管理体系的基本框架及其实现;
ISMS标准族中所涉及的专业术语及其具体含义。
目的:该标准阐述信息安全管理体系的基础,并为ISMS标准族确立主题的同时明确相关的专业术语
规范要求的标准
ISO/IEC 27001|GB/T 22080
信息技术 安全技术 信息安全管理体系 要求
该规范基于组织整体业务风险情境制定,并在其实施过程中遵循以下具体要求:一是建立信息安全管理体系(ISMS);二是具体要求包括执行体系运行机制(如日常监控)、监督体系监控流程(如定期审计)、审核体系应用条件(如合规性审查)、维护体系保障措施(如安全培训)以及优化体系持续改进机制(如技术升级)。这些具体要求旨在确保信息安全管理体系的有效性与适应性。同时规定此类管理措施应根据特定需求进行定制化设计以便满足不同企业的需求,并适用于各类规模及性质的企业
主要目的是规范地规定了开发与运行信息技术系统管理方案(ISMS)所需的一系列要求。该方案旨在为组织提供一套有效的控制手段以及降低其信息资产相关风险的方法。组织应当通过实施该方案来保护其信息资产。组织有权利对其所运行的信息系统管理方案(ISMS)的有效性进行审核与认证工作。作为该方案实施过程中的重要组成部分之一,则应当从附录A中挑选出那些能够满足所识别需求的相关控制目标与具体措施。附录A.1所列出的具体控制目标与措施直接来源于另一项国际标准的相关章节,并且两者在内容上具有高度的一致性
ISO/IEC 27006|GB/T 25067
信息技术 安全技术 信息安全管理体系审核认证机构的要求
本标准是在ISO/IEC 17021和GB/T 27021涵盖要求的基础上建立起来的,并旨在为遵循ISO/IEC 27001和GB/T 22080的相关机构提供审核与ISMS认证服务。它明确规定并给出实施指导以满足相关需求,并针对依据ISO/IEC 27001和GB/T 22080获得ISMS认证的事宜给予认可。
ISO/IEC 27006 和 GB/T 25067 是 ISO/IEC 17021 和 GB/T 27021 的具体说明, 规定了认证机构进行互认的要求, 这一规定使得这些机构得以持续执行 ISO/IEC 27001 和 GB/T 22080 所要求的认证活动。
给出一般指南的标准
ISO/IEC 27002|GB/T 22081
信息技术 安全技术 信息安全控制实践指南
该标准制定了一系列得到广泛认可的最佳实践规范,并作为实现信息安全控制的重要参考。
ISO/IEC 27002|GB/T 22081阐述了信息安全管理体系实施的具体要求。其中第5至18章专门针对遵循ISO/IEC 27001|GB/T 22080规范的信息安全管理体系提供了最佳实践指导。
ISO/IEC 27003|GB/T 31496
信息技术 安全技术 信息安全管理体系实施指南
本标准旨在基于ISO/IEC 27001及GB/T 22080的要求制定并应用GB/T 22080的要求来构建完善的信息安全管理体系(ISMS),并为此提供实用的实施指南及进一步的技术信息
目的:ISO/IEC 27003|GB/T 31496为依据ISO/IEC 27001|GB/T 22080成功实施ISMS提供面向过程的方法。
ISO/IEC 27004|GB/T 31497
信息技术 安全技术 信息安全管理 测量
该标准旨在针对ISO/IEC 27001|GB/T 22080所规范的信息安全管理体系(ISMS)及其控制目标和有效性进行评估,并提供开发与使用指南以及相关的建议。
本研究的目的在于包含一套标准体系(ISO/IEC 27004|GB/T 31497),从而为评估ISMS的有效性提供可靠的方法。该标准体系旨在通过以下指标和方法对信息安全管理体系(ISMS)的有效性进行系统化评估:包括但不限于风险识别、控制措施实施情况以及持续改进机制等关键要素的全面考量。
ISO/IEC 27005|GB/T 31722
信息技术 安全技术 信息安全风险管理
范围:这一标准旨在为信息安全风险管理提供指导原则。该标准涵盖的方法涉及ISO/IEC 27001|GB/T 22080中所规定的各项基本原则或规范。
ISO/IEC 27005|GB/T 31722作为指导文件为实施面向过程的风险管理方法提供参考,并作为...的标准帮助确保贯彻执行 ISO/IEC 27001|GB/T 22080中的信息安全风险管理要求。
ISO/IEC 27007
信息技术 安全技术 信息安全管理体系审核指南
该标准建立在适用于通用管理体系的ISO 19011 GB/T 19011指南基础之上,并提供了针对信息安全管理体系审核员能力的指导
ISO/IEC 27007旨在为需要遵循 ISO/IEC 27001 和 GB/T 2208O 规范要求的企业或机构,在其 ISMS 内部或外部审核以及管理审核方案的过程中提供相应的指导方针
ISO/IEC TR 27008|GB/Z 32916
信息技术 安全技术 信息安全控制措施审核员指南
该指导性技术文件作为组织信息安全管理标准的具体实施指南,在评估控制措施的合规性和有效性方面发挥重要作用,并涵盖信息系统的控制措施是否符合相关技术标准的技术审查。
目的:本指导性技术文件的主要内容是针对信息安全控制措施的评审工作。其涵盖依据组织制定的信息安全实施标准的技术合规性检查。需要注意的是,此指导性技术文件并非专门针对 ISO/IEC 27004/G-GB/T 31497、ISO/IEC 27005/G-GB/T 31722 或 ISO/IEC 27007 中规定的具体内容,而是旨在提供与测量、风险评估或 ISMS 审核相关的技术和合规性的通用指引。因此,它不专门服务于上述体系标准中的特定要求,也不提供具体的合规检查指南.此外,本指导性技术文件并不涉及管理体系审核活动。
ISO/IEC 27013
信息技术 安全技术 ISO/IEC 27001和ISO/IEC 20000-1综合实施指南
该标准为组织全面指导方案地实施任何一种ISO/IEC 27001|GB/T 22080和ISO/IEC 20000-1|GB.T 24405.1的标准体系。
基于已经实现了GB.T~244\!-\!1环境下的前提条件,在实现GB/T~\!~\!~\!~\!~\!~\!~\!~\!~\!~\! ~ \text{ISO}/\text{IEC} ~ \text{标准的一部分}
的前提下推进另一项标准的贯彻实施; 或者基于另一项标准的实现环境推进当前标准的贯彻实施。
与此同时, 实现两个国际标准体系之间的协调与整合, 在某种程度上实现了两者之间的相互补充与协同发展。
将现有体系纳入整体管理体系中进行整合, 将现有体系纳入整体管理体系中进行整合, 将现有体系纳入整体管理体系中进行整合.
本标准主要关注全面涵盖遵循 ISO/IEC 27001 和 GB/T 2208
标准专门聚焦在综合实施 ISO/IEC | GB/T 中所规范的信息安全管理系统 (ISMS) 和 ISO/IEC | GB.T 中所规范的服务管理体系 (SMS)。
注:此处保留了原文的所有符号和格式要求
目的:优化组织对ISO/IEC 27001|GB/T 22080及ISO/IEC 27394|GB/T 24493.1等国际信息安全管理体系标准特征与要求差异的认识与理解过程,并在此基础上帮助组织规划构建同时符合这两个标准的综合信息安全管理体系
ISO/IEC 27014|GB/T 32923
信息技术 安全技术 信息安全治理
该标准作为信息安全治理的指导原则与流程提供参考框架,在此框架下组织可进行评估、制定并监控信息安全管理体系的有效性与安全性。
目的:信息安全已成为现代企业运营中的核心议题之一。随着相关法规要求日益严格,并且缺乏有效的信息安全措施可能导致企业声誉受损。由此可知,在信息安全管理方面存在较高的工作强度与挑战性。
ISO/IEC TR 27016
信息技术 安全技术 信息安全管理 组织经济学
这份指导性技术文件提供了...的方法论,以便帮助组织更深入地从经济角度理解其识别出的信息资产的价值,分析其面临的风险情况,认识到保护和控制这些信息资产的价值,并确定用于保护这些信息 assets 的资源的最佳配置程度。
该指导性技术文件在考虑更广泛的社会环境背景中,在信息资产保护工作中将经济视角叠加于其管理框架内,并通过模型构建和实例分析的方式介绍信息安全组织经济学的应用方法。作为ISMS标准族的重要补充内容。
给出行业特定指南的标准
ISO/IEC 27010|GB/T 32920
信息技术 安全技术 行业间和组织间通信的信息安全管理
该标准建立在ISMS系列标准族现有指南的基础上,并旨在为信息共享社区中实施信息安全管理提供指导原则。特别是在组织间及行业间的启动阶段、实施阶段以及持续改进阶段均提供了相应的指导方针与控制措施。
主要目的:此标准不仅涵盖了各种类型敏感信息在不同范围内的交换与共享行为(包括但不限于公共信息、私人信息以及国内外信息),而且特别强调了在同行业内部市场或行业内之间进行此类信息交流的重要性。特别强调的是,在涉及组织或国家关键设施供给、维护及保护的相关领域中进行的信息交流活动同样受到该标准的适用范围覆盖。
ISO/IEC 27011
信息技术 安全技术 基于ISO/IEC 27002的电信组织信息安全管理指南
范围:该标准为支持在电信组织中实施信息安全控制提供指南。
目的:ISO/IEC 27011可使电信组织满足信息安全管理体系的要求中的保密性、完整性、可用性和其余相关安全属性。
ISO/IEC TR 27015
信息技术 安全技术 金融服务信息安全管理指南
该技术指南基于现有的ISMS标准族指南,在提供金融服务的组织中提供了启动、实施以及持续维护信息安全的技术指导原则。
该指导性技术文件具体补充说明了ISO/IEC 27001|GB/T 22080和ISO/IEC 27002|GB/T 22081的相关要求,并旨在支持金融服务组织实现信息安全管理体系的有效运行
- 启动、实施、保持和改进基于ISO/IEC 27001|GB/T 22080的信息安全管理体系。
- 设计和实施ISO/IEC 27002|GB/T 22081或该标准中定义的控制。
ISO/IEC 27017
信息技术 安全技术 基于ISO/IEC 27002的云服务信息安全控制实践指南
ISO/IEC 27017按照如下指南发布适用于云服务供给和使用的信息安全控制指南:
- 在ISO/IEC 27002和GB/T 22081标准中对相关规范的额外实施指导文件;
- 特别关注于与云服务相关的额外控制及其指导文件。
目的:该标准为云服务提供者和云服务客户提供控制和实施指南。
ISO/IEC 27018
可辨识个人信息(PII)处理者在公有云环境中实施相应的防护措施作为参考操作手册
ISO/IEC 27018遵循 ISO/IEC 29100 中关于公有云环境下保护个人信息隐私的原则,并制定了被广泛接受的控制目标及实施措施以保护可识别个人信息(PII),并提供了这些措施的具体实施指南。
该标准涉及通过与其他组织签订合同以提供云计算下的信息处理服务的所有相关方案和技术。所有承担个人信息保护责任的组织均可参与其中——无论是公共部门、私营部门、政府机构或是非营利组织。然而需要注意的是,在某些情况下这些指导方针也可能被其他类型的组织使用——但这并不意味着它们会自动适用所有场景——特别是那些负责数据控制并受到额外法规约束的组织不受影响
ISO/IEC TR 27019
该指导原则适用于能源供应领域的IT系统中的信息安全管理体系。
本文件规定了针对能源供给行业过程控制系统中实施的信息安全控制指导原则。该行业的process control systems are designed to integrate and manage the generation, transmission, storage, and distribution of electricity, natural gas, and heat through a coordinated approach with supporting processes. Particularly, this includes systems, applications, and components that are essential for ensuring the effective management of these energy resources.
- 基于全面信息技术实现中心化的 Process Control 和分散式的 Distributed Process Control 系统设计与实施,并通过相应的 IT 系统实现其运行管理;
- 数字控制器及自动化组件的应用涵盖包括 PLC 和现场设备在内的各种自动化组件;
- 所有与 Process Control 领域相关的进一步 IT 技术支持需求均得到满足;
- 在 Process Control 领域内提供的全部通信技术支持包括网络技术、遥测技术和远程控制技术;
- 所有涉及能量测量的任务被纳入数字计量与测量装置的支持范围;
- 数字化保护及安全系统的应用覆盖继电保护和安全 PLC 等相关内容;
- 在智能电网未来环境下提供的分散式组件设计充分考虑了未来的扩展性需求;
- 这些系统中的所有软件、固件及应用模块均被纳入整体架构规划。
目的:基于ISO/IEC 27002|GB/T 22081规范的安全目标及措施,在此框架下,该指导性技术文件作为满足能源供给行业及能源供应商信息系统的安全管理需求的技术文档出现.
ISO 27799
健康信息学 使用ISO/IEC 27002的健康信息安全管理
范围:该标准为支持信息安全管理在健康组织中实施提供指南。
目的:该标准基于ISO/IEC 27002和GB/T 22081的标准体系,在不包括符合ISO/IEC 27001 GB/T 22080附录A要求的相关指南的前提下,则旨在为健康相关组织提供其专业领域的独特指导方案。
延伸阅读
其他详细信息,请您点击下载该文件:https://github.com/github5-viewer/blob/main/github5-viewer/blob/main/github5-viewer.ipynb](https://github.com/github5-viewer/blob/main/github5-viewer/blob/main/github5-viewer.ipynb)
联系我们
制定DB61-T 1468-2021公共建筑集中空调系统清洗消毒服务规范陕西省.pdf](http://github5.com/view/20296?f=new)