信息安全技术 信息安全管理体系 概述和词汇 征求意见稿
声明
本文是系统学习29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿基础上整理后分享给更多人受益,如有未经授权使用的情况发生,请立即联系告知
信息安全管理体系
概述
管理体系标准构建一个,在建立以及运行管理体系时可遵循的框架。专门开发信息安全领域的管理体系标准称为信息安全管理体系(Information Security Management System,简称ISMS)的标准族。
通过遵循ISMS标准族程序模式, 组织可构建并制定控制其信息安全架构的框架, 包括财务数据、知识产权以及员工档案, 或者由客户或第三方提供的相关信息. 此些标准亦可用于对组织应用ISMS保护其信息安全进行独立评估准备.
信息安全管理体系标准族
信息安全管理体系(ISMS)标准族(见第4章)旨在协助各类组织规划、制定并执行信息安全管理体系的要求与措施。在《信息技术 安全技术》通用标题下,ISMS标准族包括以下规范(按编号顺序排列):
- ISO/IEC 27001 / GB/T 29246《信息安全管理体系概要与概念框架》
- ISO/IEC 27001 / GB/T 29359《信息安全管理体系要求》
- GB/T 29358《信息安全控制实践指南》
- ISO/IEC 27003 / GB/T 31496《信息安全管理体系实施指导》
- ISO/IEC 27004 / GB/Z 31497《信息安全管理测量》
- ISO/IEC 27005《信息安全风险管理》
- GB/Z 31498《信息安全管理体系审核认证机构要求》
- GB/Z 31499《信息安全管理体系审核指引》
- GB/Z TR31556《信息安全控制措施审核员指引》
- ISO/IEC/TR C.1 / IS:64868《行业特定应用要求》
- ISO/IEC/TR C.1 / IS:64868(行业间通信信息安全管理)[适用于通信领域]
- ISO/CISD C.1 / IS:64868(电信组织信息安全管理)[适用于电信组织]
- IS:64868/CISD C.1(综合实施指南)[适用于IS:64868和ISO/CISD C.1整合实施]
- IS:65557/GBCS-C [治理原则](信息安全治理)[适用于治理原则]
- IS:75557/GBCS-F [金融服务](金融服务信息安全管理)
- IS:75557/GBCS-O [组织经济学](信息安全管理的组织经济学)
- IS:75557/GBCS-C [云服务](基于IS:64868的云服务安全控制实践)
*[PII处理器]在公共云中保护PII的实践指南[适用于公共云中的PII保护]
*[过程控制系统]特定行业的能源行业信息安全管理[适用于能源行业过程控制系统]
统一标准将由 ISO/IEC 专业机构中的专门工作组负责制定。
不在通用标题《信息技术 安全技术》之下,但也属于ISMS标准族的标准如下:
ISO 27799 标准在 健康信息化领域 中遵循 ISO/IEC 27002 标准中的信息安全管控措施(Health informatics — Information security controls and management in healthcare using ISO/IEC 27002)
信息安全管理体系范围
本标准阐述了信息安全管理体系(ISMS),包含了ISMS标准族中常用的术语及其详细说明。本标准涵盖所有类型的组织及不同规模的需求(如商业企业、政府机构及非盈利组织等)。
信息安全管理体系术语和定义
下列术语和定义适用于本文件。
访问控制 access control
确保对资产的访问是基于业务和安全要求(2.63)进行授权和限制的手段。
分析模型 analytical model
将一个或多个基本测度(2.10)和(或)导出测度(2.22)关联到决策准则(2.21)的算法或计算。
攻击 attack
企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。
属性 attribute
可由人工或自动化手段定量或定性辨别的对象(2.55)特性或特征。
[ISO/IEC 15939:2007,定义2.2,做了修改:将原定义中的“实体”替换为“对象”]
审核 audit
首先收集审核证据,并对其进行客观分析;然后通过系统、独立且详实的过程来确定其满足度(2.61)。
注1:审核可采用第一方评估或第二方/第三方评估的形式;此外还支持综合评估(涉及两个及以上学科领域)。
注2:“审核证据”和“审核准则”在ISO 19011|GB/T 19011中被定义。
审核范围 audit scope
审核(2.5)的程度和边界。
[ISO 19011:2011,定义3.14,做了修改:删除注1]
鉴别 authentication
为一个实体声称的特征是正确的而提供的保障措施。
真实性 authenticity
一个实体是其所声称实体的这种特性。
可用性 availability
根据授权实体的要求可访问和可使用的特性。
基本测度 base measure
用某个属性(2.4)及其量化方法定义的测度(2.47)。
[ISO/IEC 15939:2007,定义2.3,做了修改:删除注2]
注1:基本测度在功能上独立于其他测度(2.47)。
能力 competence
应用知识和技能实现预期结果的才能。
保密性 confidentiality
信息对未授权的个人、实体或过程(2.61)不可用或不泄露的特性。
符合性 conformity
对要求(2.63)的满足。
注1:术语“一致性”是被弃用的同义词。
后果 consequence
事态(2.25)影响目标(2.56)的结果。
[ISO Guide 73:2009,定义3.6.1.3,做了修改]
注1:一个事态(2.25)可能导致一系列后果。
注2:一例后果可能是确定性的也可能是不确定性的,在信息安全(2.33)的情形下通常为负面的结果。
注3:后果可以被定性或定量地表示。
注4:初始后果可能因连锁效应升级。
持续改进 continual improvement
为提高性能(2.59)的反复活动。
控制 control
改变风险(2.68)的措施。
[ISO Guide 73:2009,定义3.8.1.1]
注1:控制包括任何改变风险(2.68)的过程(2.61)、策略(2.60)、设备、实践或其他措施。
注2:控制不一定总是达到预期或假定的风险改变效果。
控制目标 control objective
描述控制(2.16)的实施结果所要达到目标的声明。
纠正 correction
消除已查明的不符合(2.53)的措施。
整改措施 corrective action
消除不符合(2.53)成因以防再次发生的措施。
数据 data
基本测度(2.10)、导出测度(2.22)和(或)指标(2.30)所赋值的集合。
[ISO/IEC 15939:2007,定义2.4,做了修改:增加注1]
注1:这个定义只适用于ISO/IEC 27004|GB/T 31497的语境。
决策准则 decision criteria
判定行动方向,并在需进行深入调查的情况下设定用于衡量结果可靠性的标准;同时需关注目标方向或工作流程。
[ISO/IEC 15939:2007,定义2.7]
导出测度 derived measure
定义为两个或两个以上基本测度(2.10)值的函数的测度(2.10)。
[ISO/IEC 15939:2007,定义2.8,做了修改:删除注1]
文档化信息 documented information
组织(2.57)需要控制和维护的信息及其载体。
注1:文档化信息可以采用任何格式,在任何载体中,出自任何来源。
注2:文档化信息可能涉及
- 管理体系(2.46),涵盖关键流程(2.61);
- 该组织运作所支撑的信息资料库(2.57);
- 结果依据档案文件。
有效性 effectiveness
实现所计划活动和达成所计划结果的程度。
事态 event
一组特定情形的发生或改变。
[ISO Guide 73:2009,定义3.5.1.3,做了修改:删除注4]
注1:一个事态可能是一个或多个发生,并可能有多种原因。
注2:一个事态可能由一些未发生的事情组成。
注3:一个事态可能有时被称为“事件”或“事故”。
执行管理者 executive management
为实现组织(2.57)意图即指负责该战略与策略实施的一组人员或团队。
注1:执行管理者有时被称为最高管理者(2.84),这一编号通常涵盖包括首席执行官(CEO)、首席财务官(CFO)、首席信息官(CIO)等关键岗位及其相关职责范围。
外部语境 external context
组织(2.57)寻求实现其目标(2.56)的外部环境。
[ISO Guide 73:2009,定义3.3.1.1]
注1:外部语境可以包括如下方面:
- 文化和社会以及更为广泛的社会结构(包括文化和社会),这些领域既包括国际层面也涵盖国家层面地区性及地方性范围;
- 影响组织的关键驱动力因素及其发展动态;
- 与外部利益相关方的互动关系及其所持认知态度与价值观念。
信息安全治理 governance of information security
指导和控制组织(2.57)信息安全(2.33)活动的体系。
治理者 governing body
对组织(2.57)的性能(2.59)和合规负有责任的人或一组人。
注1:治理者在某些司法管辖区可以是董事会。
指标 indicator
针对定义的信息需求(2.31),为分析模型(2.2)导出的属性(2.4)提供估算或评价的测度(2.47)。
信息需求 information need
对目标(2.56)、目的、风险和问题进行管理所必需的洞察。
[ISO/IEC 15939:2007,定义2.12]
信息处理设施 information processing facilities
任何的信息处理系统、服务或基础设施,或者其安置的物理位置。
信息安全 information security
对信息的保密性(2.12)、完整性(2.40)和可用性(2.9)的保持。
注1:另外,也可包括诸如真实性(2.8)、可核查性、抗抵赖(2.54)和可靠性(2.62)等其他特性。
信息安全持续性 information security continuity
确保信息安全(2.33)持续作用的过程(2.61)和规程。
信息安全事态 information security event
检测到某种系统、服务或网络状态异常的变化, 可能会导致信息安全策略控制失效(2.33)、控制(2.60)失效, 或者存在一种尚不为人所知的信息安全相关情况
信息安全事件 information security incident
单一或一系列不希望或意外的、极有可能导致业务运行受损并威胁信息安全的信息安全事件(2.33)
信息安全事件管理 information security incident management
发现、报告、评估、响应、处理和总结信息安全事件(2.36)的过程(2.61)。
信息共享社区 information sharing community
同意共享信息的组织群体(2.57)。
注1:组织(2.57)可以是一个人。
信息系统 information system
应用、服务、信息技术资产或其他信息处理组件。
完整性 integrity
准确和完备的特性。
受益相关方 interested party
一项决策或活动可能涉及对其产生的广泛影响,并且也可能被相关主体所关注;同时还有那些关注该决策/活动的人群可能会对此产生一定影响,并引用了相关数据(2.57)。
内部语境 internal context
组织(2.57)寻求实现其目标的内部环境。
[ISO Guide 73:2009,定义3.3.1.2]
注1:内部语境可以包括如下方面:
- 管理、体系架构以及各部分的分工;
- 策略与目标及其达成的方式;
- 覆盖资源与知识领域的能力包括资本、时间和人力资源等资源以及过程(2.61)、系统和技术的支持;
- 涉及信息系统运行的信息流以及决策过程,并区分正式流程与非正式沟通渠道;
- 建立与其关系并理解其认知及价值观;
- 塑造组织文化环境;
- 组织遵循标准流程以及采用指导原则与模型;
- 建立及其程度。
信息安全管理体系项目 ISMS project
组织(2.57)为实施ISMS所开展的结构化活动。
风险程度 level of risk
以后果(2.14)和其可能性(2.45)的组合来表示的风险(2.68)大小。
[ISO Guide 73:2009,定义3.6.1.8,做了修改:删除定义中的“或风险组合”]
可能性 likelihood
某事发生的概率。
[ISO Guide 73:2009,定义3.6.1.1,做了修改:删除注1和注2]
管理体系 management system
组织内部各要素之间相互影响或相互作用的集合体,在规划战略(2.60)、设定目标(2.56),并最终实现这些目标的过程中发挥重要作用,并被编号为过程(2.61)。
注1:一个管理体系可能专注于单一学科或多个学科。
注2:体系要素包括组织结构、角色和责任、规划、运行。
注3:一个管理体系范围可能涵盖整个组织及其指定功能、各职能部门的具体职责,并通过跨组别的一组职责实现协作。
测度 measure
作为测量(2.48)结果赋值的变量。
[ISO/IEC 15939:2007,定义2.15,做了修改]
注1:术语“测度”是基本测度(2.10)、导出测度(2.22)和指标(2.30)的统称。
测量 measurement
确定一个值的过程(2.61)。
在信息安全(2.33)的背景下,确定信息安全参数(2.61)的过程需要通过建立评估模型(2.50)、引入测量函数(2.49)、应用分析框架(2.2)以及制定决策标准(2.21),从而获取对信息安全管理体系(2.46)及其相关控制措施(2.16)有效性的评估结果。
测量函数 measurement function
组合两个或两个以上基本测度(2.10)的算法或计算。
[ISO/IEC 15939:2007,定义2.20]
测量方法 measurement method
用于按规定的尺度(2.80)量化属性(2.4)的通用逻辑操作序列。
[ISO/IEC 15939:2007,定义2.22,做了修改:删除注2]
注1:测量方法的类型取决于属性(2.4)量化操作的性质。可区分为以下两种类型:
- 主观的:包含人为判断的量化;
- 客观的:基于数字规则的量化。
测量结果 measurement results
对信息需要(2.31)的一个或多个指标(2.30)及其相关解释。
监视 monitoring
确定系统、过程(2.61)或活动状态的行为。
注1:为确定状态可能需要检查、监督或严密观察。
不符合 nonconformity
对要求(2.63)的不满足。
抗抵赖 non-repudiation
证明所声称事态(2.25)或行为的发生及其源头的能力。
对象 object
通过测量(2.48)其属性(2.4)来描述其特性的事项。
目标 objective
要实现的结果。
注1:目标可以是战略性的、战术性的或操作性的。
注2
注3:目标可以用不同途径表达,在信息安全方面(2.33)即为目标设定明确的目标,并且还可以通过类似的方式设定相关指标。具体而言,在信息安全领域(2.33),目标不仅可被视为预期成果或意图,并且也可以通过具体的标准来衡量效果。
注4:在当前环境下,在信息安全管理体系框架的要求下,在信息安全管理体系中,在当前环境下,在信息安全管理体系框架的要求下,在信息安全管理体系中
组织 organization
具有自身的功能、责任、权威和关系来实现其目标(2.56)的人或一组人。
注1:组织的概念涵盖范围内的个体经营主体(如个人经营主体)、法人的公司(包括商业银行分支行)、其他企业类型(如机关单位)、合伙实体以及慈善机构或其他教育机构等;此外还包括这些类型的组合形式(如个人与企业共同成立的合作体),无论是否登记注册;无论是公有制还是私有制的企业实体。
外包 outsource
做出由外部组织(2.57)执行部分的组织(2.57)功能或过程(2.61)的安排。
注1:外部组织在管理体系(2.46)的范围之外,尽管外包的功能或过程(2.61)在范围之内。
性能 performance
可测量的结果。
注1:性能可以涉及定量或定性的调查结果。
注2:性能可以涉及活动、过程(2.61)、产品(包括服务)、系统或组织(2.57)的管理。
策略 policy
由最高管理者(2.84)正式表达的组织(2.57)的意图和方向。
过程 process
将输入转换成输出的相互关联或相关作用的活动集。
可靠性 reliability
与预期行为和结果一致的特性。
要求 requirement
明示的、默认的或强制性的需要或期望。
注1:"默认设置"意味着所涉及的需求或期望是由问题本身明确确定的。对于组织(2.57)而言,在这种情况下通常会遵循惯例;而对于受益相关的各方(2.41),则会采取常规做法。
注2:指定要求是在例如文档化信息(2.23)中明示的。
残余风险 residual risk
风险处置(2.79)后余下的风险(2.68)。
注1:残余风险可能包含未识别的风险(2.68)。
注2:残余风险也可以被称为“保留风险”。
评审 review
为了实现设定的目标(2.54),验证该方案是否适合、是否充分以及是否有效(2.24)而采取的活动。
[ISO Guide 73:2009,定义3.8.2.2,做了修改:删除注1]
评审对象 review object
被评审的特定事项。
评审目标 review objective
描述评审(2.65)结果要达到什么的陈述。
风险 risk
对目标的不确定性影响。
[ISO Guide 73:2009,定义1.1,做了修改]
注1:影响是指与期望的偏离(正向的或反向的)。
注2:不确定性状态是对事态(2.25)、其结果(2.14)以及其可能性(2.45)相关信息、理解或知识缺乏的状态(即使仅是部分)。
注3:风险常被表征为潜在的事态(2.25)和后果(2.14),或者它们的组合。
注4:风险常被表示为事态(2.25)的后果(2.14)(包括情形的改变)和其发生可能性(2.45)的组合。
注5:在信息安全管理体系中,在特定语境下(如信息安全目标),信息安全风险可以用...来描述。
注6
风险接受 risk acceptance
接纳特定风险(2.68)的有根据的决定。
[ISO Guide 73:2009,定义3.7.1.6]
注1:可不经风险处置(2.79)或在风险处置(2.79)过程(2.61)中做出风险接受。
注2:接受的风险(2.68)要受到监视(2.52)和评审(2.65)。
风险分析 risk analysis
理解风险(2.68)本质和确定风险等级(2.44)的过程(2.61)。
[ISO Guide 73:2009,定义3.6.1]
注1:风险分析提供风险评价(2.74)和风险处置(2.79)决策的基础。
注2:风险分析包括风险估算。
风险评估 risk assessment
风险识别(2.75)、风险分析(2.70)和风险评价(2.74)的整个过程(2.61)。
[ISO Guide 73:2009,定义3.4.1]
风险沟通与咨询 risk communication and consultation
机构就风险管理活动所进行的, 以交流形式提供信息资源以及与利益相关方持续进行的互动交流活动持续进行并不断优化
注1:这些信息可能包含风险(2.68),其类型包括存在性(是否存在潜在问题)、性质(问题的严重程度)、形式(问题的表现形态)、可能性为(2.45)的概率事件、影响程度以及评估结果等关键指标。这些信息还涉及接受程度和处理措施
咨询涉及在组织(2.57)与利益相关方(2.82)之间展开的知情沟通工作(2.51),这是在决定方向之前完成的一项基础性活动。
咨询是
- 通过影响力而不是权力来影响决策的过程(2.61);
- 决策的输入,而非联合决策。
风险准则 risk criteria
评价风险(2.68)重要性的参照条款。
[SOURCE: ISO Guide 73:2009, 3.3.1.3]
[ISO Guide 73:2009,定义3.3.1.3]
注1:风险准则是基于组织的目标以及外部语境(2.27)和内部语境(2.42)。
注2:风险准则可来自标准、法律、策略(2.60)和其他要求(2.63)。
风险评价 risk evaluation
用于对冲方差贡献度的计算中使用的参数包括哪些?
[ISO Guide 73:2009,定义3.7.1]
注1:风险评价辅助风险处置(2.79)的决策。
风险识别 risk identification
发现、识别和描述风险(2.61)的过程(2.61)。
[ISO Guide 73:2009,定义3.5.1]
注1:风险识别涉及风险源、事态(2.25)及其原因和潜在后果(2.14)的识别。
注2:风险识别可能涵盖既有的数据记录、基于理论的研究以及内部人士和专家之间的意见分歧,并需考虑利益相关方(2.82)的需求。
风险管理 risk management
指导和控制组织(2.57)相关风险(2.57)的协调活动。
[ISO Guide 73:2009,定义2.1]
风险管理过程 risk management process
管理措施(2.60)、规程与实践在构建沟通渠道、开展咨询工作以及环境影响评价中的语境建立阶段,在风险辨识、风险分析与风险评估等环节中通过系统性的方法进行风险管理活动的应用。
[ISO Guide 73:2009,定义3.1,做了修改:增加注1]
改写说明
风险责任者 risk owner
具有责任和权威来管理风险(2.68)的人或实体。
[ISO Guide 73:2009,定义3.5.1.5]
风险处置 risk treatment
改变风险(2.68)的过程(2.61)。
[ISO Guide 73:2009,定义3.8.1,做了修改:将注1中的“决策”替换为“选择”]
注1:风险处置可能涉及如下方面:
- 为了减少潜在风险(2.68),可以通过避免启动或继续执行可能导致风险的活动来规避。
- 为了追求机会而需承担或增加潜在风险(2.68)。
- 应消除导致风险存在的潜在因素。
- 应减少可能性(2.45)。
- 应减少结果的可能性。
- 可与多方共同承担潜在风险(2.68),包括合同条款和风险管理融资。
- 有根据地选择保留潜在风险(2.68)。
注2:处理负面后果(2.14)的风险处置也可称为"风险减轻"、"风险排除"、"预防措施"和"减少影响"。
注3:风险处置可能产生新的风险(2.68)或改变现有风险(2.68)。
尺度 scale
连续的或离散的值的有序集合,或者对应属性(2.4)的类集合。
[ISO/IEC 15939:2007,定义2.35,做了修改]
注1:尺度的类型取决于尺度上值之间关系的性质。通常定义如下四种尺度类型:
- 名义方面:该数值属于分类型;
- 顺序方面:该数值遵循序列型;
- 间距方面:该数值与属性之间的换算结果呈现均匀间隔;
- 比率方面:该数值与相应属性间的换算结果保持均等间距;特别地,在零点处对应的属性为空。
这些只是尺度类型的示例。
安全实施标准 security implementation standard
规定授权的安全实现方式的文件。
利益相关方 stakeholder
在一项决策或活动中, 可能对该决策活动产生影响, 受到该决策活动的影响, 或者认为会受到该决策活动影响的相关主体(2.57)。
[ISO Guide 73:2009,定义3.2.1.1,做了修改:删除注1]
威胁 threat
可能对系统或组织(2.57)造成危害的不期望事件的潜在原由。
最高管理者 top management
最高层指导和控制组织(2.57)的人或一组人。
注1:最高管理者具有在组织(2.57)内授权和提供资源的权力。
改写说明
可信信息通信实体 trusted information communication entity
支持在信息共享社区(2.38)内进行信息交换的自主组织(2.57)。
测量单位 unit of measurement
按照既定的标准被确定和认可的数量...作为用来与其他同类量进行比较的标准来确定其相对规模或水平
[ISO/IEC 15939:2007,定义2.40,做了修改]
确认 validation
通过提供客观证据,证实满足特定预期使用或应用要求(2.63)的行为。
[ISO 9000:2015,定义3.8.12,做了修改]
验证 verification
通过提供客观证据,证实满足规定要求(2.63)的行为。
[ISO 9000:2015,定义3.8.4]
注1:这也可被称为符合性测试。
脆弱性 vulnerability
可能被一个或多个威胁(2.83)利用的资产或控制(2.16)的弱点。
延伸阅读
相关资料 可以深入研究该信息安全技术领域的概述与词汇征集意见稿
联系我们
[DB/ 23-T / 2827— / 20 / 1 燃料乙醇生产业风险辨识与防范策略指导(黑 ARG 江省.pdf)](http://github5.com/view/ / / / / http%3A%EF%BF%BD%EF%BF%B9/github5.com/view/ / / / / ?f= new)