GBT 29246-2023 信息安全技術(shù) 信息安全管理體系 概述和詞匯

信息安全技術(shù)信息安全管理體系概述和詞匯2023-12-28發(fā)布2024-07-01實(shí)施國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)Ⅱ前言 I 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4信息安全管理體系(ISMS) 94.1概要 94.2ISMS概念 4.3過(guò)程方法 4.4ISMS重要性 4.6ISMS關(guān)鍵成功因素 4.7ISMS標(biāo)準(zhǔn)族的益處 5信息安全管理體系標(biāo)準(zhǔn)族 5.1一般信息 5.2概述和術(shù)語(yǔ)標(biāo)準(zhǔn)：ISO/IEC27000(GB/T29246) 5.3要求標(biāo)準(zhǔn) 5.4一般指南標(biāo)準(zhǔn) 5.5具體行業(yè)指南標(biāo)準(zhǔn) 參考文獻(xiàn) I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T29246—2017《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》,與GB/T29246—2017相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：業(yè)人員”“信息安全管理體系項(xiàng)目”“測(cè)量結(jié)果""對(duì)象""尺度""測(cè)量單位""確認(rèn)""驗(yàn)證”(見2017年版的第3章);b)合并了定義相同的術(shù)語(yǔ)“受益相關(guān)方”(見2017年版的2.41)和“利益相關(guān)方”(見2017年版的c)增加了對(duì)ISO/IEC27009的說(shuō)明(見5.3.3);d)增加了對(duì)ISO/IEC27021的說(shuō)明(見5.4.10);e)更新了對(duì)信息安全管理體系標(biāo)準(zhǔn)族中一些標(biāo)準(zhǔn)的說(shuō)明(見第5章，2017年版的第4章)。本文件等同采用ISO/IEC27000:2018《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》。本文做了下列最小限度的編輯性改動(dòng)：——為與現(xiàn)有標(biāo)準(zhǔn)協(xié)調(diào)，將標(biāo)準(zhǔn)名稱改為《信息安全技術(shù)信息安全管理體系概述和詞匯》。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、杭州安恒信息技術(shù)股份有限公司、中國(guó)軟件評(píng)測(cè)中心、中國(guó)信息通信研究院、北京賽西認(rèn)證有限責(zé)任公司、中通服咨詢?cè)O(shè)計(jì)研究院有限公司、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、深信服科技股份有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、長(zhǎng)揚(yáng)科技(北京)有限公司、公安部第三研究所、深圳大學(xué)、北京百度網(wǎng)訊科技有限公司、北京時(shí)代新威信息技術(shù)有限公司、中國(guó)長(zhǎng)江三峽集團(tuán)有限公司。本文件及其所代替文件的歷次版本發(fā)布情況為：——2012年首次發(fā)布為GB/T29246—2012;——2017年第一次修訂；——本次為第二次修訂。1信息安全技術(shù)信息安全管理體系概述和詞匯本文件給出了信息安全管理體系(ISMS)概述，界定了ISMS標(biāo)準(zhǔn)族中常用的術(shù)語(yǔ)和定義。本文件適用于所有類型和規(guī)模的組織(例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非營(yíng)利組織)。本文件中提供的術(shù)語(yǔ)和定義：——包含ISMS標(biāo)準(zhǔn)族中的通用術(shù)語(yǔ)和定義；——不包含ISMS標(biāo)準(zhǔn)族中應(yīng)用的所有術(shù)語(yǔ)和定義；——不限制ISMS標(biāo)準(zhǔn)族定義新的使用術(shù)語(yǔ)。2規(guī)范性引用文件本文件沒(méi)有規(guī)范性引用文件。3術(shù)語(yǔ)和定義訪問(wèn)控制accesscontrol確保對(duì)資產(chǎn)訪問(wèn)是基于業(yè)務(wù)和安全要求(3.56)進(jìn)行授權(quán)和限制的手段。企圖破壞、泄露、篡改、禁用、竊取或者未經(jīng)授權(quán)訪問(wèn)或未經(jīng)授權(quán)使用資產(chǎn)的行為。為獲取審核證據(jù)并對(duì)其進(jìn)行客觀評(píng)價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過(guò)程(3.54)。注1:審核可能是內(nèi)部審核(第一方)或外部審核(第二方或第三方),也可能是聯(lián)合審核(結(jié)合兩個(gè)或更多管理體系)。注2:內(nèi)部審核由組織(3.50)自己或由外部方代表進(jìn)行。審核(3.3)的程度和邊界。確保實(shí)體所聲稱其特征是正確的一種措施。2真實(shí)性authenticity一個(gè)實(shí)體是其所聲稱實(shí)體的性質(zhì)?？捎眯詀vailability可由經(jīng)授權(quán)實(shí)體按需訪問(wèn)和使用的性質(zhì)。用某一屬性及其量化方法定義的測(cè)度(3.42)。注：基本測(cè)度在功能上獨(dú)立于其他測(cè)度。勝任力competence運(yùn)用知識(shí)和技能實(shí)現(xiàn)預(yù)期結(jié)果的能力。保密性confidentiality信息對(duì)未經(jīng)授權(quán)的個(gè)人、實(shí)體或過(guò)程(3.54)不可用或不泄露的性質(zhì)。對(duì)要求(3.56)的滿足。事態(tài)(3.21)影響目標(biāo)(3.49)的結(jié)果。注1:一個(gè)事態(tài)(3.21)可能導(dǎo)致一系列后果。注2:一個(gè)后果可能是確定的或不確定的，在信息安全(3.28)的語(yǔ)境下通常是負(fù)面的。注3:后果可能定性或定量表示。注4:初始后果可能通過(guò)連鎖效應(yīng)升級(jí)。為提高性能(3.52)而反復(fù)進(jìn)行的活動(dòng)。改變風(fēng)險(xiǎn)(3.61)的措施。注1:控制包括任何改變風(fēng)險(xiǎn)(3.61)的過(guò)程(3.54)、策略(3.53)、裝置、實(shí)踐或其他措施。注2:控制可能并不總是發(fā)揮出預(yù)期或假定的改變效果?？刂颇繕?biāo)controlobjective描述控制(3.14)的實(shí)施結(jié)果所要達(dá)到目標(biāo)的聲明。消除已查明不符合性(3.47)的措施。3消除不符合性(3.47)根源以防再次發(fā)生的措施。定義為兩個(gè)或兩個(gè)以上基本測(cè)度(3.8)值的函數(shù)的測(cè)度(3.42)。文檔化信息documentedinformation組織(3.50)需要控制和維護(hù)的信息及其媒體。注1:文檔化信息可能采用任何格式，存于任何媒體中和出自任何來(lái)源。注2:文檔化信息可能涉及——管理體系(3.41),包括相關(guān)過(guò)程(3.54);——為組織(3.50)運(yùn)營(yíng)而創(chuàng)建的信息(文檔);——取得結(jié)果的證據(jù)(記錄)。有效性effectiveness實(shí)現(xiàn)所計(jì)劃活動(dòng)和達(dá)成所計(jì)劃結(jié)果的程度。一組特殊情況的發(fā)生或改變。注1:一個(gè)事態(tài)可能是一次或多次發(fā)生，并可能有多種原因。注2:一個(gè)事態(tài)可能由未發(fā)生的事情組成。組織(3.50)尋求實(shí)現(xiàn)其目標(biāo)(3.49)的外部環(huán)境。注：外部語(yǔ)境可能包括如下方面：方的；——影響組織(3.50)目標(biāo)(3.49)的關(guān)鍵驅(qū)動(dòng)力和趨勢(shì)；——與外部利益相關(guān)方(3.37)的關(guān)系及其認(rèn)知和價(jià)值觀。信息安全治理governanceofinformationsecurity指導(dǎo)和控制組織(3.50)信息安全(3.28)活動(dòng)的體系。對(duì)組織(3.50)的性能(3.52)和符合性(3.11)負(fù)有責(zé)任的個(gè)人或集體。注：在某些司法管轄區(qū)，治理層可能是董事會(huì)。提供估算或評(píng)價(jià)的測(cè)度(3.42)。4對(duì)目標(biāo)(3.49)、風(fēng)險(xiǎn)和問(wèn)題進(jìn)行管理所需的了解。信息處理設(shè)施informationprocessingfacilities任何信息處理系統(tǒng)、服務(wù)或基礎(chǔ)設(shè)施，或者其安置的物理場(chǎng)所。對(duì)信息的保密性(3.10)、完整性(3.36)和可用性(3.7)的保全。信息安全持續(xù)性informationsecuritycontinuity保障信息安全(3.28)持續(xù)運(yùn)行的過(guò)程(3.54)和規(guī)程。信息安全事態(tài)informationsecurityevent識(shí)別到的一種系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)的發(fā)生，表明可能違反信息安全(3.28)策略(3.53)或控制(3.14)失效，或者可能與信息安全相關(guān)的先前未知情況。信息安全事件informationsecurityincident單個(gè)或一系列不希望或意外的、極有可能危及業(yè)務(wù)運(yùn)營(yíng)并威脅信息安全(3.28)的信息安全事態(tài)信息安全事件管理informationsecurityincidentmanagement信息安全管理體系(ISMS)專業(yè)人員informationsecuritymanagementsystem(ISMS)professional建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)一個(gè)或多個(gè)信息安全管理體系過(guò)程(3.54)的人員。信息共享群組informationsharingcommunity同意共享信息的組織(3.50)群體。信息系統(tǒng)informationsystem應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件的組合。完整性integrity準(zhǔn)確和完備的性質(zhì)。利益相關(guān)方interestedparty;stakeholder可能對(duì)一項(xiàng)決策或活動(dòng)產(chǎn)生影響，或被其影響，或認(rèn)為自己受到其影響的個(gè)人或組織(3.50)。組織(3.50)尋求實(shí)現(xiàn)其目標(biāo)的內(nèi)部環(huán)境。5注：內(nèi)部語(yǔ)境可能包括如下方面：——策略(3.53)、目標(biāo)(3.49)及其實(shí)現(xiàn)戰(zhàn)略；——信息系統(tǒng)(3.35)、信息流和決策過(guò)程(3.54)(正式的和非正式的);——與內(nèi)部利益相關(guān)方(3.37)的關(guān)系及其認(rèn)知和價(jià)值觀；——組織(3.50)的文化；——組織采用的標(biāo)準(zhǔn)、指南和模型；——合同關(guān)系的形式和范圍。風(fēng)險(xiǎn)級(jí)別levelofrisk以后果(3.12)和其可能性(3.40)的組合來(lái)表示的風(fēng)險(xiǎn)(3.61)大小。某事發(fā)生的機(jī)會(huì)。[來(lái)源：ISOGuide73:2009,3.6.1.1,有修改：刪除注1和注2]組織(3.50)中相互關(guān)聯(lián)或相互作用，用來(lái)建立策略(3.53)和目標(biāo)(3.49)以及實(shí)現(xiàn)這些目標(biāo)過(guò)程注1:管理體系可能專注于單一學(xué)科或多個(gè)學(xué)科。注2:體系元素包括組織的結(jié)構(gòu)、角色和責(zé)任、規(guī)劃和運(yùn)行。注3:管理體系范圍可能包括組織(3.50)的整體、組織的具體且確定的功能或部門，或者跨組織群的一項(xiàng)或多項(xiàng)功能。作為測(cè)量(3.43)結(jié)果賦值的變量。測(cè)量measurement確定一個(gè)值的過(guò)程(3.54)。組合兩個(gè)或兩個(gè)以上基本測(cè)度(3.8)的算法或計(jì)算。測(cè)量方法measurementmethod注：測(cè)量方法的類型取決于屬性量化操作的性質(zhì)?？赡軈^(qū)分為以下兩種類型：——主觀的：涉及人為判斷的量化；——客觀的：基于數(shù)字規(guī)則的量化。6監(jiān)視monitoring確定系統(tǒng)、過(guò)程(3.54)或活動(dòng)狀態(tài)的行為。注：為確定狀態(tài)可能需要檢查、監(jiān)督或嚴(yán)密觀察。不符合性nonconformity對(duì)要求(3.56)的不滿足。證明所聲稱事態(tài)(3.21)或行動(dòng)的發(fā)生及其起源實(shí)體的能力。要實(shí)現(xiàn)的結(jié)果。注1:目標(biāo)可能是戰(zhàn)略性的、戰(zhàn)術(shù)性的或操作性的。注2:目標(biāo)可能涉及不同學(xué)科(諸如金融、健康與安全以及環(huán)境目標(biāo)),可能適用于不同層次(諸如戰(zhàn)略、組織、項(xiàng)目、產(chǎn)品和過(guò)程(3.54))。注3:目標(biāo)可能以其他方式表示，例如，作為預(yù)期結(jié)果、意圖、操作準(zhǔn)則，作為信息安全(3.28)目標(biāo)，或者使用具有類似含義的其他詞語(yǔ)(例如，目的或靶標(biāo))。注4:在信息安全(3.28)管理體系(3.41)的語(yǔ)境下，組織(3.50)制定與信息安全策略(3.53)一致的信息安全目標(biāo)，以實(shí)現(xiàn)特定結(jié)果。具有自身的職責(zé)、權(quán)威和關(guān)系以實(shí)現(xiàn)其目標(biāo)(3.49)的個(gè)人或集體。其組合，無(wú)論是否法人，是公共的還是私營(yíng)的。做出由外部組織(3.50)執(zhí)行組織的部分功能或過(guò)程(3.54)的安排。注：外部組織(3.50)不在管理體系(3.41)的范圍，盡管外包的功能或過(guò)程(3.54)在范圍之內(nèi)。一種可測(cè)量的屬性。注1:性能可能與定量或定性的調(diào)查發(fā)現(xiàn)相關(guān)。注2:性能可能與活動(dòng)、過(guò)程(3.54)、產(chǎn)品(包括服務(wù))、系統(tǒng)或組織(3.50)的管理相關(guān)。由其最高管理層(3.75)正式表達(dá)的組織(3.50)的意圖和方向。注：總策略一般稱為方針。對(duì)于包括總策略的策略集稱為方針策略。過(guò)程process將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相關(guān)作用的活動(dòng)集合?？煽啃詒eliability與預(yù)期行為和結(jié)果一致的性質(zhì)。7注1:“通常隱含的”意指所考慮的需要或期望是不言而喻的，對(duì)于組織(3.50)或利益相關(guān)方(3.37)是慣例或常見做法。注2:規(guī)定的要求是明示的，例如在文檔化信息(3.19)中明示。殘余風(fēng)險(xiǎn)residualrisk風(fēng)險(xiǎn)處置(3.72)后余下的風(fēng)險(xiǎn)(3.61)。注1:殘余風(fēng)險(xiǎn)可能包含未識(shí)別的風(fēng)險(xiǎn)(3.61)。注2:殘余風(fēng)險(xiǎn)也稱為“保留風(fēng)險(xiǎn)”。為確定主題事項(xiàng)的適宜性、充分性和有效性(3.20)以實(shí)現(xiàn)既定目標(biāo)而開展的活動(dòng)。評(píng)審對(duì)象reviewobject被評(píng)審的特定事項(xiàng)。評(píng)審目標(biāo)reviewobjective描述所要達(dá)到的評(píng)審(3.58)結(jié)果的聲明。對(duì)目標(biāo)(3.49)的不確定性影響。注1:影響是指與期望的偏離(正向的或反向的)。注2:不確定性是對(duì)事態(tài)(3.21)及其后果(3.12)或可能性(3.40)的相關(guān)信息、理解或知識(shí)缺乏的狀態(tài)(即使是部分的)。注4:風(fēng)險(xiǎn)常被表示為事態(tài)(3.21)(包括情況改變)的后果(3.12)和其發(fā)生“可能性”(3.40)的組合。注5:在信息安全(3.28)管理體系(3.41)的語(yǔ)境下，信息安全風(fēng)險(xiǎn)能被表示為對(duì)信息安全目標(biāo)(3.49)的不確定性影響。注6:信息安全(3.28)風(fēng)險(xiǎn)與威脅(3.74)利用信息資產(chǎn)或信息資產(chǎn)組的脆弱性(3.77)對(duì)組織(3.50)造成傷害的潛力相關(guān)。風(fēng)險(xiǎn)接受riskacceptance承擔(dān)特定風(fēng)險(xiǎn)(3.61)的知情決定。注1:風(fēng)險(xiǎn)接受可能是在不經(jīng)風(fēng)險(xiǎn)處置(3.72)或風(fēng)險(xiǎn)處置過(guò)程(3.54)中做出。注2:接受的風(fēng)險(xiǎn)(3.61)處于監(jiān)視(3.46)和評(píng)審(3.58)中。理解風(fēng)險(xiǎn)(3.61)本質(zhì)和確定風(fēng)險(xiǎn)級(jí)別(3.39)的過(guò)程(3.54)。注1:風(fēng)險(xiǎn)分析為風(fēng)險(xiǎn)評(píng)價(jià)(3.67)和風(fēng)險(xiǎn)處置(3.72)決策提供基礎(chǔ)。注2:風(fēng)險(xiǎn)分析包括風(fēng)險(xiǎn)估算。8風(fēng)險(xiǎn)評(píng)估riskassessment風(fēng)險(xiǎn)溝通與咨詢r(jià)iskcommunicationandconsultation組織(3.50)就風(fēng)險(xiǎn)(3.61)管理所進(jìn)行的，提供、共享或獲取信息以及與利益相關(guān)方(3.37)對(duì)話的持續(xù)和迭代過(guò)程(3.54)。注2:咨詢是對(duì)問(wèn)題進(jìn)行決策或確定方向之前，在組織(3.50)和其利益相關(guān)方(3.37)之間進(jìn)行知情溝通的雙向過(guò)程——通過(guò)影響力而不是權(quán)力來(lái)影響決策的過(guò)程(3.54);——決策的輸入，而非聯(lián)合做出決策。評(píng)價(jià)風(fēng)險(xiǎn)(3.61)重要性的基準(zhǔn)。注1:風(fēng)險(xiǎn)準(zhǔn)則是基于組織的目標(biāo)以及外部語(yǔ)境(3.22)和內(nèi)部語(yǔ)境(3.38)。注2:風(fēng)險(xiǎn)準(zhǔn)則能根據(jù)標(biāo)準(zhǔn)、法律、策略(3.53)和其他要求(3.56)得出。將風(fēng)險(xiǎn)分析(3.63)的結(jié)果與風(fēng)險(xiǎn)準(zhǔn)則(3.66)比較，以確定風(fēng)險(xiǎn)(3.61)和/或其大小是否可接受或可注：風(fēng)險(xiǎn)評(píng)價(jià)有助于風(fēng)險(xiǎn)處置(3.72)的決策。注1:風(fēng)險(xiǎn)識(shí)別涉及風(fēng)險(xiǎn)源、事態(tài)(3.21)及其原因和潛在后果(3.12)的識(shí)別。注2:風(fēng)險(xiǎn)識(shí)別可能涉及歷史數(shù)據(jù)、理論分析、知情者和專家的意見以及利益相關(guān)方(3.37)的需要。風(fēng)險(xiǎn)管理riskmanagement指導(dǎo)和控制組織(3.50)相關(guān)風(fēng)險(xiǎn)(3.61)的協(xié)調(diào)活動(dòng)。風(fēng)險(xiǎn)管理過(guò)程riskmanagementprocess(3.61)活動(dòng)上的系統(tǒng)性應(yīng)用。風(fēng)險(xiǎn)責(zé)任者riskowner具有責(zé)任和權(quán)力來(lái)管理風(fēng)險(xiǎn)(3.61)的個(gè)人或?qū)嶓w。9GB/T29246—2023/ISO/IEC27000:2018改變風(fēng)險(xiǎn)(3.61)的過(guò)程(3.54)。注1:風(fēng)險(xiǎn)處置可能涉及如下方面：——通過(guò)決定不啟動(dòng)或不繼續(xù)進(jìn)行引發(fā)風(fēng)險(xiǎn)(3.61)的活動(dòng)來(lái)規(guī)避風(fēng)險(xiǎn)；——承擔(dān)或增加風(fēng)險(xiǎn)(3.61)以追求機(jī)會(huì)；——消除風(fēng)險(xiǎn)源；——改變可能性(3.40);——改變后果(3.12);——與另外一方或多方共擔(dān)風(fēng)險(xiǎn)(包括合同和風(fēng)險(xiǎn)融資);——有根據(jù)地選擇保留風(fēng)險(xiǎn)。注3:風(fēng)險(xiǎn)處置可能產(chǎn)生新的風(fēng)險(xiǎn)(3.61)或改變現(xiàn)有風(fēng)險(xiǎn)。安全實(shí)施標(biāo)準(zhǔn)securityimplementationstandard規(guī)定授權(quán)的安全實(shí)現(xiàn)方式的文件。威脅threat對(duì)系統(tǒng)或組織(3.50)可能造成意外傷害事件的潛在因素。最高管理層topmanagement在最高級(jí)別上指導(dǎo)和控制組織(3.50)的個(gè)人或集體。注1:最高管理層有權(quán)在組織(3.50)內(nèi)授權(quán)和提供資源。注2:如果管理體系(3.41)的范圍僅涵蓋組織(3.50)的一部分，則最高管理層就是指指導(dǎo)和控制組織這一部分的個(gè)人或集體。注3:最高管理層有時(shí)稱為執(zhí)行管理層，可能包括首席執(zhí)行官、首席財(cái)務(wù)官、首席信息官和類似角色。支持信息共享群組(3.34)內(nèi)信息交換的自主組織(3.50)。脆弱性vulnerability可能被一個(gè)或多個(gè)威脅(3.74)利用的資產(chǎn)或控制(3.14)的弱點(diǎn)。4信息安全管理體系(ISMS)各種類型和規(guī)模組織的主要任務(wù)：b)認(rèn)識(shí)到信息及其相關(guān)過(guò)程、系統(tǒng)、網(wǎng)絡(luò)和人員是實(shí)現(xiàn)組織目標(biāo)的重要資產(chǎn)；c)面對(duì)一系列可能影響資產(chǎn)運(yùn)作的風(fēng)險(xiǎn)；d)通過(guò)實(shí)施信息安全控制解決其感知到的因暴露帶來(lái)的風(fēng)險(xiǎn)。組織持有和處理的所有信息在其使用中，都會(huì)受到攻擊、錯(cuò)誤、自然災(zāi)害(例如，洪水或火災(zāi))等威脅并存在固有的脆弱性。術(shù)語(yǔ)“信息安全”通常基于將信息視為一種資產(chǎn)，其價(jià)值需要適當(dāng)保護(hù)，例如，防止喪失保密性、完整性和可用性。使已授權(quán)的需要者能及時(shí)獲得準(zhǔn)確、完整的信息，有助于促進(jìn)提升業(yè)通過(guò)有效地闡明、實(shí)現(xiàn)、維護(hù)和改進(jìn)信息安全來(lái)保護(hù)信息資產(chǎn)，對(duì)于組織實(shí)現(xiàn)其目標(biāo)并保持和增強(qiáng)其法律合規(guī)性和形象至關(guān)重要。這些指導(dǎo)實(shí)施適當(dāng)控制和處置不可接受的信息安全風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)通常被稱為信息安全管理的元素。由于信息安全風(fēng)險(xiǎn)和控制的有效性隨著環(huán)境的變化而變化，組織需要：a)監(jiān)視和評(píng)價(jià)已實(shí)施的控制和規(guī)程的有效性；b)識(shí)別待處置的新風(fēng)險(xiǎn)；c)根據(jù)需要選擇、實(shí)施和改進(jìn)適當(dāng)?shù)目刂?。為了相互關(guān)聯(lián)和協(xié)調(diào)此類信息安全活動(dòng)，每個(gè)組織都需要制定其信息安全策略和目標(biāo)，并通過(guò)使用管理體系有效地實(shí)現(xiàn)這些目標(biāo)。4.2.1概述和原則信息安全管理體系(ISMS)由策略、規(guī)程、指南以及相關(guān)資源和活動(dòng)組成，由組織集中管理，目的在于保護(hù)其信息資產(chǎn)。ISMS是建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、維護(hù)和改進(jìn)組織信息安全來(lái)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的系統(tǒng)方法。它是基于風(fēng)險(xiǎn)評(píng)估和組織的風(fēng)險(xiǎn)接受程度，為有效地處置和管理風(fēng)險(xiǎn)而設(shè)計(jì)的。分析信息資產(chǎn)保護(hù)的需求，并根據(jù)需要應(yīng)用適當(dāng)?shù)目刂苼?lái)切實(shí)保護(hù)這些信息資產(chǎn)，有助于ISMS的成功實(shí)施。下列基本原則也有助于ISMS的成功實(shí)施：a)認(rèn)識(shí)到信息安全的需要；b)分配信息安全的責(zé)任；c)整合管理者的承諾和利益相關(guān)方的利益；d)提升社會(huì)價(jià)值；e)開展風(fēng)險(xiǎn)評(píng)估來(lái)確定適當(dāng)?shù)目刂?，以達(dá)到可接受的風(fēng)險(xiǎn)程度；f)將安全作為信息網(wǎng)絡(luò)和系統(tǒng)的基本元素；g)主動(dòng)防范和發(fā)現(xiàn)信息安全事件；h)確保信息安全管理方法的全面性；i)持續(xù)對(duì)信息安全進(jìn)行再評(píng)估并酌情進(jìn)行修改。信息是一種資產(chǎn)，與其他重要的業(yè)務(wù)資產(chǎn)一樣，對(duì)組織的業(yè)務(wù)至關(guān)重要，因此需要得到適當(dāng)?shù)谋Ｗo(hù)。信息可能以多種形式存儲(chǔ)，包括：數(shù)字形式(如存儲(chǔ)在電子或光媒體上的數(shù)據(jù)文件)、物質(zhì)形式(如紙質(zhì)),以及以員工知識(shí)的形式未表述的信息。信息可能通過(guò)各種方式進(jìn)行傳輸，包括：快遞、電子或口頭通信。無(wú)論信息采用何種形式，或以何種形式傳輸，它總是需要適當(dāng)?shù)谋Ｗo(hù)。在許多組織中，信息依賴于信息通信技術(shù)。這項(xiàng)技術(shù)通常是組織的一個(gè)基本元素，有助于促進(jìn)信息信息安全確保信息的保密性、可用性和完整性。信息安全涉及應(yīng)用和管理適當(dāng)?shù)目刂?，包括考慮到各種威脅，以確保業(yè)務(wù)的持續(xù)成功和持續(xù)性，并最小化信息安全事件的后果。信息安全是通過(guò)實(shí)施一套適用的控制來(lái)實(shí)現(xiàn)的，這套控制通過(guò)選定的風(fēng)險(xiǎn)管理過(guò)程進(jìn)行選擇，并使用ISMS進(jìn)行管理，包括策略、過(guò)程、規(guī)程、組織結(jié)構(gòu)、軟件和硬件，用以保護(hù)已識(shí)別的信息資產(chǎn)。必要時(shí)，需要明確規(guī)定、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)這些控制，以確保滿足組織的特定信息安全和業(yè)務(wù)目標(biāo)。相關(guān)的信息安全控制也是期望與組織業(yè)務(wù)過(guò)程無(wú)縫集成。管理涉及在適當(dāng)?shù)慕Y(jié)構(gòu)中指導(dǎo)、控制和持續(xù)改進(jìn)組織的活動(dòng)。管理活動(dòng)包括組織、處理、指導(dǎo)、監(jiān)督和控制資源的行為、方式或?qū)嵺`。管理結(jié)構(gòu)與組織規(guī)模相適應(yīng)，在小型組織中可以是一個(gè)人，在大型組織中可以是由許多人組成的管理層級(jí)。就ISMS而言，管理涉及通過(guò)保護(hù)組織的信息資產(chǎn)來(lái)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)所需的監(jiān)督和決策。信息安全管理通過(guò)制定和使用信息安全策略、規(guī)程和指南來(lái)表達(dá)，然后由與組織相關(guān)的所有個(gè)人在整個(gè)組織中應(yīng)用這些策略、規(guī)程和指南。管理體系使用資源框架來(lái)實(shí)現(xiàn)組織的目標(biāo)。管理體系包括組織架構(gòu)、策略、規(guī)劃活動(dòng)、責(zé)任、實(shí)踐、在信息安全方面，管理體系給予組織：a)滿足客戶和其他利益相關(guān)方的信息安全需求；b)改進(jìn)組織的計(jì)劃和活動(dòng)；c)滿足組織的信息安全目標(biāo)；d)遵從法律法規(guī)、規(guī)章制度和行業(yè)規(guī)定；e)以有組織的方式管理信息資產(chǎn)，來(lái)促進(jìn)持續(xù)改進(jìn)和調(diào)整當(dāng)前的組織目標(biāo)。4.3過(guò)程方法組織需要識(shí)別和管理許多活動(dòng)，以便既有效果又有效率地運(yùn)作。任何使用資源的活動(dòng)需要被管理，以便能夠使用一組相互關(guān)聯(lián)或相互作用的活動(dòng)將輸入轉(zhuǎn)換為輸出，這也稱為過(guò)程。一個(gè)過(guò)程的輸出能直接形成另一個(gè)過(guò)程的輸入，通常這種轉(zhuǎn)換是在計(jì)劃和受控的條件下進(jìn)行的。組織內(nèi)過(guò)程系統(tǒng)的應(yīng)需要解決與組織信息資產(chǎn)相關(guān)的風(fēng)險(xiǎn)。實(shí)現(xiàn)信息安全需要管理風(fēng)險(xiǎn)，包括與組織內(nèi)部或組織使用的所有形式的信息相關(guān)的物理、人為和技術(shù)威脅帶來(lái)的風(fēng)險(xiǎn)。采用ISMS是期望其成為組織的一項(xiàng)戰(zhàn)略決策，并且該決策有必要根據(jù)組織的需要進(jìn)行無(wú)縫集成、擴(kuò)展和更新。組織ISMS的設(shè)計(jì)和實(shí)施受組織的需要和目標(biāo)、安全需求、采用的業(yè)務(wù)過(guò)程以及組織的規(guī)模和結(jié)構(gòu)的影響。ISMS的設(shè)計(jì)和運(yùn)行需要反映組織的利益相關(guān)方(包括客戶、供應(yīng)商、業(yè)務(wù)伙伴、股東和其他相關(guān)第三方)的利益和信息安全需求。在相互連接的世界中，信息和相關(guān)的過(guò)程、系統(tǒng)和網(wǎng)絡(luò)組成關(guān)鍵業(yè)務(wù)資產(chǎn)。組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨來(lái)源廣泛的安全威脅，包括計(jì)算機(jī)輔助欺詐、間諜活動(dòng)、蓄意破壞、火災(zāi)和洪水。惡意代碼、計(jì)算機(jī)黑客和拒絕服務(wù)攻擊對(duì)信息系統(tǒng)和網(wǎng)絡(luò)造成的損害已變得更加普遍、更有野心和日益復(fù)雜。ISMS對(duì)于公共和私營(yíng)部門業(yè)務(wù)都很重要。在任何行業(yè)中，ISMS都使電子商務(wù)成為可能，對(duì)風(fēng)險(xiǎn)管理活動(dòng)至關(guān)重要。公共和私營(yíng)網(wǎng)絡(luò)的互聯(lián)以及信息資產(chǎn)的共享增加了信息訪問(wèn)控制和處理的難度。此外，包含信息資產(chǎn)的移動(dòng)存儲(chǔ)設(shè)備的分布可能削弱傳統(tǒng)控制的有效性。當(dāng)組織采用了ISMS標(biāo)準(zhǔn)族，便可向業(yè)務(wù)伙伴和其他受益相關(guān)方證明其運(yùn)用一致且互認(rèn)的信息安全原則的能力。在信息系統(tǒng)的設(shè)計(jì)和開發(fā)中，信息安全并不總是被考慮到的。而且，信息安全常被認(rèn)為是技術(shù)解決方案。然而，能通過(guò)技術(shù)手段實(shí)現(xiàn)的信息安全是有限的，若沒(méi)有ISMS的適當(dāng)管理和規(guī)程支持，信息安全可能是無(wú)效的。將安全性集成到功能完備的信息系統(tǒng)中可能是困難和昂貴的。ISMS涉及確認(rèn)哪些控制到位，需要仔細(xì)規(guī)劃并注意細(xì)節(jié)。例如，訪問(wèn)控制提供了一種手段，以確保根據(jù)業(yè)務(wù)和信息安全需求來(lái)授權(quán)和限制對(duì)信息資產(chǎn)的訪問(wèn)，這種訪問(wèn)控制可能是技術(shù)(邏輯)、物理、行政(管理)或組合的。ISMS的成功采用對(duì)于保護(hù)信息資產(chǎn)非常重要，它使組織能：a)更好地確保其信息資產(chǎn)得到持續(xù)的充分保護(hù)，免受威脅；b)保持一個(gè)結(jié)構(gòu)化和全面的框架，來(lái)識(shí)別和評(píng)估信息安全風(fēng)險(xiǎn)，選擇和應(yīng)用適用的控制，并測(cè)量和改進(jìn)其有效性；c)持續(xù)改進(jìn)其控制環(huán)境；d)有效地遵從法律法規(guī)。組織需按照如下步驟建立、監(jiān)視、保持和改進(jìn)其ISMS:a)識(shí)別信息資產(chǎn)及其相關(guān)的信息安全需求(見4.5.2);b)評(píng)估信息安全風(fēng)險(xiǎn)(見4.5.3)和處置信息安全風(fēng)險(xiǎn)(見4.5.4);c)選擇并實(shí)施相關(guān)控制，以管理不可接受的風(fēng)險(xiǎn)(見4.5.5);d)監(jiān)視、保持和改進(jìn)組織ISMS的有效性(見4.5.6)。為確保ISMS持續(xù)有效地保護(hù)組織的信息資產(chǎn)，有必要不斷重復(fù)步驟a)至d),以識(shí)別風(fēng)險(xiǎn)或組織戰(zhàn)略或業(yè)務(wù)目標(biāo)的變化。4.5.2識(shí)別信息安全需求在組織的總體戰(zhàn)略和業(yè)務(wù)目標(biāo)、規(guī)模和地理分布的范圍內(nèi)，能通過(guò)了解如下方面來(lái)識(shí)別信息安全需求：a)已識(shí)別的信息資產(chǎn)及其價(jià)值；b)信息處理、存儲(chǔ)和通信的業(yè)務(wù)需要；c)法律法規(guī)、規(guī)章制度和合同要求。對(duì)與組織信息資產(chǎn)相關(guān)的風(fēng)險(xiǎn)進(jìn)行有條不紊的評(píng)估，包括分析信息資產(chǎn)面臨的威脅、信息資產(chǎn)存在的脆弱性、威脅實(shí)現(xiàn)的可能性，以及任何信息安全事件對(duì)信息資產(chǎn)的潛在影響。相關(guān)控制的付出旨在與風(fēng)險(xiǎn)成為現(xiàn)實(shí)后感知到的業(yè)務(wù)影響相稱。4.5.3評(píng)估信息安全風(fēng)險(xiǎn)管理信息安全需要一種適合的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置方法，該方法可能包括對(duì)成本和收益、法律要求、利益相關(guān)方的關(guān)切以及其他適合的輸入和變量的判斷。風(fēng)險(xiǎn)評(píng)估宜根據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則和與組織相關(guān)的目標(biāo)來(lái)識(shí)別、量化并按重要性排列風(fēng)險(xiǎn)。評(píng)估結(jié)果宜指導(dǎo)和確定適當(dāng)?shù)墓芾硇袆?dòng)及其優(yōu)先級(jí)，以管理信息安全風(fēng)險(xiǎn)，并實(shí)施為防范這些風(fēng)險(xiǎn)而選擇的控制。風(fēng)險(xiǎn)評(píng)估宜包括：——系統(tǒng)性估算風(fēng)險(xiǎn)大小的方法(風(fēng)險(xiǎn)分析);——將估算的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)準(zhǔn)則比較，以確定風(fēng)險(xiǎn)重要性的過(guò)程(風(fēng)險(xiǎn)評(píng)價(jià))。險(xiǎn)評(píng)價(jià)以及發(fā)生重大變化時(shí)的變化。這些風(fēng)險(xiǎn)評(píng)估宜以能夠產(chǎn)生可比較和可重現(xiàn)結(jié)果的有條不紊的方法進(jìn)行。信息安全風(fēng)險(xiǎn)評(píng)估宜具有明確界定的范圍以保障其有效性，還宜包括與其他區(qū)域風(fēng)險(xiǎn)評(píng)估的關(guān)系(如果適用)。ISO/IEC27005提供信息安全風(fēng)險(xiǎn)管理指南，包括關(guān)于風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)報(bào)告、風(fēng)險(xiǎn)監(jiān)視和風(fēng)險(xiǎn)評(píng)審的建議。風(fēng)險(xiǎn)評(píng)估方法的例子也包括在內(nèi)。在考慮風(fēng)險(xiǎn)處置之前，組織宜確定風(fēng)險(xiǎn)是否可接受的準(zhǔn)則。例如，如果評(píng)估風(fēng)險(xiǎn)較低或處置成本對(duì)組織不具有成本效益，則可接受風(fēng)險(xiǎn)。此類決定宜予以記錄。對(duì)于經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估后識(shí)別的每個(gè)風(fēng)險(xiǎn)，需要做出風(fēng)險(xiǎn)處置決策。風(fēng)險(xiǎn)處置的可能選項(xiàng)包括：a)采用適當(dāng)?shù)目刂苼?lái)降低風(fēng)險(xiǎn)；b)明知并客觀地接受風(fēng)險(xiǎn)，前提是這些風(fēng)險(xiǎn)明確地符合組織的風(fēng)險(xiǎn)接受策略和準(zhǔn)則；c)通過(guò)不允許可能導(dǎo)致風(fēng)險(xiǎn)發(fā)生的行為來(lái)規(guī)避風(fēng)險(xiǎn)；d)與其他方共擔(dān)相關(guān)風(fēng)險(xiǎn)，例如，保險(xiǎn)公司或供應(yīng)商。對(duì)于那些已決定采用適當(dāng)控制來(lái)處置的風(fēng)險(xiǎn)，宜選擇和實(shí)施這些控制。4.5.5選擇和實(shí)施控制一旦識(shí)別了信息安全需求(見4.5.2),確定和評(píng)估了所識(shí)別信息資產(chǎn)的信息安全風(fēng)險(xiǎn)(見4.5.3),并做出了處置信息安全風(fēng)險(xiǎn)的決定，則選擇和實(shí)施風(fēng)險(xiǎn)降低的控制?？刂埔舜_保將風(fēng)險(xiǎn)降低至可接受的程度，同時(shí)考慮到以下因素。a)國(guó)家和國(guó)際法律法規(guī)的要求和約束。b)組織目標(biāo)。c)運(yùn)行要求和約束。d)風(fēng)險(xiǎn)降低相關(guān)的實(shí)施和運(yùn)行成本，并保持與組織要求和約束相稱。e)監(jiān)視、評(píng)價(jià)和改進(jìn)信息安全控制的效果和效率以支持組織目的的目標(biāo)?？刂频倪x擇和實(shí)施宜記錄在適用性聲明中，以協(xié)助合規(guī)要求。f)控制的實(shí)施和運(yùn)行投入與信息安全事件可能導(dǎo)致的損失之間平衡的需要。ISO/IEC27002:2022中的控制是公認(rèn)的適用于大多數(shù)組織的最佳實(shí)踐，并易于調(diào)整以適應(yīng)各種規(guī)模和復(fù)雜性的組織。ISMS標(biāo)準(zhǔn)族中的其他標(biāo)準(zhǔn)為選擇和應(yīng)用ISMS的ISO/IEC27002:2022控制提供了指導(dǎo)。宜在系統(tǒng)和項(xiàng)目需求規(guī)范和設(shè)計(jì)階段考慮信息安全控制。如果不這樣做，可能會(huì)導(dǎo)致額外的成本和低效的解決方案，并且在最壞的情況下，無(wú)法實(shí)現(xiàn)足夠的安全性。控制可從ISO/IEC27002:2022或其他控制集中選擇?；蛘?，能設(shè)計(jì)新的控制，以滿足組織的特定需要。有必要認(rèn)識(shí)到，某些控制可能不適用于每個(gè)信息系統(tǒng)或環(huán)境，也不適用于所有組織。有時(shí)，實(shí)施所選擇的一組控制需要時(shí)間，在此期間，風(fēng)險(xiǎn)程度可能高于長(zhǎng)期所能容忍的程度。風(fēng)險(xiǎn)準(zhǔn)則宜涵蓋控制實(shí)施期間短期風(fēng)險(xiǎn)的可承受性。隨著控制的逐步實(shí)施，宜將在不同時(shí)間點(diǎn)估算或預(yù)計(jì)的風(fēng)險(xiǎn)程度告知利益相關(guān)方。宜記住，沒(méi)有一套控制能實(shí)現(xiàn)完全的信息安全。宜實(shí)施額外的管理行動(dòng)來(lái)監(jiān)視、評(píng)價(jià)和改進(jìn)信息安全控制的效果和效率，以支持組織目的?？刂频倪x擇和實(shí)施宜記錄在適用性聲明中，以協(xié)助合規(guī)要求。組織需要根據(jù)其策略和目標(biāo)監(jiān)視和評(píng)估ISMS的執(zhí)行情況，并將結(jié)果報(bào)告給管理層評(píng)審，從而保持和改進(jìn)ISMS。這種ISMS評(píng)審檢查ISMS是否包括適用于處置ISMS范圍內(nèi)風(fēng)險(xiǎn)的特定控制。此外，根據(jù)所監(jiān)視區(qū)域的記錄，提供對(duì)糾正、預(yù)防和改進(jìn)措施進(jìn)行驗(yàn)證和追溯的證據(jù)。ISMS持續(xù)改進(jìn)的目的是提高實(shí)現(xiàn)信息保密性、可用性和完整性目標(biāo)的可能性。持續(xù)改進(jìn)的重點(diǎn)是尋找改進(jìn)的機(jī)會(huì)，而不是假設(shè)現(xiàn)有的管理活動(dòng)已經(jīng)足夠好或盡可能好了。改進(jìn)措施包括：a)分析和評(píng)價(jià)現(xiàn)狀，以識(shí)別改進(jìn)的地方；b)制定改進(jìn)的目標(biāo)；c)尋找實(shí)現(xiàn)目標(biāo)的可能解決方案；d)評(píng)價(jià)這些解決方案并做出選擇；e)實(shí)施選定的解決方案；f)測(cè)量、驗(yàn)證、分析和評(píng)價(jià)實(shí)施結(jié)果，以確定目標(biāo)已實(shí)現(xiàn)；g)正式確認(rèn)改進(jìn)。必要時(shí)，對(duì)結(jié)果進(jìn)行評(píng)審，以確定進(jìn)一步的改進(jìn)機(jī)會(huì)。因此，改進(jìn)是一個(gè)持續(xù)活動(dòng)，即經(jīng)常重復(fù)行動(dòng)。客戶和其他利益相關(guān)方的反饋、信息安全管理體系的審核和評(píng)審也能用于識(shí)別改進(jìn)機(jī)會(huì)。許多因素對(duì)于ISMS的成功實(shí)施至關(guān)重要，以使組織能實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)。關(guān)鍵成功因素的例子包括：a)信息安全策略和目標(biāo)，以及與目標(biāo)一致的活動(dòng)；b)設(shè)計(jì)、實(shí)施、監(jiān)視、保持和改進(jìn)符合組織文化的信息安全的方法與框架；c)各級(jí)管理層，特別是最高管理層的可見支持和承諾；d)對(duì)應(yīng)用信息安全風(fēng)險(xiǎn)管理(見ISO/IEC27005實(shí)現(xiàn)的信息資產(chǎn)保護(hù)要求的理解);e)有效的信息安全意識(shí)、培訓(xùn)和教育計(jì)劃，告知所有員工和其他相關(guān)方信息安全策略、標(biāo)準(zhǔn)等中規(guī)定的信息安全義務(wù)，并激勵(lì)他們采取相應(yīng)的行動(dòng)；f)有效的信息安全事件管理過(guò)程；g)有效的業(yè)務(wù)持續(xù)性管理方法；h)用于評(píng)價(jià)信息安全管理績(jī)效和反饋改進(jìn)建議的度量系統(tǒng)。ISMS提高了組織持續(xù)實(shí)現(xiàn)其信息資產(chǎn)所需關(guān)鍵成功因素的可能性。4.7ISMS標(biāo)準(zhǔn)族的益處實(shí)施ISMS的益處主要來(lái)自降低信息安全風(fēng)險(xiǎn)(即降低信息安全事件發(fā)生的可能性和/或造成的影響)。具體而言，通過(guò)采用ISMS標(biāo)準(zhǔn)族，組織實(shí)現(xiàn)可持續(xù)成功的益處包括：a)以結(jié)構(gòu)化框架支持規(guī)范、實(shí)施、的ISMS,以滿足組織跨不同運(yùn)行和場(chǎng)所的需要；b)在企業(yè)風(fēng)險(xiǎn)管理和治理的語(yǔ)境下，協(xié)助管理層以負(fù)責(zé)任的方式持續(xù)管理和運(yùn)用其信息安全管理方法，包括就信息安全的整體管理對(duì)業(yè)務(wù)和系統(tǒng)所有者進(jìn)行教育和培訓(xùn)；c)以非指定的方式促進(jìn)全球公認(rèn)的良好信息安全實(shí)踐，使組織有自由采納和改進(jìn)適合其具體環(huán)境的相關(guān)控制，并在面對(duì)內(nèi)部和外部變化時(shí)保持這些控制；d)提供信息安全的共同語(yǔ)言和概念基礎(chǔ)，使其更容易信任具有符合ISMS的業(yè)務(wù)伙伴，特別是如果他們需要由一個(gè)被認(rèn)可的認(rèn)證機(jī)構(gòu)根據(jù)ISO/IEC27001:2022進(jìn)行認(rèn)證；e)增加利益相關(guān)方對(duì)組織的信任；f)滿足社會(huì)的需要和期望；g)對(duì)信息安全投資進(jìn)行更有效的經(jīng)濟(jì)管理。5信息安全管理體系標(biāo)準(zhǔn)族5.1一般信息信息安全管理體系(ISMS)標(biāo)準(zhǔn)族由已發(fā)布或制定中的相互關(guān)聯(lián)的標(biāo)準(zhǔn)組成，并包含許多重要的結(jié)構(gòu)組件。這些組件的重點(diǎn)是規(guī)定如下要求的標(biāo)準(zhǔn)：——ISMS的要求(ISO/IEC27001:2022);——對(duì)進(jìn)行ISO/IEC27001符合性認(rèn)證的認(rèn)證機(jī)構(gòu)的要求(ISO/IEC27006);——對(duì)具體行業(yè)ISMS實(shí)施的附加要求框架(ISO/IEC27009)。其他文件為ISMS實(shí)施的各個(gè)方面提供指導(dǎo)，包括通用過(guò)程以及具體行業(yè)指導(dǎo)。ISMS標(biāo)準(zhǔn)族中各標(biāo)準(zhǔn)之間的關(guān)系如圖1所示。ISMS標(biāo)準(zhǔn)族要求標(biāo)準(zhǔn)指南標(biāo)準(zhǔn)具體行業(yè)指南標(biāo)準(zhǔn)ISO/IEC27011具體控制指南標(biāo)準(zhǔn)(本文件范圍之外)圖1ISMS標(biāo)準(zhǔn)族關(guān)系以下對(duì)ISMS標(biāo)準(zhǔn)族的每個(gè)標(biāo)準(zhǔn)按其在ISMS標(biāo)準(zhǔn)族中的類型(或角色)及其編號(hào)進(jìn)行說(shuō)明。5.2概述和術(shù)語(yǔ)標(biāo)準(zhǔn)：ISO/IEC27000(GB/T29246)信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(信息安全技術(shù)信息安全管理體系概述和詞匯)范圍：該文件為組織和個(gè)人提供了：a)ISMS標(biāo)準(zhǔn)族的概述；b)信息安全管理體系的介紹；c)ISMS標(biāo)準(zhǔn)族中使用的術(shù)語(yǔ)和定義。目的：該文件描述信息安全管理體系的基礎(chǔ)，構(gòu)成ISMS標(biāo)準(zhǔn)族的主題，并定義相關(guān)術(shù)語(yǔ)。5.3要求標(biāo)準(zhǔn)信息安全、網(wǎng)絡(luò)空間安全和隱私保護(hù)信息安全管理體系要求范圍：該文件規(guī)定了在組織環(huán)境下建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)信息安全管理體系的要求。該文件還包括了根據(jù)組織需求所剪裁的信息安全風(fēng)險(xiǎn)評(píng)估和處置的要求。該文件規(guī)定的要求是通用的，適用于各種類型、規(guī)模或性質(zhì)的組織。目的：ISO/IEC27001:2022為ISMS的開發(fā)和運(yùn)行提供規(guī)范性要求，包括一套控制，用于控制和降低與組織試圖通過(guò)運(yùn)行其ISMS來(lái)保護(hù)的信息資產(chǎn)相關(guān)的風(fēng)險(xiǎn)。組織可對(duì)其運(yùn)行的ISMS的符合性進(jìn)行審核和認(rèn)證。作為ISMS過(guò)程的一部分，從ISO/IEC27001:2022的附錄A中選擇適合的控制目標(biāo)和控制，以涵蓋已識(shí)別的需求。ISO/IEC27001:2022的表A.1中列出的控制直接源自ISO/IEC27002:2022,并信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求范圍：除了ISO/IEC17021中包含的要求外，該文件還為依據(jù)ISO/IEC27001:2022提供審核和ISMS認(rèn)證的機(jī)構(gòu)規(guī)定了要求，并提供了指南。其主要目的是對(duì)依據(jù)ISO/IEC27001:2022提供ISMS認(rèn)證的認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)可提供支持。該文件中包含的要求需要由提供ISMS認(rèn)證的任何機(jī)構(gòu)在勝任力和可靠性方面進(jìn)行證明，該文件中包含的指南為提供ISMS認(rèn)證的任何機(jī)構(gòu)提供了這些要求的附加解釋。對(duì)認(rèn)證機(jī)構(gòu)的認(rèn)可要求，從而允許這些機(jī)構(gòu)依據(jù)ISO/IEC27001:2022中規(guī)定的要求提供一致的合規(guī)認(rèn)證。信息安全、網(wǎng)絡(luò)空間安全和隱私保護(hù)ISO/IEC27001具體行業(yè)應(yīng)用GB/T22080具體行業(yè)應(yīng)用要求)范圍：該文件規(guī)定了具體行業(yè)標(biāo)準(zhǔn)的要求，這些標(biāo)準(zhǔn)擴(kuò)展了ISO/IECISO/IEC27002:2022,以支持具體行業(yè)(領(lǐng)域、應(yīng)用領(lǐng)域或市場(chǎng))。要求(信息技術(shù)安全技術(shù)27001:2022,并補(bǔ)充或修訂了該文件解釋如何：——包括除ISO/IEC27001:2022中的要求外的其他要求；——細(xì)化或解釋ISO/IEC27001:2022的任何要求；——包括除ISO/IEC27001:2022的附錄A和ISO/IEC27002:2022的控制外的其他控制；——修改ISO/IEC27001:2022的附錄A和ISO——增加或修改ISO/IEC27002:2022的指導(dǎo)。目的：ISO/IEC27009確保附加或細(xì)化的要求不與ISO/IEC27001:2022中的要求沖突。5.4一般指南標(biāo)準(zhǔn)指南)信息安全控制(信息技術(shù)安全技術(shù)信息安全控制實(shí)踐范圍：該文件提供了一套通用信息安全控制的參考集，包括實(shí)施指南。該文件旨在供以下情景下的組織使用：a)基于ISO/IEC27001:2022實(shí)施信息安全管理系統(tǒng)(ISMS);b)基于國(guó)際公認(rèn)的最佳實(shí)踐實(shí)施信息安全控制；c)制定特定于組織的信息安全管理指南。提供關(guān)于信息安全控制實(shí)施的指南，其中，第5章～第8章為支持ISO/IEC27001:2022的表A.1中列出的控制提供實(shí)施指南。信息技術(shù)安全技術(shù)信息安全管理體系指南(信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南)范圍：該文件提供了ISO/IEC27001:2022的解釋和指南。目的：ISO/IEC27003為依照ISO/IEC27001:2022成功實(shí)施ISMS提供背景資料。信息技術(shù)安全技術(shù)信息安全管理監(jiān)視、測(cè)量、分析和評(píng)價(jià)(信息技術(shù)安全技術(shù)信息安全管理測(cè)量)范圍：該文件提供了旨在幫助組織評(píng)價(jià)信息安全性能和ISMS有效性的指南，以滿足ISO/IEC27001:2022中9.1的要求。它解決：a)信息安全性能的監(jiān)視和測(cè)量；b)信息安全管理體系(ISMS)有效性的監(jiān)視和測(cè)量，包括其過(guò)程和控制；c)監(jiān)視和測(cè)量結(jié)果的分析和評(píng)價(jià)。目的：ISO/IEC27004提供一個(gè)能依據(jù)ISO/IEC27001:2022對(duì)ISMS有效性進(jìn)行測(cè)量的框架?！獫M足ISO/IEC27001:2022關(guān)于應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的行動(dòng)的要求；——執(zhí)行信息安全風(fēng)險(xiǎn)管理活動(dòng)，特別是信息安全風(fēng)險(xiǎn)評(píng)估和處置。就實(shí)施面向過(guò)程的風(fēng)險(xiǎn)管理方法提供指導(dǎo)，以幫助圓滿實(shí)施和滿足ISO/IEC27001:2022的信息安全風(fēng)險(xiǎn)管理要求。信息安全、網(wǎng)絡(luò)空間安全和隱私保護(hù)信息安全管理體系審核指南(信息技術(shù)安全技術(shù)信息安全管理體系審核指南)范圍：除了ISO19011:2018中包含的適用于一般管理體系的指南外，該文件還提供了進(jìn)行ISMS審核的指南，以及信息安全管理體系審核員勝任力的指南。目的：ISO/IEC27007為需要依據(jù)ISO/IEC27001:2022規(guī)定的要求對(duì)ISMS進(jìn)行內(nèi)部或外部審核或管理ISMS審核方案的組織提供指導(dǎo)。信息技術(shù)安全技術(shù)信息安全控制評(píng)估指南(信息技術(shù)安全技術(shù)信息安全控制措施審核員指南)范圍：該文件為評(píng)審和評(píng)估信息安全控制的實(shí)施和運(yùn)行提供了指南，包括信息系統(tǒng)控制的技術(shù)評(píng)估，與組織制定的信息安全要求的符合性，包括符合基于組織制定的信息安全要求的評(píng)估準(zhǔn)則的技術(shù)合目的：該文件指導(dǎo)如何評(píng)審和評(píng)估信息安全控制，這些控制是通過(guò)ISO/IEC全管理體系來(lái)管理的。27001:2022的信息安信息安全、網(wǎng)絡(luò)空間安全和隱私保護(hù)ISO/IEC27001和ISO/IEC20000-1綜合實(shí)施指南范圍：該文件為打算以如下其中一種方式綜合實(shí)施ISO/IEC27001:2022和ISO/IEC20000-1的組織提供了指南：a)當(dāng)ISO/IEC20000-1已經(jīng)實(shí)施時(shí)實(shí)施ISO/IEC27001:2022,或者反之；b)同時(shí)實(shí)施ISO/IEC27001:2022和ISO/IEC20000-1;c)整合現(xiàn)有的ISO/IEC27001:2022和ISO/IEC20000-1管理體系。該文件專門關(guān)注綜合實(shí)施ISO/IEC27001:2022中規(guī)定的信息安全管理體系(ISMS)和ISO/IEC20000-1目的：為組織更好地理解ISO/IEC27001:2022和ISO/IEC20000-1的特征和異同提供幫助，有助于規(guī)劃同時(shí)符合這兩個(gè)標(biāo)準(zhǔn)的綜合管理體系。范圍：該文件提供了信息安全治理概念、目標(biāo)和過(guò)程的指南，組織依此能在其內(nèi)部對(duì)信息安全相關(guān)目的：信息安全已成為組織的關(guān)鍵問(wèn)題。不僅法律法規(guī)要求日益增加，而且組織的信息安全措施失效也會(huì)直接影響其聲譽(yù)。因此，作為其治理責(zé)任的一部分，越來(lái)越多地要求治理層對(duì)信息安全進(jìn)行監(jiān)信息技術(shù)安全技術(shù)信息安全管理組織經(jīng)濟(jì)學(xué)該文件提供了一種方法學(xué)，使組織能更好地從經(jīng)濟(jì)角度理解如何更準(zhǔn)確地評(píng)價(jià)其所識(shí)別的信息資產(chǎn)，評(píng)估這些信息資產(chǎn)面臨的潛在風(fēng)險(xiǎn)，評(píng)估為這些信息資產(chǎn)所采取的信息保護(hù)控制帶來(lái)的價(jià)值，并確定用于保護(hù)這些信息資產(chǎn)的最佳資源級(jí)別。目的：在組織運(yùn)營(yíng)處于更為廣泛社會(huì)環(huán)境的語(yǔ)境下，該文件對(duì)組織的信息資產(chǎn)保護(hù)增加經(jīng)濟(jì)學(xué)的視角，并通過(guò)使用模型和示例，為如何應(yīng)用信息安全組織經(jīng)濟(jì)學(xué)提供指導(dǎo)，以補(bǔ)充ISMS標(biāo)準(zhǔn)族。信息技術(shù)安全技術(shù)信息安全管理體系專業(yè)人員勝任力要求范圍：該文件規(guī)定了對(duì)領(lǐng)導(dǎo)或參與建立、實(shí)施、保持和持續(xù)改進(jìn)一個(gè)或多個(gè)符合ISO/IEC27001:2022的信息安全管理體系過(guò)程的ISMS專業(yè)人員的勝任力要求。目的：該文件旨在供以下人員使用：a)希望證明其作為信息安全管理體系(ISMS)專業(yè)人員的勝任力，或希望了解并完成該領(lǐng)域工作所需的勝任力，以及希望擴(kuò)大其知識(shí)面的個(gè)人。b)尋找潛在ISMS專業(yè)候選人的組織，以確定ISMS相關(guān)職位所需的勝任力；c)需要一個(gè)知識(shí)體系(BOK)作為考試來(lái)源，來(lái)開發(fā)ISMS專業(yè)人員認(rèn)證的機(jī)構(gòu)；d)教育和培訓(xùn)組織，如大學(xué)和職業(yè)院校，使其教學(xué)大綱和課程符合ISMS專業(yè)人員的勝任力要求。5.5具體行業(yè)指南標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理范圍：除了ISMS標(biāo)準(zhǔn)族中給出的指南外，該文件還提供了在信息共享群組中實(shí)施信息安全管理的指南。該文件提供了與發(fā)起、實(shí)施、保持和改進(jìn)組織間和行業(yè)間通信中的信息安全相關(guān)的控制和指導(dǎo)。目的：該文件適用于敏感信息的所有形式的交換與共享，不論是公共的還是私人的、國(guó)家的還是國(guó)際的、同一行業(yè)或市場(chǎng)的還是行業(yè)間的。特別是，它能適用于與提供、保持和保護(hù)組織或國(guó)家關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的信息交換與共享。信息技術(shù)安全技術(shù)基于ISO/IEC27002的電信組織信息安全控制實(shí)踐指南范圍：該文件提供了支持電信組織實(shí)施信息安全控制的指南。目的：ISO/IEC27011使電信組織能滿足保密性、完整性、可用性和任何其他相關(guān)安全屬性的信息安全管理基線要求。信息技術(shù)安全技術(shù)基于ISO/IEC27002的云服務(wù)信息安全控制實(shí)踐指南范圍：ISO/IEC27017通過(guò)如下指導(dǎo)提供了適用于云服務(wù)供給和使用的信息安全控制指南：——ISO/IEC27002:2022中提供的相關(guān)控制的附加實(shí)施指導(dǎo)；——具體與云服務(wù)相關(guān)的附加控制及其實(shí)施指導(dǎo)。目的：該文件為云服務(wù)提供者和云服務(wù)客戶提供控制和實(shí)施指導(dǎo)。信息技術(shù)安全技術(shù)個(gè)人可識(shí)別信息(PI)處理者在公有云中保護(hù)PI的實(shí)踐指南(信息技術(shù)安全技術(shù)公有云中個(gè)人信息保護(hù)實(shí)踐指南)范圍：ISO/IEC27018遵循ISO/IEC29100中對(duì)公有云計(jì)算環(huán)境的隱私保護(hù)原則，為實(shí)施保護(hù)個(gè)人可識(shí)別信息(PII)的措施制定了公認(rèn)的控制目標(biāo)、控制和指南。目的：該文件適用于作為PII處理者，通過(guò)簽約的云計(jì)算向其他組織提供信息處理服務(wù)的組織，包括公共和私營(yíng)企業(yè)、政府機(jī)構(gòu)和非營(yíng)利組織。該文件中的指南也可能與作為PII控制者的組織相關(guān)。但是，PII控制者可能受不適用于PII處理者的其他PII保護(hù)法律法規(guī)、規(guī)章制度和義務(wù)的約束，這些不包括在該文件中。信息技術(shù)安全技術(shù)能源公用事業(yè)信息安全控制范圍：該文件提供了基于ISO/IEC27002:2022,適用于能源公用事業(yè)使用的過(guò)程控制系統(tǒng)的指南，用于控制和監(jiān)測(cè)電力、燃?xì)?、石油和熱能的生產(chǎn)或發(fā)電、傳輸、儲(chǔ)存和分配，以及相關(guān)支持過(guò)程的控制。尤其包括以下內(nèi)容：——集中式和分布式過(guò)程控制、監(jiān)視和自動(dòng)化技術(shù)以及用于其運(yùn)行的信息系統(tǒng)，如編程和參數(shù)化設(shè)備；——數(shù)字控制器和自動(dòng)化組件，如控制和現(xiàn)場(chǎng)設(shè)備或可編程邏輯控制器(PLC),包括數(shù)字傳感器和執(zhí)行器組件；——過(guò)程控制領(lǐng)域中使用的所有進(jìn)一步支持的信息系統(tǒng)，例如，用于輔助數(shù)據(jù)可視化任務(wù)，用于控——用于過(guò)程控制領(lǐng)域的通信技術(shù)，例如，網(wǎng)絡(luò)、遙測(cè)、遠(yuǎn)程控制應(yīng)用和遠(yuǎn)程控制技術(shù)；——高級(jí)計(jì)量基礎(chǔ)設(shè)施(AMI)組件，例如，智能電表；——能源管理系統(tǒng)，例如，分布式能源(DER)、私人家庭、住宅建筑或工業(yè)客戶裝置中的充電基礎(chǔ)設(shè)施； 智能電網(wǎng)環(huán)境的分布式組件，例如，在能源網(wǎng)、私人家庭、住宅建筑或工業(yè)客戶裝置中的——安裝在上述系統(tǒng)上的所有軟件、固件和應(yīng)用程序，例如，DMS(配電管理系統(tǒng))應(yīng)用程序或OMS(停電管理系統(tǒng));——容納上述設(shè)備和系統(tǒng)的任何場(chǎng)所；——上述系統(tǒng)的遠(yuǎn)程維護(hù)系統(tǒng)。該文件不適用于核設(shè)施的過(guò)程控制領(lǐng)域。IEC62645涵蓋了該領(lǐng)域。該文件還包括使ISO/IEC27001:2022中所述的風(fēng)險(xiǎn)評(píng)估和處置過(guò)程適應(yīng)該文件提供的能源公用事業(yè)特定指南的要求。目的：除了ISO/IEC27002:2022中給出的安全目標(biāo)和措施外，該文件還為能源公用事業(yè)和能源提供者使用的系統(tǒng)提供了滿足進(jìn)一步特殊要求的信息安全控制指南。健康信息學(xué)使用ISO/IEC27002的健康信息安全管理范圍：該文件給出了組織信息安全標(biāo)準(zhǔn)和信息安全管理實(shí)踐的指南，包括控制的選擇、實(shí)施和管理，同時(shí)考慮到組織的信息安全風(fēng)險(xiǎn)環(huán)境。該文件為ISO/IEC27002:2022中描述的控制提供了實(shí)施指導(dǎo)，并在必要時(shí)對(duì)其進(jìn)行了補(bǔ)充，以便能有效地用于管理健康信息安全。為健康組織提供適用于其行業(yè)的ISO/IEC27002:2022指南，是對(duì)指導(dǎo)滿足ISO/IEC27001:2022的附錄A要求的補(bǔ)充。GB/T29246—2023/ISO/IEC27000:2018GB/TGB/TGB/TGB/TGB/TGB/TGB/ZGB/T220802506728450信息技術(shù)信息技術(shù)信息技術(shù)信息技術(shù)信息技術(shù)信息技術(shù)信息技術(shù)信息技術(shù)安全技術(shù)安全技術(shù)安全技術(shù)安全技術(shù)安全技術(shù)安全技術(shù)安全技術(shù)安全技術(shù)信息安全管理體系要求信息安全控制實(shí)踐指南信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求信息安全管理體系審核指南信息安全管理體系指南信息安全管理測(cè)量信息安全風(fēng)險(xiǎn)管理信息安全控制措施審核員指南信息安全技術(shù)行業(yè)間和組織間通信的信息安全管理GB/TGB/T信息技術(shù)信息技術(shù)安全技術(shù)安全技術(shù)信息安全治理GB.T22080具體行業(yè)應(yīng)用要求[12]GB/T41574信息技術(shù)安全技術(shù)公有云中個(gè)人信息保護(hù)實(shí)踐指南[13]ISO9000:2015Qualitymanagementsystems—Fundamentalsandvocabulary[15]ISOGuide73:2009Riskmanagement—Vocabulary[16]ISO/IEC17021Conformityassessment—Requirementsforbodiesprovidingauditandcertificationofmanagementsystems[17]ISO19011:2018Guidelinesforauditingmanagementsystems[18]ISO/IEC20000-1:2011Informationtechnology—Servicemanagement—Part1:Serv-icemanagementsystemrequirementsmationsecuritymanagementsystems—Requirements[20]ISO/IEC27002:2022Informationsecurity,cybersecurityandprivacyprotection—Infor-mationsecuritycontrols[21]ISO/IEC27003Informationtechnology—Securitytechniques—Informationsecuritymanage-ment—Guidance[22]ISO/IEC27004Informationtechnology—Securitytechniques—Informationsecuritymanage-ment—Monitoring,measurement,analysisandevaluation[23]ISO/IEC27005Informationsecurity,cybersecurityandprivacyprotection—Guidanceonmanaginginformationsecurityrisks[24]ISO/IEC27006Informationtechnology—Securitytechniques—Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems[25]ISO/IEC27007Informationsecurity,cybersecurityandprivacyprotection—Guidelinesforinformationsecuritymanagementsystemsauditingsessmentofinformationsecuritycontrols[27]ISO/IEC27009Informationsecurity,cybersecurityandprivacyprotection—Sector-specificap-plicationofISO/IEC27001—Requirements[28]ISO/IEC27010Informationtechnology—Securitytechniques—Informationsecuritymanage-mentforinter-sectorandinter-organizationalcommunicationsmationsecuritycontrolsbasedonISO/IEC27002fortelecommunicationsorganizations[30]ISO/IEC27013Informationsecurity,cybersecurityandprivacyprotection—GuidanceontheintegratedimplementationofISO/IEC27001andISO/IEC20000-1[31]ISO/IEC27014Informationsecurity,cybersecurityandprivacyprotection—Governanceofinformationsecurity[32]ISO/IECTR27016Informationtechnology—Securitytechniques—Informationsecuri-tymanagement—Organizationaleconomics[33]ISO/IEC27017Informationtechnology—Securitytechniques—CodeofpracticeforinformationsecuritycontrolsbasedonISO/IEC27002forcloudservices[34]ISO/IEC27018Informationtechnology—Securitytechniques—Codeofpracticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPIIprocessors[35]ISO/IEC27019Informtrolsfortheenergyutilityindustry[36]ISO/IEC27021Informationtechnology—Securitytechniques—Competencerequirementsforinformationsecuritymanagementsystemsprofessionals[37]ISO/IEC/IEEE15939:2017Systemsandsoftwareengineering—Measurementprocess漢語(yǔ)拼音索引A安全實(shí)施標(biāo)準(zhǔn)……3.73B保密性……………3.10不符合性…………3.47C殘余風(fēng)險(xiǎn)…………3.57測(cè)度………………3.42測(cè)量………………3.43測(cè)量方法…………3.45測(cè)量函數(shù)…………3.44策略………………3.53持續(xù)改進(jìn)…………3.13脆弱性……………3.77D導(dǎo)出測(cè)度…………3.18F訪問(wèn)控制……………3.1風(fēng)險(xiǎn)………………3.61風(fēng)險(xiǎn)處置…………3.72風(fēng)險(xiǎn)分析…………3.63風(fēng)險(xiǎn)溝通與咨詢…………………3.65風(fēng)險(xiǎn)管理…………3.69風(fēng)險(xiǎn)管理過(guò)程……3.70風(fēng)險(xiǎn)級(jí)別…………3.39風(fēng)險(xiǎn)接受…………3.62風(fēng)險(xiǎn)評(píng)估…………3.64風(fēng)險(xiǎn)評(píng)價(jià)…………3.67風(fēng)險(xiǎn)識(shí)別…………3.68風(fēng)險(xiǎn)準(zhǔn)則…………3.66風(fēng)險(xiǎn)責(zé)任者………3.71符合性……………3.11G攻擊…………………3.2管理體系…………3.41過(guò)程………………3.54H后果………………3.12J基本測(cè)度……………3.8監(jiān)視…………………3.46鑒別…………………3.5糾正………………3.16K抗抵賴性…………3.48可靠性……………3.55可能性……………3.40可信信息通信實(shí)體………………3.76可用性………………3.7控制………………3.14控制目標(biāo)…………3.15L利益相關(guān)方………3.37M目標(biāo)………………3.49N內(nèi)部語(yǔ)境…………3.38P評(píng)審………………3.58評(píng)審對(duì)象…………3.59評(píng)審目標(biāo)…………3.60S審核…………………3.3審核范圍……………3.4勝任力………………3.9事態(tài)…………………3.21W外包………………3.51外部語(yǔ)境…………3.22完整性……………3.36威脅………………3.74文檔化信息………3.19X信息安全…………3.28信息安全持續(xù)性…………………3.29信息安全管理體系(ISMS)專業(yè)人員…………3.33信息安全事件……3.31信息安全事件管理………………3.32信息安全事態(tài)……3.30信息安全治理……3.23信息處理設(shè)施……3.27信息共享群組……3.34信息系統(tǒng)…………3.35信息需要…………3.26性能………………3.52Y要求………………3.56有效性……………3.20Z真實(shí)性………………3.6整改措施…………3.17指標(biāo)………………3.25治理層……………3.24組織………………3.50最高管理層………3.75英文對(duì)應(yīng)詞索引Aaccesscontrol…………………………3.1attack…………………3.2audit……………………3.3auditscope……………………………3.4authentication…………………………3.5authenticity……………………………3.6availability……………………………3.7Bbasemeasure……………………………3.8Ccompetence……………………………3.9confidentiality………………………3.10conformity……………………………3.11consequence…………………………3.12continualimprovement………………3.13control…………………3.14controlobjective……………………3.15correction……………………………3.16correctiveaction……………………3.17GB/T29246—2023/ISO/IEC27000:2018Dderivedmeasure……………Eeffectiveness……………3.20event……………………3.21externalcontext…………………………3.22Ggoverningbody…………………………3.24Iindicator………………3.25informationneed………………