信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯-編制說明

PAGE3PAGE任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會(huì)下達(dá)的2015年國家標(biāo)準(zhǔn)制修訂計(jì)劃，國家標(biāo)準(zhǔn)GB/T29246—2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》修訂由中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司主辦，中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國信息安全研究院等單位參與，標(biāo)準(zhǔn)計(jì)劃號(hào)為20151596-T-469。任務(wù)背景2012年發(fā)布的國家標(biāo)準(zhǔn)GB/T29246—2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》等同采用國際信息安全標(biāo)準(zhǔn)化組織ISO/IECJTC1SC27于2009年5月1日發(fā)布的國際標(biāo)準(zhǔn)ISO/IEC27000:2009《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯（Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary）》（第一版）。ISO/IEC27000《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》是信息安全管理體系（ISMS）標(biāo)準(zhǔn)族中的標(biāo)準(zhǔn)之一。ISO/IECJTC1SC27WG1（信息安全管理工作組）專門負(fù)責(zé)ISMS標(biāo)準(zhǔn)族的研究和制定。ISMS標(biāo)準(zhǔn)族作為一套具有一定科學(xué)理論基礎(chǔ)和實(shí)踐價(jià)值的標(biāo)準(zhǔn)，被廣泛用于不同國家、不同領(lǐng)域，為不同信息安全管理需求的用戶提供了參考和指導(dǎo)。截至目前，我國在持續(xù)跟蹤研究該系列標(biāo)準(zhǔn)的基礎(chǔ)上，已經(jīng)以等同采用方式轉(zhuǎn)化了ISMS標(biāo)準(zhǔn)族中的十項(xiàng)國際標(biāo)準(zhǔn)為國家標(biāo)準(zhǔn)，分別是：GB/T29246—2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（等同采用ISO/IEC27000:2009）、GB/T22080—2016《信息技術(shù)安全技術(shù)信息安全管理體系要求》（等同采用ISO/IEC27001:2013）、GB/T22081—2016《信息技術(shù)安全技術(shù)信息安全控制措施實(shí)踐指南》（等同采用ISO/IEC27002:2013）、GB/T31496—2015《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》（等同采用ISO/IEC27003:2010）、GB/T31497—2015《信息技術(shù)安全技術(shù)信息安全管理測量》（等同采用ISO/IEC27004:2009）、GB/T31722—2015《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》（等同采用ISO/IEC27005:2008）、GB/T25067—2010《信息技術(shù)安全技術(shù)信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可要求》（等同采用ISO/IEC27006:2007）、GB/Z32916-2016《信息技術(shù)安全技術(shù)信息安全控制措施審核員指南》（等同采用ISO/IECTR27008）、GB/T32920—2016《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》（等同采用ISO/IEC27010）、GB/T32923—2016《信息技術(shù)安全技術(shù)信息安全治理》（等同采用ISO/IEC27014）。隨著信息技術(shù)及其應(yīng)用的迅猛發(fā)展，信息安全管理體系（ISMS）在不斷發(fā)展并取得新進(jìn)展，新的術(shù)語也不斷出現(xiàn)。ISO/IECJTC1SC27于2012年12月1日、2014年1月15日和2016年2月15日先后發(fā)布了國際標(biāo)準(zhǔn)ISO/IEC27000:2012（第二版）、ISO/IEC27000:2014（第三版）和ISO/IEC27000:2016（第四版），其中，相對于第一版的46條，第二、三和四版分別增加到了81、89和89條術(shù)語定義。為了適應(yīng)發(fā)展，有必要更新GB/T29246—2012，為ISMS相關(guān)技術(shù)和應(yīng)用提供最新的基礎(chǔ)標(biāo)準(zhǔn)支撐。編制原則等同采用：基于目前國內(nèi)對國際ISMS標(biāo)準(zhǔn)族相關(guān)標(biāo)準(zhǔn)的研究和轉(zhuǎn)化情況，以及我國整體信息安全管理理論和技術(shù)發(fā)展現(xiàn)狀，決定等同采用國際標(biāo)準(zhǔn)ISO/IEC27000《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》最新版本。準(zhǔn)確理解：在充分理解國際標(biāo)準(zhǔn)原文的基礎(chǔ)上進(jìn)行等同翻譯，做到準(zhǔn)確表達(dá)原意。語言通暢：在等同翻譯時(shí)，盡量符合中文的語言習(xí)慣，做到表述通暢。主要工作過程1、2014年12月9日，中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)司正式下達(dá)了修訂國家標(biāo)準(zhǔn)GB/T29246—2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》的任務(wù)，在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（以下簡稱信安標(biāo)委）的項(xiàng)目編號(hào)為2014bzxd-WG7-002。2、2014年12月25日，項(xiàng)目牽頭單位中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司（以下簡稱“長城網(wǎng)際”）與中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)司正式簽訂了課題委托合同書。3、2015年1月，由項(xiàng)目牽頭單位和參與單位共同組成的標(biāo)準(zhǔn)編制組正式成立并啟動(dòng)工作。4、2015年1月至2015年6月，研究ISO/IEC27000:2014《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（第三版），同時(shí)跟蹤和研究ISMS標(biāo)準(zhǔn)族的其他相關(guān)標(biāo)準(zhǔn)。5、2015年7月至2016年1月，翻譯ISO/IEC27000:2014《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（第三版），并繼續(xù)跟蹤和研究ISMS標(biāo)準(zhǔn)族的其他相關(guān)標(biāo)準(zhǔn)。6、2016年2月，鑒于ISO/IECJTC1SC27發(fā)布了ISO/IEC27000:2016《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（第四版），決定基于此最新版本修訂GB/T29246—2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》。7、2016年3月至7月，翻譯ISO/IEC27000:2016《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（第四版），并繼續(xù)跟蹤和研究ISMS標(biāo)準(zhǔn)族的其他相關(guān)標(biāo)準(zhǔn)。8、2016年8月，形成GB/T29246《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》修訂草案（中英文對照）及編制說明，并提交至信安標(biāo)委“信息安全標(biāo)準(zhǔn)項(xiàng)目管理與服務(wù)平臺(tái)”（）。9、2016年10月，在“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2016年第二次會(huì)議周”期間的信息安全管理工作組（WG7）會(huì)議上聽取工作組成員單位對該標(biāo)準(zhǔn)修訂草案的反饋意見。此次會(huì)議決定該標(biāo)準(zhǔn)修訂進(jìn)入征求意見稿階段。10、2016年11月，根據(jù)標(biāo)準(zhǔn)草案的反饋意見，對標(biāo)準(zhǔn)文本進(jìn)一步修改完善，形成該標(biāo)準(zhǔn)修訂的征求意見稿（中英文對照）第1稿、編制說明和意見匯總處理表，并提交至信安標(biāo)委“信息安全標(biāo)準(zhǔn)項(xiàng)目管理與服務(wù)平臺(tái)”。11、2016年12月22日，信安標(biāo)委WG7組織了專家審查會(huì)。12月23日，根據(jù)會(huì)上專家意見對征求意見稿第1稿進(jìn)行修改完善，形成征求意見（中英文對照）第2稿，同時(shí)更新編制說明和意見匯總表，并提交至WG7組。主要內(nèi)容該標(biāo)準(zhǔn)闡述了信息安全管理體系（ISMS），介紹了ISMS標(biāo)準(zhǔn)族及族中的19項(xiàng)標(biāo)準(zhǔn)，給出了ISMS標(biāo)準(zhǔn)族中89條常用的術(shù)語及其定義。該標(biāo)準(zhǔn)內(nèi)容目次如下：前言0引言0.1概述0.2ISMS標(biāo)準(zhǔn)族0.3本標(biāo)準(zhǔn)的目的1范圍2術(shù)語和定義3信息安全管理體系3.1概要3.2什么是ISMS3.3過程方法3.4為什么ISMS重要3.5建立、監(jiān)視、保持和改進(jìn)ISMS3.6ISMS關(guān)鍵成功因素3.7ISMS標(biāo)準(zhǔn)族的益處4ISMS標(biāo)準(zhǔn)族4.1一般信息4.2描述概述和術(shù)語的標(biāo)準(zhǔn)4.3規(guī)范要求的標(biāo)準(zhǔn)4.4描述一般指南的標(biāo)準(zhǔn)4.5描述行業(yè)特定指南的標(biāo)準(zhǔn)附錄A（資料性附錄）條款表達(dá)的措辭形式附錄B（資料性附錄）術(shù)語和術(shù)語歸屬參考文獻(xiàn)主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果該標(biāo)準(zhǔn)所提供的信息安全相關(guān)概念和術(shù)語是信息安全管理的基礎(chǔ)，為信息安全管理提供了體系化的方法和通用、準(zhǔn)確的術(shù)語集。采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的對比情況，或與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對比情況該標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC27000:2016《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（第四版）。與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系該標(biāo)準(zhǔn)符合我國現(xiàn)行的法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)。重大分歧意見的處理經(jīng)過和依據(jù)尚無。國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議該標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）該標(biāo)準(zhǔn)是信息安全管理的基礎(chǔ)性標(biāo)準(zhǔn)，是在信息安全管理領(lǐng)域中進(jìn)行溝通、研究、開發(fā)和實(shí)施的基本工具，因此建議在所有信息安全管理相關(guān)人員中進(jìn)行宣貫和培訓(xùn)。其他事項(xiàng)說明在翻譯國際標(biāo)準(zhǔn)ISO/IEC27000:2016《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》（第四版）過程中，發(fā)現(xiàn)一