<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 29246-2017 信息技術 安全技術 信息安全管理體系 概述和詞匯
    展開或關閉
    前言
    前言
    引言
    0.1 概述 0.2 信息安全管理體系標準族 0.3 本標準的目的
    1 范圍
    范圍
    2 術語和定義
    術語和定義
    3 信息安全管理體系
    3.1 概要 3.2 什么是ISMS 3.3 過程方法 3.4 為什么ISMS重要 3.5 建立、監視、保持和改進ISMS 3.6 ISMS關鍵成功因素 3.7 ISMS標準族的益處
    4 信息安全管理體系標準族
    4.1 一般信息 4.2 給出概述和術語的標準 4.3 規范要求的標準 4.4 給出一般指南的標準 4.5 給出行業特定指南的標準
    附錄A(資料性附錄)條款表達的措辭形式
    附錄A(資料性附錄)條款表達的措辭形式
    附錄B(資料性附錄)術語和術語歸屬
    附錄B(資料性附錄)術語和術語歸屬
    參考文獻
    參考文獻

    4.4 給出一般指南的標準

    GB/T 29246-2017 信息技術 安全技術 信息安全管理體系 概述和詞匯 /

    4.4 給出一般指南的標準

    4.4.1 ISO/IEC 27002|GB/T 22081

    信息技術 安全技術 信息安全控制實踐指南

    范圍:該標準提供一套被廣泛接受的控制目標和最佳實踐的控制,為選擇和實施實現信息安全的控制提供指南。

    目的:ISO/IEC 27002|GB/T 22081提供關于信息安全控制實施的指南。特別是第5章至第18章為支持ISO/IEC 27001|GB/T 22080中所規范的控制提供最佳實踐方面的具體實施建議和指南。

    4.4.2 ISO/IEC 27003|GB/T 31496

    信息技術 安全技術 信息安全管理體系實施指南

    范圍:該標準為依據ISO/IEC 27001|GB/T 22080建立、實施、運行、監視、評審、保持和改進ISMS提供實用的實施指南和進一步信息。

    目的:ISO/IEC 27003|GB/T 31496為依據ISO/IEC 27001|GB/T 22080成功實施ISMS提供面向過程的方法。

    4.4.3 ISO/IEC 27004|GB/T 31497

    信息技術 安全技術 信息安全管理 測量

    范圍:該標準為了對ISO/IEC 27001|GB/T 22080所規范的,用于實施和管理信息安全的,ISMS、控制目標和控制的有效性進行評估,提供測量的開發和使用指南及建議。

    目的:ISO/IEC 27004|GB/T 31497提供一種測量框架,以便能夠依據ISO/IEC 27001|GB/T 22080對ISMS的有效性進行測量。

    4.4.4 ISO/IEC 27005|GB/T 31722

    信息技術 安全技術 信息安全風險管理

    范圍:該標準為信息安全風險管理提供指南。該標準給出的方法支持ISO/IEC 27001|GB/T 22080中所規范的一般概念。

    目的:ISO/IEC 27005|GB/T 31722為實施面向過程的風險管理方法提供指南,有助于圓滿實施和兌現ISO/IEC 27001|GB/T 22080中的信息安全風險管理要求。

    4.4.5 ISO/IEC 27007

    信息技術 安全技術 信息安全管理體系審核指南

    范圍:該標準在適用于一般管理體系的ISO 19011|GB/T 19011指南的基礎上,為ISMS審核實施以及信息安全管理體系審核員能力提供指南。

    4.4.6 ISO/IEC TR 27008|GB/Z 32916

    信息技術 安全技術 信息安全控制措施審核員指南

    范圍:該指導性技術文件為評審控制措施的實施和運行符合組織建立的信息安全標準提供指南,包括信息系統控制措施的技術符合性檢查。

    目的:該指導性技術文件重點在于評審信息安全控制措施,包括對照組織建立的信息安全實施標準檢查技術符合性。它不是為分別在ISO/IEC

    27004|GB/T 31497、ISO/IEC 27005|GB/T 31722或ISO/IEC 27007中規范的測量、風險評估或ISMS審核,提供任何具體的符合性檢查指南。該指導性技術文件不用于管理體系審核。

    4.4.7 ISO/IEC 27013

    信息技術 安全技術 ISO/IEC 27001和ISO/IEC 20000-1綜合實施指南

    范圍:該標準為組織進行如下任何一種ISO/IEC 27001|GB/T 22080和ISO/IEC 20000-1|GB.T 24405.1的綜合實施提供指南:

    a) 在已經實施了ISO/IEC 20000-1|GB.T 24405.1的情況下實施ISO/IEC 27001|GB/T 22080,或者反之;

    b) 同時實施ISO/IEC 27001|GB/T 22080和ISO/IEC 20000-1|GB.T 24405.1;

    c) 集成現有的ISO/IEC 27001|GB/T 22080和ISO/IEC 20000-1|GB.T 24405.1管理體系。

    該標準專門聚焦在綜合實施ISO/IEC 27001|GB/T 22080中所規范的信息安全管理系統(ISMS)和ISO/IEC 20000-1|GB.T 24405.1中所規范的服務管理體系(SMS)。

    目的:為組織提供對ISO/IEC 27001|GB/T 22080和ISO/IEC 20000-1|GB.T 24405.1的特征和異同的更好理解,有助于規劃同時符合兩個標準的綜合管理體系。

    4.4.8 ISO/IEC 27014|GB/T 32923

    信息技術 安全技術 信息安全治理

    范圍:該標準就信息安全治理的原則和過程提供指南,組織依此可以評價、指導和監視信息安全管理。

    目的:信息安全已成為組織的一個關鍵問題。不僅法律法規要求日益增加,而且組織的信息安全措施失效會直接影響其聲譽。因此,治理者越來越需要承擔起治理責任中的信息安全監督職責,來確保組織目標的實現。

    4.4.9 ISO/IEC TR 27016

    信息技術 安全技術 信息安全管理 組織經濟學

    范圍:該指導性技術文件提供一種方法學,以使組織能夠更好地從經濟上理解如何準確估價其所識別的信息資產,評價這些信息資產面臨的潛在風險,認識對這些信息資產進行保護控制的價值,并確定用于保護這些信息資產的資源最佳配置程度。

    目的:該指導性技術文件在組織所處的更廣泛社會環境的語境下,在組織信息資產的保護中疊加經濟視角,并通過模型和例子提供如何應用信息安全組織經濟學的指南,是對ISMS標準族的補充。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类