信息技术安全技术信息安全管理体系概述和词汇(GB-T 29246-2017).pdf

ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T 29246XXXX/ISO/IEC 27000:2016信息技术安全技术信息安全管理体系概述和词汇Information technology Security techniques Information security managementsystems Overview and vocabulary（ISO/IEC 27000:2016，IDT）（报批稿）2017-06-09XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T 29246XXXX/ISO/IEC 27000:2016I目次前言.II引言.III0.1 概述.III0.2 信息安全管理体系标准族.III0.3 本标准的目的.IV1 范围.12 术语和定义.13 信息安全管理体系.133.1 概要.133.2 什么是 ISMS.143.3 过程方法.153.4 为什么 ISMS 重要.153.5 建立、监视、保持和改进 ISMS.163.6 ISMS 关键成功因素.183.7 ISMS 标准族的益处.184 信息安全管理体系标准族.184.1 一般信息.184.2 给出概述和术语的标准.194.3 规范要求的标准.194.4 给出一般指南的标准.204.5 给出行业特定指南的标准.22附录 A（资料性附录）条款表达的措辞形式.24附录 B（资料性附录）术语和术语归属.25参考文献.30GB/T 29246XXXX/ISO/IEC 27000:2016II前言本标准按照GB/T 1.12009和GB/T 20000.22009给出的规则起草。本标准替代GB/T 292462012信息技术安全技术信息安全管理体系概述和词汇，与GB/T292462012相比主要技术变化如下：ISMS标准族的组成标准由10项增加至19项（见0.2和4.14.5，2012年版0.2和4.14.5）；术语和定义由46条增加至89条（见2.12.89，2012年版2.12.46）；将附录“术语分类”改为“术语和术语归属”（见附录B，2012年版附录B）。本标准使用翻译法等同采用国际标准ISO/IEC 27000:2016 信息技术安全技术信息安全管理体系概述和词汇（英文版）。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中电长城网际系统应用有限公司、中国电子技术标准化研究院、中国信息安全研究院有限公司。本标准主要起草人：闵京华、上官晓丽、许玉娜、王惠莅、罗锋盈、左晓栋、周亚超、马洪军、廖飞鸣、黄凯峰、马文荷。本标准所代替的历次版本发布情况为：GB/T 292462012信息技术安全技术信息安全管理体系概述和词汇GB/T 29246XXXX/ISO/IEC 27000:2016III引言0.1概述管理体系标准提供一个在建立和运行管理体系时可遵循的模型。专门为信息安全开发的管理体系标准称为信息安全管理体系（Information Security Management System，简称ISMS）标准族。通过使用ISMS标准族，组织能够开发和实施管理其信息资产安全的框架，包括财务信息、知识产权和员工详细资料，或者受客户或第三方委托的信息。这些标准还可用于对组织应用ISMS保护其信息做独立评估准备。0.2信息安全管理体系标准族信息安全管理体系（ISMS）标准族（见第4章）旨在帮助所有类型和规模的组织实施和运行ISMS。在信息技术安全技术通用标题下，ISMS标准族由下列标准组成（按标准号排序）：ISO/IEC 27000GB/T 29246信息安全管理体系概述和词汇（Information securitymanagement systemsOverview and vocabulary）ISO/IEC 27001GB/T 22080信息安全管理体系要求（Information security managementsystemsRequirements）ISO/IEC 27002GB/T 22081信息安全控制实践指南（Code of practice for informationsecurity controls）ISO/IEC 27003GB/T 31496信息安全管理体系实施指南（Information security managementsystem implementation guidance）ISO/IEC 27004GB/T 31497信息安全管理测量（Information security managementMeasurement）ISO/IEC 27005GB/T 31722信息安全风险管理（Information security risk management）ISO/IEC 27006GB/T 25067信息安全管理体系审核认证机构的要求（Requirements forbodies providing audit and certification of information security management systems）ISO/IEC 27007信息安全管理体系审核指南（Guidelines for information securitymanagement systems auditing）ISO/IEC TR 27008GB/Z 32916信息安全控制措施审核员指南（Guidelines for auditors oninformation security controls）ISO/IEC 27009ISO/IEC 27001的行业特定应用要求（Sector-specific application ofISO/IEC 27001Requirements）ISO/IEC 27010GB/T 32920行业间和组织间通信的信息安全管理（Information securitymanagement for inter-sector and inter-organizational communications）ISO/IEC 27011基于ISO/IEC 27002的电信组织信息安全管理指南（Information securitymanagement guidelines for telecommunications organizations based on ISO/IEC 27002）ISO/IEC 27013ISO/IEC 27001和ISO/IEC 20000-1综合实施指南（Guidance on the integratedimplementation of ISO/IEC 27001 and ISO/IEC 20000 1）GB/T 29246XXXX/ISO/IEC 27000:2016IV ISO/IEC 27014GB/T 32923信息安全治理（Governance of information security）ISO/IEC TR 27015金 融 服 务 信 息 安 全 管 理 指 南（Information security managementguidelines for financial services）ISO/IEC TR 27016信息安全管理组织经济学（Information security managementOrganizational economics）ISO/IEC 27017基于ISO/IEC 27002的云服务信息安全控制实践指南（Code of practice forinformation security controls based on ISO/IEC 27002 for cloud services）ISO/IEC 27018可识别个人信息（PII）处理者在公有云中保护PII的实践指南（Code ofpractice for protection of personally identifiable information(PII)in public cloudsacting as PII processors）ISO/IEC 27019基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南（Information security management guidelines based on ISO/IEC 27002 for process controlsystems specific to the energy utility industry）注：通用标题信息技术安全技术是指这些标准是由 ISO/IEC 的信息技术委员会（JTC1）下属的安全技术分委员会（SC27）制定的。不在通用标题信息技术安全技术之下，但也属于ISMS标准族的标准如下：ISO 27799健康信息学使用ISO/IEC 27002的健康信息安全管理（Health informaticsInformation security management in health using ISO/IEC 27002）0.3本标准的目的本标准提供信息安全管理体系概述，并定义相关术语。注：附录A阐明在ISMS标准族中表达要求和（或）指南的措辞形式。ISMS标准族包括的标准：a)定义ISMS及其认证机构的要求；b)为建立、实施、维护和改进ISMS的整个过程提供直接支持、详细指南和（或）解释；c)提出行业特定的ISMS指南；d)提出ISMS的符合性评估。本标准提供的术语和定义：包含ISMS标准族中的通用术语和定义；不包含ISMS标准族中的所有术语和定义；不限制ISMS标准族定义所需的新术语。GB/T 29246XXXX/ISO/IEC 27000:20161信息技术安全技术信息安全管理体系概述和词汇1范围本标准概述了信息安全管理体系（ISMS），提供了ISMS标准族中常用的术语及其定义。本标准适用于所有类型和规模的组织（例如，商业企业、政府机构、非盈利组织）。2术语和定义下列术语和定义适用于本文件。2.1访问控制access control确保对资产的访问是基于业务和安全要求（2.63）进行授权和限制的手段。2.2分析模型analytical model将一个或多个基本测度（2.10）和（或）导出测度（2.22）关联到决策准则（2.21）的算法或计算。2.3攻击attack企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。2.4属性attribute可由人工或自动化手段定量或定性辨别的对象（2.55）特性或特征。ISO/IEC 15939:2007，定义 2.2，做了修改：将原定义中的“实体”替换为“对象”2.5审核audit获取审核证据并客观地对其评价以确定满足审核准则程度的，系统的、独立的和文档化的过程（2.61）。注 1：审核可以是内部审核（第一方）或外部审核（第二方或第三方），可以是结合审核（结合两个或两个以上学科）。注 2：“审核证据”和“审核准则”在 ISO 19011GB/T 19011 中被定义。2.6审核范围audit scope审核（2.5）的程度和边界。GB/T 29246XXXX/ISO/IEC 27000:20162ISO 19011:2011，定义 3.14，做了修改：删除注 12.7鉴别authentication为一个实体声称的特征是正确的而提供的保障措施。2.8真实性authenticity一个实体是其所声称实体的这种特性。2.9可用性availability根据授权实体的要求可访问和可使用的特性。2.10基本测度base measure用某个属性（2.4）及其量化方法定义的测度（2.47）。ISO/IEC 15939:2007，定义 2.3，做了修改：删除注 2注 1：基本测度在功能上独立于其他测度（2.47）。2.11能力competence应用知识和技能实现预期结果的才能。2.12保密性confidentiality信息对未授权的个人、实体或过程（2.61）不可用或不泄露的特性。2.13符合性conformity对要求（2.63）的满足。注 1：术语“一致性”是被弃用的同义词。2.14后果consequence事态（2.25）影响目标（2.56）的结果。ISO Guide 73:2009，定义 3.6.1.3，做了修改注 1：一个事态（2.25）可能导致一系列后果。注 2：一个后果可以是确定的或不确定的，在信息安全（2.33）的语境下通常是负面的。注 3：后果可以被定性或定量地表示。注 4：初始后果可能因连锁效应升级。GB/T 29246XXXX/ISO/IEC 27000:201632.15持续改进continual improvement为提高性能（2.59）的反复活动。2.16控制control改变风险（2.68）的措施。ISO Guide 73:2009，定义 3.8.1.1注 1：控制包括任何改变风险（2.68）的过程（2.61）、策略（2.60）、设备、实践或其他措施。注 2：控制不一定总是达到预期或假定的风险改变效果。2.17控制目标control objective描述控制（2.16）的实施结果所要达到目标的声明。2.18纠正correction消除已查明的不符合（2.53）的措施。2.19整改措施corrective action消除不符合（2.53）成因以防再次发生的措施。2.20数据data基本测度（2.10）、导出测度（2.22）和（或）指标（2.30）所赋值的集合。ISO/IEC 15939:2007，定义 2.4，做了修改：增加注 1注 1：这个定义只适用于 ISO/IEC 27004GB/T 31497 的语境。2.21决策准则decision criteria用于确定行动或进一步需要调查或者描述给定结果置信度的阈值、目标或模式。ISO/IEC 15939:2007，定义 2.72.22导出测度derived measure定义为两个或两个以上基本测度（2.10）值的函数的测度（2.10）。ISO/IEC 15939:2007，定义 2.8，做了修改：删除注 12.23文档化信息documented information组织（2.57）需要控制和维护的信息及其载体。GB/T 29246XXXX/ISO/IEC 27000:20164注 1：文档化信息可以采用任何格式，在任何载体中，出自任何来源。注 2：文档化信息可能涉及管理体系（2.46），包括相关过程（2.61）；为组织（2.57）运作所创建的信息（文档）；结果实现的证据（记录）。2.24有效性effectiveness实现所计划活动和达成所计划结果的程度。2.25事态event一组特定情形的发生或改变。ISO Guide 73:2009，定义 3.5.1.3，做了修改：删除注 4注 1：一个事态可能是一个或多个发生，并可能有多种原因。注 2：一个事态可能由一些未发生的事情组成。注 3：一个事态可能有时被称为“事件”或“事故”。2.26执行管理者executive management为达成组织（2.57）意图，承担由组织治理者（2.29）委派的战略和策略实现责任的人或一组人。注 1：执行管理者有时称为最高管理者（2.84），可以包括首席执行官、首席财务官、首席信息官和类似的角色。2.27外部语境external context组织（2.57）寻求实现其目标（2.56）的外部环境。ISO Guide 73:2009，定义 3.3.1.1注 1：外部语境可以包括如下方面：文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境，无论是国际的、国家的、地区的或地方的；影响组织（2.57）目标（2.56）的关键驱动力和趋势；与外部利益相关方（2.82）的关系及其认知和价值观。2.28信息安全治理governance of information security指导和控制组织（2.57）信息安全（2.33）活动的体系。2.29治理者governing body对组织（2.57）的性能（2.59）和合规负有责任的人或一组人。注 1：治理者在某些司法管辖区可以是董事会。GB/T 29246XXXX/ISO/IEC 27000:201652.30指标indicator针对定义的信息需求（2.31），为分析模型（2.2）导出的属性（2.4）提供估算或评价的测度（2.47）。2.31信息需求information need对目标（2.56）、目的、风险和问题进行管理所必需的洞察。ISO/IEC 15939:2007，定义 2.122.32信息处理设施information processing facilities任何的信息处理系统、服务或基础设施，或者其安置的物理位置。2.33信息安全information security对信息的保密性（2.12）、完整性（2.40）和可用性（2.9）的保持。注 1：另外，也可包括诸如真实性（2.8）、可核查性、抗抵赖（2.54）和可靠性（2.62）等其他特性。2.34信息安全持续性information security continuity确保信息安全（2.33）持续作用的过程（2.61）和规程。2.35信息安全事态information security event识别到的一种系统、服务或网络状态的发生，表明可能违反信息安全（2.33）策略（2.60）或控制（2.16）失效，或者一种可能与信息安全相关但还不为人知的情况。2.36信息安全事件information security incident单一或一系列不希望或意外的，极有可能损害业务运行和威胁信息安全（2.33）的信息安全事态（2.35）。2.37信息安全事件管理information security incident management发现、报告、评估、响应、处理和总结信息安全事件（2.36）的过程（2.61）。2.38信息共享社区information sharing community同意共享信息的组织群体（2.57）。注 1：组织（2.57）可以是一个人。GB/T 29246XXXX/ISO/IEC 27000:201662.39信息系统information system应用、服务、信息技术资产或其他信息处理组件。2.40完整性integrity准确和完备的特性。2.41受益相关方interested party对于一项决策或活动，可能对其产生影响，或被其影响，或认为自己受到其影响的人或组织（2.57）。2.42内部语境internal context组织（2.57）寻求实现其目标的内部环境。ISO Guide 73:2009，定义 3.3.1.2注 1：内部语境可以包括如下方面：治理、组织结构、角色和职责；策略（2.60）、目标（2.56）和要实现它们的战略；在资源和知识方面的能力（如资本、时间、人员、过程（2.61）、系统和技术）；信息系统（2.39）、信息流和决策过程（2.61）（正式的和非正式的）；与内部利益相关方（2.82）的关系及其认知和价值观；组织（2.57）的文化；组织（2.57）采用的标准、指南和模型；契约关系的形式和程度。2.43信息安全管理体系项目ISMS project组织（2.57）为实施 ISMS 所开展的结构化活动。2.44风险程度level of risk以后果（2.14）和其可能性（2.45）的组合来表示的风险（2.68）大小。ISO Guide 73:2009，定义 3.6.1.8，做了修改：删除定义中的“或风险组合”2.45可能性likelihood某事发生的概率。ISO Guide 73:2009，定义 3.6.1.1，做了修改：删除注 1 和注 22.46管理体系management system组织中相互关联或相互作用的要素集，用来建立策略（2.60）和目标（2.56）以及达到这些目标的GB/T 29246XXXX/ISO/IEC 27000:20167过程（2.61）。注 1：一个管理体系可能专注于单一学科或多个学科。注 2：体系要素包括组织结构、角色和责任、规划、运行。注 3：一个管理体系范围可能包括组织（2.57）的整体、组织（2.57）的特定且确定的功能、组织（2.57）的特定且确定的部门，或者跨一组组织（2.57）的一个或多个功能。2.47测度measure作为测量（2.48）结果赋值的变量。ISO/IEC 15939:2007，定义 2.15，做了修改注 1：术语“测度”是基本测度（2.10）、导出测度（2.22）和指标（2.30）的统称。2.48测量measurement确定一个值的过程（2.61）。注 1：在信息安全（2.33）的语境下，确定一个值的过程（2.61）需要使用测量方法（2.50）、测量函数（2.49）、分析模型（2.2）和决策准则（2.21），获得关于信息安全（2.33）管理体系（2.46）及其相关控制（2.16）有效性（2.24）的信息。2.49测量函数measurement function组合两个或两个以上基本测度（2.10）的算法或计算。ISO/IEC 15939:2007，定义 2.202.50测量方法measurement method用于按规定的尺度（2.80）量化属性（2.4）的通用逻辑操作序列。ISO/IEC 15939:2007，定义 2.22，做了修改：删除注 2注 1：测量方法的类型取决于属性（2.4）量化操作的性质。可区分为以下两种类型：主观的：包含人为判断的量化；客观的：基于数字规则的量化。2.51测量结果measurement results对信息需要（2.31）的一个或多个指标（2.30）及其相关解释。2.52监视monitoring确定系统、过程（2.61）或活动状态的行为。注 1：为确定状态可能需要检查、监督或严密观察。GB/T 29246XXXX/ISO/IEC 27000:201682.53不符合nonconformity对要求（2.63）的不满足。2.54抗抵赖non-repudiation证明所声称事态（2.25）或行为的发生及其源头的能力。2.55对象object通过测量（2.48）其属性（2.4）来描述其特性的事项。2.56目标objective要实现的结果。注 1：目标可以是战略性的、战术性的或操作性的。注 2：目标可以涉及不同学科（诸如金融、健康与安全以及环境目标），可以适用于不同层次（诸如战略、组织、项目、产品和过程（2.61）。注 3：目标可以以其他方式表示，例如，作为预期结果、意图、操作准则，作为信息安全（2.33）目标，或者使用具有类似含义的其他词（例如，目的或标靶）。注 4：在信息安全（2.33）管理体系（2.46）的语境下，组织（2.57）制定与信息安全（2.33）策略（2.60）一致的信息安全（2.33）目标以实现特定结果。2.57组织organization具有自身的功能、责任、权威和关系来实现其目标（2.56）的人或一组人。注 1：组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校，或部分或其组合，不论注册与否，公共的还是私营的。2.58外包outsource做出由外部组织（2.57）执行部分的组织（2.57）功能或过程（2.61）的安排。注 1：外部组织在管理体系（2.46）的范围之外，尽管外包的功能或过程（2.61）在范围之内。2.59性能performance可测量的结果。注 1：性能可以涉及定量或定性的调查结果。注 2：性能可以涉及活动、过程（2.61）、产品（包括服务）、系统或组织（2.57）的管理。2.60策略policy由最高管理者（2.84）正式表达的组织（2.57）的意图和方向。GB/T 29246XXXX/ISO/IEC 27000:201692.61过程process将输入转换成输出的相互关联或相关作用的活动集。2.62可靠性reliability与预期行为和结果一致的特性。2.63要求requirement明示的、默认的或强制性的需要或期望。注 1：“默认的”意指所考虑的需要或期望是不言而喻的，对于组织（2.57）或受益相关方（2.41）是惯例或常见做法。注 2：指定要求是在例如文档化信息（2.23）中明示的。2.64残余风险residual risk风险处置（2.79）后余下的风险（2.68）。注 1：残余风险可能包含未识别的风险（2.68）。注 2：残余风险也可以被称为“保留风险”。2.65评审review针对实现所设立目标（2.54）的主题，为确定其适宜性、充分性和有效性（2.24）而采取的活动。ISO Guide 73:2009，定义 3.8.2.2，做了修改：删除注 12.66评审对象review object被评审的特定事项。2.67评审目标review objective描述评审（2.65）结果要达到什么的陈述。2.68风险risk对目标的不确定性影响。ISO Guide 73:2009，定义 1.1，做了修改注 1：影响是指与期望的偏离（正向的或反向的）。注 2：不确定性是对事态（2.25）及其结果（2.14）或可能性（2.45）的相关信息、理解或知识缺乏的状态（即使是部分的）。注 3：风险常被表征为潜在的事态（2.25）和后果（2.14），或者它们的组合。GB/T 29246XXXX/ISO/IEC 27000:201610注 4：风险常被表示为事态（2.25）的后果（2.14）（包括情形的改变）和其发生可能性（2.45）的组合。注 5：在信息安全（2.33）管理体系（2.46）的语境下，信息安全（2.33）风险可被表示为对信息安全（2.33）目标（2.56）的不确定性影响。注 6：信息安全（2.33）风险与威胁（2.83）利用信息资产或信息资产组的脆弱性（2.89）对组织（2.57）造成危害的潜力相关。2.69风险接受risk acceptance接纳特定风险（2.68）的有根据的决定。ISO Guide 73:2009，定义 3.7.1.6注 1：可不经风险处置（2.79）或在风险处置（2.79）过程（2.61）中做出风险接受。注 2：接受的风险（2.68）要受到监视（2.52）和评审（2.65）。2.70风险分析risk analysis理解风险（2.68）本质和确定风险等级（2.44）的过程（2.61）。ISO Guide 73:2009，定义 3.6.1注 1：风险分析提供风险评价（2.74）和风险处置（2.79）决策的基础。注 2：风险分析包括风险估算。2.71风险评估risk assessment风险识别（2.75）、风险分析（2.70）和风险评价（2.74）的整个过程（2.61）。ISO Guide 73:2009，定义 3.4.12.72风险沟通与咨询risk communication and consultation组织（2.57）就风险（2.68）管理所进行的，提供、共享或获取信息以及与利益相关方（2.82）对话的持续和迭代过程（2.61）。注 1：这些信息可能涉及到风险（2.68）的存在、性质、形式、可能性（2.45）、重要性、评价、可接受性和处置。注 2：咨询是对问题进行决策或确定方向之前，在组织（2.57）和其利益相关方（2.82）之间进行知情沟通的双向过程（2.51）。咨询是通过影响力而不是权力来影响决策的过程（2.61）；决策的输入，而非联合决策。2.73风险准则risk criteria评价风险（2.68）重要性的参照条款。SOURCE:ISO Guide 73:2009,3.3.1.3ISO Guide 73:2009，定义 3.3.1.3注 1：风险准则是基于组织的目标以及外部语境（2.27）和内部语境（2.42）。注 2：风险准则可来自标准、法律、策略（2.60）和其他要求（2.63）。GB/T 29246XXXX/ISO/IEC 27000:2016112.74风险评价risk evaluation将风险分析（2.70）的结果与风险准则（2.73）比较以确定风险（2.68）和（或）其大小是否可接受或可容忍的过程（2.61）。ISO Guide 73:2009，定义 3.7.1注 1：风险评价辅助风险处置（2.79）的决策。2.75风险识别risk identification发现、识别和描述风险（2.61）的过程（2.61）。ISO Guide 73:2009，定义 3.5.1注 1：风险识别涉及风险源、事态（2.25）及其原因和潜在后果（2.14）的识别。注 2：风险识别可能涉及历史数据、理论分析、知情者和专家的意见以及利益相关方（2.82）的需要。2.76风险管理risk management指导和控制组织（2.57）相关风险（2.57）的协调活动。ISO Guide 73:2009，定义 2.12.77风险管理过程risk management process管理策略（2.60）、规程和实践在沟通、咨询、语境建立以及识别、分析、评价、处置、监视和评审风险（2.68）活动上的系统性应用。ISO Guide 73:2009，定义 3.1，做了修改：增加注 1注 1：ISO/IEC 27005GB/T 31722 使用术语“过程”（2.61）来描述全面风险管理。在风险管理（2.76）过程（2.61）中的要素被称为“活动”。2.78风险责任者risk owner具有责任和权威来管理风险（2.68）的人或实体。ISO Guide 73:2009，定义 3.5.1.52.79风险处置risk treatment改变风险（2.68）的过程（2.61）。ISO Guide 73:2009，定义 3.8.1，做了修改：将注 1 中的“决策”替换为“选择”注 1：风险处置可能涉及如下方面：通过决定不启动或不继续进行产生风险（2.68）的活动来规避风险（2.68）；承担或增加风险（2.68）以追求机会；消除风险（2.68）源；改变可能性（2.45）；改变后果（2.14）；GB/T 29246XXXX/ISO/IEC 27000:201612与另外一方或多方共担风险（2.68）（包括合同和风险融资）；有根据地选择保留风险（2.68）。注 2：处理负面后果（2.14）的风险处置有时被称为“风险缓解”、“风险消除”、“风险防范”和“风险降低”。注 3：风险处置可能产生新的风险（2.68）或改变现有风险（2.68）。2.80尺度scale连续的或离散的值的有序集合，或者对应属性（2.4）的类集合。ISO/IEC 15939:2007，定义 2.35，做了修改注 1：尺度的类型取决于尺度上值之间关系的性质。通常定义如下四种尺度类型：名义的：测量（2.48）值是类别化的；顺序的：测量（2.48）值是序列化的；间距的：测量（2.48）值对应于属性（2.4）的等同量是等距离的；比率的：测量（2.48）值对应于属性（2.4）的等同量是等距离的，其中零值对应于属性的空。这些只是尺度类型的示例。2.81安全实施标准security implementation standard规定授权的安全实现方式的文件。2.82利益相关方stakeholder对于一项决策或活动，可能对其产生影响，或被其影响，或认为自己受到其影响的人或组织（2.57）。ISO Guide 73:2009，定义 3.2.1.1，做了修改：删除注 12.83威胁threat可能对系统或组织（2.57）造成危害的不期望事件的潜在原由。2.84最高管理者top management最高层指导和控制组织（2.57）的人或一组人。注 1：最高管理者具有在组织（2.57）内授权和提供资源的权力。注 2：如果管理体系（2.46）的范围只涵盖组织（2.57）的一部分，则最高管理者就是指指导和控制组织（2.57）这部分的人或一组人。2.85可信信息通信实体trusted information communication entity支持在信息共享社区（2.38）内进行信息交换的自主组织（2.57）。2.86测量单位unit of measurement按惯例被定义和被采纳的特定量，用于其他同类量与其比较以表示它们相对于这个量的大小。GB/T 29246XXXX/ISO/IEC 27000:201613ISO/IEC 15939:2007，定义 2.40，做了修改2.87确认validation通过提供客观证据，证实满足特定预期使用或应用要求（2.63）的行为。ISO 9000:2015，定义 3.8.12，做了修改2.88验证verification通过提供客观证据，证实满足规定要求（2.63）的行为。ISO 9000:2015，定义 3.8.4注 1：这也可被称为符合性测试。2.89脆弱性vulnerability可能被一个或多个威胁（2.83）利用的资产或控制（2.16）的弱点。3信息安全管理体系3.1概要各种类型和规模的组织：a)收集、处理、存储和传输信息；b)认识到信息及其相关过程、系统、网络和人是实现组织目标的重要资产；c)面临可能影响资产运作的一系列风险；d)通过实施信息安全控制应对其感知的风险。组织持有和处理的所有信息在使用中易受到攻击、过失、自然灾害（例如，洪水或火灾）等威胁以及内在脆弱性的影响。术语“信息安全”一般是建立在被认为有价值的信息资产的基础上，这些信息需要适当的保护，例如，防止可用性、保密性和完整性的丧失。使准确和完整的信息对已授权的需要者及时可用，可促进提升业务效率。通过有效地定义、实现、维护和改进信息安全来保护信息资产，对于组织实现其目标并保持和增强其合法及形象，必不可少。指导适当控制的实施和处置不可接受的信息安全风险这些协调活动，通常被认为是信息安全管理的要素。由于信息安全风险和控制的有效性随着环境的变化而改变，组织需要：a)监视和评价已实施的控制和规程的有效性；b)识别待处置的新出现的风险；c)视需要选择、实施和改进适当的控制。为了关联和协调这类信息安全活动，每个组织需要建立其信息安全策略和目标，并通过使用管理体系有效地实现这些目标。GB/T 29246XXXX/ISO/IEC 27000:2016143.2什么是 ISMS3.2.1概述和原则信息安全管理体系（ISMS）由策略、规程、指南和相关资源及活动组成，由组织集中管理，目的在于保护其信息资产。ISMS是建立、实施、运行、监视、评审、维护和改进组织信息安全来实现业务目标的系统方法。它是基于风险评估和组织的风险接受程度，为有效地处置和管理风险而设计。分析信息资产保护要求，并按要求应用适当的控制来切实保护这些信息资产，有助于ISMS的成功实施。下列基本原则也有助于ISMS的成功实施：a)意识到信息安全的需要；b)分配信息安全的责任；c)包含管理者的承诺和利益相关方的利益；d)提升社会价值；e)进行风险评估来确定适当的控制，以达到可接受的风险程度；f)将安全作为信息网络和系统的基本要素；g)主动防范和发现信息安全事件；h)确保信息安全管理方法的全面性；i)持续对信息安全进行再评估并在适当时进行修正。3.2.2信息信息是一种资产，像其他重要的业务资产一样，对组织业务来说必不可少，因此需要得到适当保护。信息可以以多种形式存储，包括：数字形式（例如，存储在电子或光介质上的数据文件）、物质形式（例如，在纸上），以及以员工知识形式存在、未被表现的信息。信息可以采用各种手段进行传输，包括：信使、电子通信或口头交流。不管信息采用什么形式存在或什么手段传输，它总是需要适当的保护。在许多组织中，信息依赖于信息和通信技术。这种技术往往是组织的基本要素，协助信息的创建、处理、存储、传输、保护和销毁。3.2.3信息安全信息安全确保信息的保密性、可用性和完整性。信息安全包含应用和管理适当的控制，这些控制广泛地考虑到各种威胁，目标是确保业务的持续成功和连