信息技术安全技术信息安全管理体系概述和词汇-编制说明

一任务来源根据国家标准化管理委员会下达的2015年国家标准制修订计划，国家标准GB/T29246—2012《信息技术安全技术信息安全管理体系概述和词汇》修订由中电长城网际系统应用有限公司主办，中国电子技术标准化研究院、中国信息安全研究院等单位参与，标准计划号为20151596-T-469o

二、任务背景2012年发布的国家标准GB/T29246—2012《信息技术安全技术信息安全管理体系概述和词汇》等同采用国际信息安全标准化组织ISO/IECJTC1SC27于2009年5月1日发布的国际标准ISO/IEC27000:2009《信息技术安全技术信息安全管理体系概述和词汇（Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary）》（第一版）ISO/IEC27000《信息技术安全技术信息安全管理体系概述和词汇》是信息安全管理体系（ISMS）标准族中的标准之一ISO/IECJTC1SC27WG1（信息安全管理工作组）专门负责ISMS标准族的研究和制定ISMS标准族作为一套具有一定科学理论基础和实践价值的标准，被广泛用于不同国家、不同领域，为不同信息安全管理需求的用户提供了参考和指导截至目前，我国在持续跟踪研究该系列标准的基础上，已经以等同采用方式转化了ISMS标准族中的十项国际标准为国家标准，分别是GB/T29246—2012《信息技术安全技术信息安全管理体系概述和词汇》（等同采用ISO/IEC27000:2009）、GB/T22080—2016《信息技术安全技术信息安全管理体系要求》（等同采用ISO/IEC27001:2013）.GB/T22081—2016《信息技术安全技术信息安全控制措施实践指南》（等同采用ISO/IEC27002:2013）、GB/T31496—2015《信息技术安全技术信息安全管理体系实施指南》（等同采用ISO/IEC27003:2010）、GB/T31497—2015《信息技术安全技术信息安全管理测量》（等同采用ISO/IEC27004:2009）、GB/T31722—2015《信息技术安全技术信息安全风险管理》（等同采用ISO/IEC27005:2008）、GB/T25067—2010《信息技术安全技术信息安全管理体系认证机构认可要求》（等同采用ISO/IEC27006:2007）、GB/Z32916-2016《信息技术安全技术信息安全控制措施审核员指南》（等同采用ISO/IECTR27008）、GB/T32920—2016《信息技术安全技术行业间和组织间通信的信息安全管理》（等同采用IS0/IEC27010）、GB/T32923—2016《信息技术安全技术信息安全治理》（等同采用IS0/IEC27014）随着信息技术及其应用的迅猛发展，信息安全管理体系（ISMS）在不断发展并取得新进展，新的术语也不断出现ISO/IECJTC1SC27于2012年12月1日、2014年1月15日和2016年2月15日先后发布了国际标准IS0/IEC27000:2012（第二版）、IS0/IEC27000:2014（第三版）和ISO/IEC27000:2016（第四版），其中，相对于第一版的46条，第

二、三和四版分别增加到了

81、89和89条术语定义为了适应发展，有必要更新GB/T29246—2012为ISMS相关技术和应用提供最新的基础标准支撑

三、编制原则等同采用基于目前国内对国际ISMS标准族相关标准的研究和转化情况以及我国整体信息安全管理理论和技术发展现状，决定等同采用国际标准ISO/IEC27000《信息技术安全技术信息安全管理体系概述和词汇》最新版本准确理解在充分理解国际标准原文的基础上进行等同翻译，做到准确表达原意语言通畅在等同翻译时，尽量符合中文的语言习惯，做到表述通畅

四、主要工作过程

1、2014年12月9日，中央网信办网络安全协调司正式下达了修订国家标准GB/T29246—2012《信息技术安全技术信息安全管理体系概述和词汇》的任务，在全国信息安全标准化技术委员会（以下简称信安标委）的项目编号为2014bzxd-WG7-002o

2、2014年12月25日，项目牵头单位中电长城网际系统应用有限公司（以下简称“长城网际”）与中央网信办网络安全协调司正式签订了课题委托合同书

3、2015年1月，由项目牵头单位和参与单位共同组成的标准编制组正式成立并启动工作

4、2015年1月至2015年6月，研究IS0/IEC27000:2014《信息技术安全技术信息安全管理体系概述和词汇》（第三版），同时跟踪和研究ISMS标准族的其他相关标准

5、2015年7月至2016年1月，翻译IS0/IEC27000:2014《信息技术安全技术信息安全管理体系概述和词汇》（第三版），并继续跟踪和研究ISMS标准族的其他相关标准

6、2016年2月，鉴于ISO/IECJTC1SC27发布了IS0/IEC27000:2016《信息技术安全技术信息安全管理体系概述和词汇》（第四版），决定基于此最新版本修订GB/T29246—2012《信息技术安全技术信息安全管理体系概述和词汇》

7、2016年3月至7月，翻译ISO/IEC27000:2016《信息技术安全技术信息安全管理体系概述和词汇》（第四版），并继续跟踪和研究ISMS标准族的其他相关标准

8、2016年8月，形成GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》修订草案（中英文对照）及编制说明，并提交至信安标委“信息安全标准项目管理与服务平台（http:〃www.tc

260.org.cn）

9、2016年10月，在“全国信息安全标准化技术委员会2016年第二次会议周”期间的信息安全管理工作组（WG7）会议上听取工作组成员单位对该标准修订草案的反馈意见此次会议决定该标准修订进入征求意见稿阶段

10、2016年11月，根据标准草案的反馈意见，对标准文本进一步修改完善，形成该标准修订的征求意见稿（中英文对照）第1稿、编制说明和意见汇总处理表，并提交至信安标委“信息安全标准项目管理与服务平台”

11、2016年12月22日，信安标委WG7组织了专家审查会12月23日，根据会上专家意见对征求意见稿第1稿进行修改完善，形成征求意见（中英文对照）第2稿，同时更新编制说明和意见汇总表，并提交至WG7组五主要内容该标准阐述了信息安全管理体系（ISMS）介绍了ISMS标准族及族中的19项标准，给出了ISMS标准族中89条常用的术语及其定义该标准内容目次如下前S0引言

0.1概述

0.2ISMS标准族

0.3本标准的目的1范围2术语和定义3信息安全管理体系1概要

3.2什么是ISMS

3.3过程方法

3.4为什么ISMS重要

3.5建立、监视、保持和改进ISMS

3.6ISMS关键成功因素

3.7ISMS标准族的益处4ISMS标准族

4.1一般信息

4.2描述概述和术语的标准

4.3规范要求的标准

4.4描述一般指南的标准

4.5描述行业特定指南的标准附录A（资料性附录）条款表达的措辞形式附录B（资料性附录）术语和术语归属参考文献

六、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果该标准所提供的信息安全相关概念和术语是信息安全管理的基础，为信息安全管理提供了体系化的方法和通用、准确的术语集

七、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况该标准等同采用国际标准ISO/IEC27000:2016《信息技术安全技术信息安全管理体系概述和词汇》（第四版）八与有关的现行法律、法规和强制性国家标准的关系该标准符合我国现行的法律、法规和强制性国家标准

九、重大分歧意见的处理经过和依据尚无

十、国家标准作为强制性国家标准或推荐性国家标准的建议建议该标准作为推荐性国家标准发布实施十一贯彻国家标准的要求和措施建议（包括组织措施技术措施过渡办法等内容）该标准是信息安全管理的基础性标准，是在信息安全管理领域中进行沟通、研究、开发和实施的基本工具，因此建议在所有信息安全管理相关人员中进行宣贯和培训十二其他事项说明在翻译国际标准IS0/IEC27000:2016《信息技术安全技术信息安全管理体系概述和词汇》（第四版）过程中，发现一些编辑性问题，准备通过对口的国家正式渠道向对口的国际标准化组织提交勘误建议书国家标准《信息技术安全技术信息安全管理体系概述和词汇》（草案）编制说明国家标准《信息技术安全技术信息安全管理体系概述和词汇》（草案）编制说明国家标准《信息技术安全技术信息安全管理体系概述和词汇》（草案）编制说明国家标准《信息技术安全技术信息安全管理体系概述和词汇》（草案）编制说明。