GB/T29246—2017 《信息技术 安全技术 信息安全管理体系 概述和词汇》使用翻译法等同采用 ISO/IEC27000:2016《信息技术 安全技术 信息安全管理体系 概述和词汇》，2017年12月29日发布，2018年7月1日实施。标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。TC260负责专业范围为国内信息安全，秘书处所在单位为中国电子技术标准化研究院。本文仅列举标准主要条款，为准确理解标准全部要求，请通过正规渠道获取标准全文。引言0.1 概述管理体系标准提供一个在建立和运行管理体系时可遵循的模型。专门为信息安全开发的管理体系标准称为信息安全管理体系（Information Security Management System，简称ISMS）标准族。0.2 信息安全管理体系标准族信息安全管理体系（ISMS）标准族旨在帮助所有类型和规模的组织（例如商业企业、政府机构、非盈利组织）实施和运行ISMS。ISMS标准族关系注：信息技术标准的代号为ISO/IEC TRISO/IEC  27000信息技术     安全技术    信息安全管理体系    概述和词汇ISO/IEC  27001信息技术    安全技术    信息安全管理体系    要求ISO/IEC  27002信息技术    安全技术    信息安全控制实践指南ISO/IEC  27003信息技术    安全技术    信息安全管理体系实施指南ISO/IEC  27004信息技术    安全技术     信息安全管理    测量ISO/IEC  27005信息技术    安全技术    信息安全风险管理ISO/IEC  27006信息技术    安全技术    信息安全管理体系审核认证机构要求ISO/IEC  27007信息技术    安全技术     信息安全管理体系审核指南ISO/IEC TR 27008信息技术    安全技术    ISMS 控制措施的审核员指南ISO/IEC  27009ISO/IEC 27001的行业特定应用 要求ISO/IEC  27010行业间和组织间通信的信息安全管理ISO/IEC  27011基于ISO/IEC 27002的电信组织信息安全管理指南ISO/IEC  27013ISO/IEC 27001和ISO/IEC20000-1综合实施指南ISO/IEC  27014信息安全治理ISO/IEC  27015金融服务信息安全管理指南ISO/IEC TR  27016信息安全管理 组织经济学ISO/IEC  27017基于ISO/IEC 27002的云服务信息安全控制实践指南ISO/IEC  27018可识别个人信息处理者（PII）在公有云中保护PII的实践指南ISO/IEC TR  27019基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南2 术语和定义2.1 访问控制 access control确保对资产的访问是基于业务和安全要求进行授权和控制的手段。2.3 攻击 attack企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。2.5 审核 audit获取审核证据并客观地对其评价以确定满足审核准则程度的，系统的、独立的和文档化的过程。2.9 可用性 availability根据授权实体的要求可访问和可使用的特性2.12 保密性 confidentiality信息对未授权的个人、实体或过程不可用或不泄露的特性。2.13 符合性 conformity对要求的满足2.16 控制 control改变风险的措施，包括任何改变风险的过程、策略、设备、实践或其他措施。2.18 纠正 correction消除已查明的不符合的措施2.19 整改措施 corrective action消除不符合成因以防再次发生的措施。2.25 事态 event一组特定情形的发生或改变。注1：一个事态可能是一个或多个发生，并可能有多种原因。注2：一个事态可能由一些未发生的事情组成。注3：一个事态可能有时被称为“事件”或“事故”。2.28 信息安全治理 governance of information security指导和控制组织信息安全活动的体系2.32 信息处理设施 information processing facilities任何的信息处理系统、服务或基础设施，或者其安置的物理位置。2.33 信息安全 information security对信息的保密性、完整性和可用性的保持。2.35 信息安全事态 information security event识别到的一种系统、服务或网络状态的发生，表明可能违反信息安全策略或控制失效，或者一种可能与信息安全相关但还不为人知的情况。2.36 信息安全事件 information security incident单一或一系列不希望或意外的，极有可能损害业务运行和威胁信息安全的信息安全事态。2.37 信息安全事件管理 information security incident management发现、报告、评估、响应、处理和总结信息安全事件的过程。2.39 信息系统 information system应用、服务、信息技术资产或其他信息处理组件。2.40 完整性 integrity准确和完备的特性。2.44 风险程度 level of risk以后果和其可能性的组合来表示的风险大小。2.46 管理体系 management system组织中相互关联或相互作用的要素集，用来建立策略和目标以及达到这些目标的过程。注2：体系要素包括组织结构、角色和责任、规划、运行。注3：一个管理体系范围可能包括组织的整体、组织的特定且确定的功能、组织的特定且确定的部门，或者跨一组组织的一个或多个功能。2.52 监视 monitoring确定系统、过程或活动状态的行为。2.53 不符合 nonconformity对要求的不满足。2.54 抗抵赖 non-repudiation证明所声称事态或行为的发生及其源头的能力。2.56 目标 objective2.58 外包 outsource做出由外部组织执行部分的组织功能或过程的安排。外部组织在管理体系的范围之外，尽管外包的功能或过程在范围之内。2.60 策略 policy由最高管理者正式表达的组织的意图和方向。2.62 可靠性 reliability与预期行为和结果一致的特性。2.64 残余风险 residual risk风险出之后余下的风险。注1：残余风险可能包含未识别的风险。注2：残余风险也可以被称为“保留风险” 2.65 评审 review针对实现所设立目标的主题，为确定其适宜性、充分性和有效性而采取的活动。2.68 风险 risk对目标的不确定性影响2.69 风险接受 risk acceptance接纳特定风险的有根据的决定。注1：可不经风险处置或在风险处置过程中做出风险接受。注2：接受的风险要受到监视和评审。2.70 风险分析 risk analysis理解风险本质和确定风险等级的过程。2.71 风险评估 risk assessment风险识别、风险分析和风险评价的整个过程。2.73 风险准则  risk criteria评价风险重要性的参照条款，风险准则可来自标准、法律、策略和其他要求。2.74 风险评价 risk evaluation将风险分析的结果与风险准则比较以确定风险和（或）其大小是否可接受或可容忍的过程。2.75 风险识别 risk identification发现、识别和描述风险的过程。注1：风险识别涉及风险源、事态及其原因和潜在后果的识别。注2：风险识别可能涉及历史数据、理论分析、知情者和专家的意见以及利益相关方的需要。2.76 风险管理 risk management指导和控制组织相关风险的协调活动。2.77 风险管理过程 risk management process管理策略、规程和实践在沟通、咨询、语境建立以及识别、分析、评价、处置、监视和评审风险活动上的系统性应用。2.79 风险处置 risk treatment改变风险的过程2.83 威胁 threat可能对系统或组织造成危害的不期望事件的潜在原由。2.84 最高管理者 top management最高层知道和控制组织的人或一组人。2.89 脆弱性 vulnerability可能被一个或多个威胁利用的资产或控制的弱点。3 信息安全管理体系    3.1 概要3.2 什么是ISMS3.2.1 概述和原则3.2.3 信息安全3.2.4 管理3.3  过程方法3.4 为什么ISMS重要3.5 建立、监视、保持和改进ISMS3.5.1 概述3.5.2 识别信息安全要求3.5.3 评估信息安全风险3.5.4 处置信息安全风险3.5.5 选择和实施控制3.5.6 监视、保持和改进ISMS有效性3.5.7 持续改进3.6 ISMS关键成功因素