29246信息安全管理体系的介绍，是由SAC/TC260提出归口。

27004管理绩效的度量指南。

要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果。

27005风险管理指南。27006是对审核和认证机构的要求。

密码工作坚持总体国家安全观，遵循统一领导、创新发展、服务大局、分级负责、依法管理、保障安全的原则

风险描述的要素包括可能性和后果。

SaaS软件即服务。

负责27000系列标准编制的是ISO/IEC JTCI SC27。

ISMS文件评审需考虑收集信息，以准备审核活动和适当的工作文件。

对新闻、出版、医疗、保健、教育类的互联网信息服务实行主管部门审核制度。

GB 17859信息安全保护能力5级用户自主、系统审计、安全标记、结构化、访问验证。

敏感标记表示客体安全级别并描述客体数据敏感性的一组信息。

网络入侵检测、防病毒系统和防火墙是建立有效的计算机病毒防御体系的技术措施。

系统自主保护级、系统审计保护级、安全标记保护级。

17799是27002的前身。

关键信息基础设施：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

A.18.1.3确保对记录进行保护以防止其丢失。

等级保护基本流程：定级与备案、总体安全规划、安全设计与实施、安全运行与维护、终止。 风险识别：资产识别、识别威胁、识别现有控制措施、识别脆弱性和识别后果。 信息安全连续性应是组织业务连续性的一部分。《互联网信息服务管理办法》2011年。 信息安全风险准则主要包括‌风险接受准则、‌信息安全方针实施准则、‌信息安全风险评估实施准则、信息安全风险处置准则。 《公安机关互联网安全监督检查规定》2018年。 信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障和其他等。 《网络安全审查办法》确保关键信息基础设施供应链安全，维护国家安全。

15504-1描述了用于过程评估的概念和术语。计算机信息系统：采集、加工、存储、传输、检索。 ‌ITIL四个维度包括‌组织和人员、‌信息和技术、‌合作伙伴和‌供应商、‌价值流和流程。 《信息技术服务分类与代码》分类为3级。 事件-问题-已知错误-变更。 服务连续性管理中的恢复时间目标是IT服务恢复到约定的可用性水平的时间/IT服务复原到约定的最低可用性水平时间。 风险源是指单独或共同引发风险的内在要素。 ISO/IEC 15004-1过程评估的概念和术语。 laaS主要指的硬件设备。

运行SMS和服务所需的资源：人员、技术、信息和资金。 自主定级、自主保护。 根据20986信息安全事件分为4级，7个基本类别，信息内容安全事件分为4个子类。 ITIL（信息技术基础设施库）是一种用于IT服务管理的最佳实践框架，它认可的服务台类型包括局部性的服务台、集中的服务台、虚拟的服务台。 组织应实施要求的活动以交付服务。 供应商管理所提供服务的服务级别和范围与所有相关方达成一致。 组织应创建、实施和保持一个管理计划。 风险描述的要素：风险源、原因、后果、事件。