标准搜索结果: 'GB/T 22080-2016'
| 标准编号 | GB/T 22080-2016 (GB/T22080-2016) | | 中文名称 | 信息技术 安全技术 信息安全管理体系 要求 | | 英文名称 | Information technology -- Security techniques -- Information security management systems -- Requirements | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 26,269 | | 发布日期 | 2008-06-19 | | 实施日期 | 2017-03-01 | | 旧标准 (被替代) | GB/T 22080-2008 | | 标准依据 | 国家标准公告2016年第14号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | GB/T 22080-2016
Information technology - Security techniques - Information security management systems - Requirements
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 22080-2008
信息技术 安全技术
信息安全管理体系 要求
(ISO/IEC 27001:2013,IDT)
2016-08-29发布
2017-03-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 组织环境 1
4.1 理解组织及其环境 1
4.2 理解相关方的需求和期望 1
4.3 确定信息安全管理体系范围 1
4.4 信息安全管理体系 2
5 领导 2
5.1 领导和承诺 2
5.2 方针 2
5.3 组织的角色,责任和权限 2
6 规划 2
6.1 应对风险和机会的措施 2
6.2 信息安全目标及其实现规划 4
7 支持 4
7.1 资源 4
7.2 能力 4
7.3 意识 4
7.4 沟通 4
7.5 文件化信息 5
8 运行 5
8.1 运行规划和控制 5
8.2 信息安全风险评估 5
8.3 信息安全风险处置 6
9 绩效评价 6
9.1 监视、测量、分析和评价 6
9.2 内部审核 6
9.3 管理评审 6
10 改进 7
10.1 不符合及纠正措施 7
10.2 持续改进 7
附录A(规范性附录) 参考控制目标和控制 8
参考文献 21
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替GB/T 22080-2008《信息技术安全技术信息安全管理体系要求》。
与GB/T 22080-2008相比,主要技术变化如下:
---结构变化见附录NA;
---术语变化见附录NB。
本标准使用翻译法等同采用ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要
求》。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:
---GB/T 29246-2012 信 息 技 术 安 全 技 术 信 息 安 全 管 理 体 系 概 述 和 词 汇
(ISO/IEC 27000:2009,IDT)
本标准做了下列编辑性修改:
---增加了资料性附录NA;
---增加了资料性附录NB。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国电子技术标准化研究院、中电长城网际系统应用有限公司、中国信息安全认
证中心、山东省标准化研究院、广州赛宝认证中心服务有限公司、北京江南天安科技有限公司、上海三零
卫士信息安全有限公司、中国合格评定国家认可中心、北京时代新威信息技术有限公司、黑龙江电子信
息产品监督检验院、浙江远望电子有限公司、杭州在信科技有限公司。
本标准主要起草人:上官晓丽、许玉娜、闵京华、尤其、公伟、卢列文、倪文静、王连强、陈冠直、
于惊涛、付志高、赵英庆、卢普明、王曙光、虞仲华、韩硕祥、魏军、程瑜琦、孔祥林、邬敏华、李华、李阳。
本标准所代替标准的历次版本发布情况为:
---GB/T 22080-2008。
引 言
0.1 总则
本标准提供建立、实现、维护和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织
的一项战略性决策。组织信息安全管理体系的建立和实现受组织的需要和目标、安全要求、组织所采用
的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。
信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并为相关方树立
风险得到充分管理的信心。
重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、
信息系统和控制的设计中要考虑到信息安全。期望的是,信息安全管理体系的实现程度要与组织的需
要相符合。
本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。
本标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予实现的顺序。条款编号仅
为方便引用。
ISO/IEC 27000描述了信息安全管理体系的概要和词汇,引用了信息安全管理体系标准族(包括
ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]),以及相关术语和定义。
0.2 与其他管理体系标准的兼容性
本标准应用ISO/IEC 合并导则附录SL中定义的高层结构、相同条款标题、相同文本、通用术语和
核心定义,因此维护了与其他采用附录SL的管理体系的标准具有兼容性。
附录SL中定义的通用途径对于选择运行单一管理体系来满足两个或更多管理体系标准要求的组
织是有用的。
信息技术 安全技术
信息安全管理体系 要求
1 范围
本标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。本标准还包括
了根据组织需求所剪裁的信息安全风险评估和处置的要求。
本标准规定的要求是通用的,适用于各种类型、规模或性质的组织。当组织声称符合本标准时,不
能排除第4章到第10章中所规定的任何要求。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
3 术语和定义
ISO/IEC 27000界定的术语和定义适用于本文件。
4 组织环境
4.1 理解组织及其环境
组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
注:对这些事项的确定,参见ISO 31000:2009[5],5.3中建立外部和内部环境的内容。
4.2 理解相关方的需求和期望
组织应确定:
a) 信息安全管理体系相关方;
b) 这些相关方与信息安全相关的要求。
注:相关方的要求可包括法律、法规要求和合同义务。
4.3 确定信息安全管理体系范围
组织应确定信息安全管理体系的边界及其适用性,以建立其范围。
在确定范围时,组织应考虑:
a) 4.1中提到的外部和内部事项;
b)4.2中提到的要求;
c) 组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关系。
该范围应形成文件化信息并可用。
4.4 信息安全管理体系
组织应按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系。
5 领导
5.1 领导和承诺
最高管理层应通过以下活动,证实对信息安全管理体系的领导和承诺:
a) 确保建立了信息安全策略和信息安全目标,并与组织战略方向一致;
b) 确保将信息安全管理体系要求整合到组织过程中;
c) 确保信息安全管理体系所需资源可用;
d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性;
e) 确保信息安全管理体系达到预期结果;
f) 指导并支持相关人员为信息安全管理体系的有效性做出贡献;
g) 促进持续改进;
h) 支持其他相关管理角色,以证实他们的领导按角色应用于其责任范围。
5.2 方针
最高管理层应建立信息安全方针,该方针应:
a) 与组织意图相适宜;
b) 包括信息安全目标(见6.2)或为设定信息安全目标提供框架;
c) 包括对满足适用的信息安全相关要求的承诺;
d) 包括对持续改进信息安全管理体系的承诺。
信息安全方针应:
e) 形成文件化信息并可用;
f) 在组织内得到沟通;
g) 适当时,对相关方可用。
5.3 组织的角色,责任和权限
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限,以:
a) 确保信息安全管理体系符合本标准的要求;
b) 向最高管理者报告信息安全管理体系绩效。
注:最高管理层也可为组织内报告信息安全管理体系绩效,分配责任和权限。
6 规划
6.1 应对风险和机会的措施
6.1.1 总则
当规划信息安全管理体系时,组织应考虑4.1中提到的事项和4.2中提到的要求,并确定需要应对
的风险和机会,以:
a) 确保信息安全管理体系可达到预期结果;
b) 预防或减少不良影响;
c) 达到持续改进。
组织应规划:
d) 应对这些风险和机会的措施;
e) 如何:
1) 将这些措施整合到信息安全管理体系过程中,并予以实现;
2) 评价这些措施的有效性。
6.1.2 信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a) 建立并维护信息安全风险准则,包括:
1) 风险接受准则;
2) 信息安全风险评估实施准则。
b) 确保反复的信息安全风险评估产生一致的、有效的和可比较的结果。
c) 识别信息安全风险:
1) 应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可
用性损失有关的风险;
2) 识别风险责任人。
d) 分析信息安全风险:
1) 评估6.1.2c)1)中所识别的风险发生后,可能导致的潜在后果;
2) 评估6.1.2c)1)中所识别的风险实际发生的可能性;
3) 确定风险级别。
e) 评价信息安全风险:
1) 将风险分析结果与6.1.2a)中建立的风险准则进行比较;
2) 为风险处置排序已分析风险的优先级。
组织应保留有关信息安全风险评估过程的文件化信息。
6.1.3 信息安全风险处置
组织应定义并应用信息安全风险处置过程,以:
a) 在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;
b) 确定实现已选的信息安全风险处置选项所必需的所有控制;
注1:当需要时,组织可设计控制,或识别来自任何来源的控制。
c) 将6.1.3b)确定的控制与附录A中的控制进行比较,并验证没有忽略必要的控制;
注2:附录A包含了控制目标和控制的综合列表。本标准用户可在附录A的指导下,确保没有遗漏必要的控制。
注3:控制目标隐含在所选择的控制内。附录A所列的控制目标和控制并不是完备的,可能需要额外的控制目标
和控制。
d) 制定一个适用性声明,包含必要的控制[见6.1.3b)和c)]及其选择的合理性说明(无论该控制
是否已实现),以及对附录A控制删减的合理性说明;
e) 制定正式的信息安全风险处置计划;
f) 获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。
组织应保留有关信息安全风险处置过程的文件化信息。
注4:本标准中的信息安全风险评估和处置过程与ISO 31000[5]中给出的原则和通用指南相匹配。
6.2 信息安全目标及其实现规划
组织应在相关职能和层级上建立信息安全目标。
信息安全目标应:
a) 与信息安全方针一致;
b) 可测量(如可行);
c) 考虑适用的信息安全要求,以及风险评估和风险处置的结果;
d) 得到沟通;
e) 适当时更新。
组织应保留有关信息安全目标的文件化信息。
在规划如何达到信息安全目标时,组织应确定:
f) 要做什么;
g) 需要什么资源;
h) 由谁负责;
i) 什么时候完成;
j) 如何评价结果。
7 支持
7.1 资源
组织应确定并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。
7.2 能力
组织应:
a) 确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力;
b) 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;
c) 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;
d) 保留适当的文件化信息作为能力的证据。
注:适用的措施可包括,例如针对现有雇员提供培训、指导或重新分配;雇佣或签约有能力的人员。
7.3 意识
在组织控制下工作的人员应了解:
a) 信息安全方针;
b) 其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;
c) 不符合信息安全管理体系要求带来的影响。
7.4 沟通
组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括:
a) 沟通什么;
b) 何时沟通;
c) 与谁沟通;
d) 谁来沟通;
e) 影响沟通的过程。
7.5 文件化信息
7.5.1 总则
组织的信息安全管理体系应包括:
a) 本标准要求的文件化信息;
b) 为信息安全管理体系的有效性,组织所确定的必要的文件化信息。
注:不同组织有关信息安全管理体系文件化信息的详略程度可以是不同的,这是由于:
1) 组织的规模及其活动、过程、产品和服务的类型;
2) 过程及其相互作用的复杂性;
3) 人员的能力。
7.5.2 创建和更新
创建和更新文件化信息时,组织应确保适当的:
a) 标识和描述(例如标题、日期、作者或引用编号);
b) 格式(例如语言、软件版本、图表)和介质(例如纸质的、电子的);
c) 对适宜性和充分性的评审和批准。
7.5.3 文件化信息的控制
信息安全管理体系及本标准所要求的文件化信息应得到控制,以确保:
a) 在需要的地点和时间,是可用的和适宜使用的;
b) 得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。
为控制文件化信息,适用时,组织应强调以下活动:
c) 分发,访问,检索和使用;
d) 存储和保护,包括保持可读性;
e) 控制变更(例如版本控制);
f) 保留和处理。
组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予
以控制。
注:访问隐含着仅允许浏览文件化信息,或允许和授权浏览及更改文件化信息等决定。
8 运行
8.1 运行规划和控制
为了满足信息安全要求以及实现6.1中确定的措施,组织应规划、实现和控制所需要的过程。组织
还应实现为达到6.2中确定的信息安全目标一系列计划。
组织应保持文件化信息达到必要的程度,以确信这些过程按计划得到执行。
组织应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻任何负面影响。
组织应确保外包过程是确定的和受控的。
8.2 信息安全风险评估
组织应考虑6.1.2a)所建立的准则,按计划的时间间隔,或当重大变更提出或发生时,执行信息安全
风险评估。
组织应保留信息安全风险评估结果的文件化信息。
8.3 信息安全风险处置
组织应实现信息安全风险处置计划。
组织应保留信息安全风险处置结果的文件化信息。
9 绩效评价
9.1 监视、测量、分析和评价
组织应评价信息安全绩效以及信息安全管理体系的有效性。
组织应确定:
a) 需要被监视和测量的内容,包括信息安全过程和控制;
b) 适用的监视、测量、分析和评价的方法,以确保得到有效的结果;
注:所选的方法宜产生可比较和可再现的有效结果。
c) 何时应执行监视和测量;
d) 谁应监视和测量;
e) 何时应分析和评价监视和测量的结果;
f) 谁应分析和评价这些结果。
组织应保留适当的文件化信息作为监视和测量结果的证据。
9.2 内部审核
组织应按计划的时间间隔进行内部审核,以提供信息,确定信息安全管理体系:
a) 是否符合:
1) 组织自身对信息安全管理体系的要求;
2) 本标准的要求。
b) 是否得到有效实现和维护。
组织应:
c) 规划、建立、实现和维护审核方案(一个或多个),包括审核频次、方法、责任、规划要求和报告。
审核方案应考虑相关过程的重要性和以往审核的结果。
d) 定义每次审核的审核准则和范围。
e) 选择审核员并实施审核,确保审核过程的客观性和公正性。
f) 确保将审核结果报告至相关管理层。
g) 保留文件化信息作为审核方案和审核结果的证据。
9.3 管理评审
最高管理层应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和
有效性。
管理评审应考虑:
a) 以往管理评审提出的措施的状态;
b) 与信息安全管理体系相关的外部和内部事项的变化;
c) 有关信息安全绩效的反馈,包括以下方面的趋势:
1) 不符合和纠正措施;
2) 监视和测量结果;
3) 审核结果;
4) 信息安全目标完成情况;
d) 相关方反馈;
e) 风险评估结果及风险处置计划的状态;
f) 持续改进的机会。
管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。
组织应保留文件化信息作为管理评审结果的证据。
10 改进
10.1 不符合及纠正措施
当发生不符合时,组织应:
a) 对不符合做出反应,适用时:
1) 采取措施,以控制并予以纠正;
2) 处理后果;
b) 通过以下活动,评价采取消除不符合原因的措施的需求,以防止不符合再发生,或在其他地方
发生:
1) 评审不符合;
2) 确定不符合的原因;
3) 确定类似的不符合是否存在,或可能发生;
c) 实现任何需要的措施;
d) 评审任何所采取的纠正措施的有效性;
e) 必要时,对信息安全管理体系进行变更。
纠正措施应与所遇到的不符合的影响相适合。
组织应保留文件化信息作为以下方面的证据:
f) 不符合的性质及所采取的任何后续措施;
g) 任何纠正措施的结果。
10.2 持续改进
组织应持续改进信息安全管理体系的适宜性、充分性和有效性。
附 录 A
(规范性附录)
参考控制目标和控制
表A.1所列的控制目标和控制是直接源自并与GB/T 22081-2016[1]第5章~第18章相对应,并
在6.1.3环境中被使用。
表A.1 控制目标和控制
A.5 信息安全策略
A.5.1 信息安全管理指导
目标:依据业务要求和相关法律法规,为信息安全提供管理指导和支持
A.5.1.1 信息安全策略
控制
信息安全策略集应被定义,由管理者批准,并发布、传达给所有员工
和外部相关方。
A.5.1.2 信息安全策略的评审
控制
应按计划的时间间隔或当重大变化发生时进行信息安全策略评审,
以确保其持续的适宜性、充分性和有效性。
A.6 信息安全组织
A.6.1 内部组织
目标:建立一个管理框架,以启动和控制组织内信息安全的实现和运行。
A.6.1.1 信息安全的角色和责任
控制
所有的信息安全责任应予以定义和分配。
A.6.1.2 职责分离
控制
应分离冲突的职责及其责任范围,以减少未授权或无意的修改或者
不当使用组织资产的机会。
A.6.1.3 与职能机构的联系
控制
应维护与相关职能机构的适当联系。
A.6.1.4 与特定相关方的联系
控制
应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。
A.6.1.5 项目管理中的信息安全
控制
应关注项目管理中的信息安全问题,无论何种类型的项目。
A.6.2 移动设备和远程工作
目标:确保移动设备远程工作及其使用的安全。
A.6.2.1 移动设备策略
控制
应采用相应的策略及其支持性的安全措施以管理由于使用移动设
备所带来的风险。
A.6.2.2 远程工作
控制
应实现相应的策略及其支持性的安全措施,以保护在远程工作地点
上所访问的、处理的或存储的信息。
表A.1(续)
A.7 人力资源安全
A.7.1 任用前
目标:确保员工和合同方理解其责任,并适合其角色
A.7.1.1 审查
控制
应按......
|