路径: 主页 > GB/T > 第210页 > GB/T 28450-2012 | 标准编号 | GB/T 28450-2012 (GB/T28450-2012) | | 中文名称 | 信息安全技术 信息安全管理体系审核指南 | | 英文名称 | Information security technology -- Guidelines for information security management system auditing | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 33,376 | | 引用标准 | GB/T 19000-2008; GB/T 19011-2003; GB/T 22080-2008; GB/T 22081-2008 | | 标准依据 | 国家标准公告2012年第13号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准在GB/T 19011-2003的基础上为信息安全管理体系(简称ISMS)的审核原则、审核方案管理和审核实施提供了指导, 并对审核员的能力及其评价提供了指导。本标准适用于需要实施ISMS内部审核、外部审核或对审核进行管理的所有组织。 | GB/T 28450-2012
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
信息安全管理体系审核指南
2012-06-29发布
2012-10-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 审核原则 1
4.1 通用的审核原则 1
4.2 IS4.1审核原则 1
5 审核方案的管理 1
5.1 总则 1
5.2 审核方案的目的和内容 3
5.3 审核方案的职责、资源和程序 4
5.4 审核方案的实施 4
5.5 审核方案的记录 4
5.6 审核方案的监视和评审 5
6 审核活动 5
6.1 总则 5
6.2 审核的启动 5
6.3 文件评审的实施 5
6.4 现场审核的准备 6
6.5 现场审核的实施 6
6.6 审核报告的编制、批准和分发 7
6.7 审核的完成 8
6.8 审核后续活动的实施 8
7 审核员的能力与评价 8
7.1 总则 8
7.2 个人素质 8
7.3 知识和技能 9
7.4 教育、工作经历、审核员培训和审核经历 11
7.5 能力的保持和提高 11
7.6 审核员的评价 11
附录A(资料性附录) 各应用领域的典型应用系统示例 12
附录B(资料性附录) ISMS的过程审核示例 14
附录C(资料性附录) 控制措施的审核示例 19
附录D(资料性附录) 本标准与GB/T 19011-2003的对照 21
附录E(资料性附录) 审核组审核员的选择 24
参考文献 27
图1 审核方案管理流程图 2
图2 能力的概念 8
表A.1 典型IT应用系统举例 12
表B.1 体系文件建立、发布与宣贯过程审核示例 14
表B.2 风险评估与处理过程审核示例 15
表B.3 业务连续性的信息安全管理方面过程审核示例 16
表B.4 法律法规符合性判定过程审核示例 17
表C.1 信息处理设施的授权过程审核示例 19
表C.2 处理第三方协议中的安全问题审核示例 19
表C.3 信息的标记与处理审核示例 20
表D.1 本标准与GB/T 19011-2003对照表 21
表E.1 审核组审核员的选择知识能力考虑点示例 24
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国信息安全认证中心、中国电子技术标准化研究所、北京知识安全工程中心。
本标准主要起草人:张剑、上官晓丽、许玉娜、王新杰、闵京华、陈珍成。
引 言
本标准旨在为信息安全管理体系(简称ISMS)审核员(包括内部审核员和外部审核员)执行ISMS
审核提供指导,以确保ISMS审核:
---既符合GB/T 22080-2008的要求,又与GB/T 19011-2003《质量和(或)环境管理体系审核
指南》(ISO 19011:2002,IDT)和ISO/IEC 27006:2007《信息技术 安全技术 信息安全管理
体系审核认证机构要求》标准保持一致;
---成为帮助受审核的组织持续改进的一项有效活动。
本标准在GB/T 19011-2003的基础上为信息安全管理体系的审核原则、审核方案管理和审核实
施提供了指导,并对审核员的能力及其评价提供了指导。本标准旨在适用于广泛的潜在使用者,包括审
核员、实施ISMS的组织,因合同原因需要对ISMS实施审核的组织以及合格评定领域中与审核员注册
或培训、管理体系认证注册、认可或标准化有关的组织。
当ISMS与其他管理体系一起实施时,由本标准使用者决定这些管理体系审核是分别进行还是一
起进行。
本标准采纳GB/T 19011-2003《质量和(或)环境管理体系审核指南》(ISO 19011:2002,IDT)的标
准正文的格式与内容,在此基础上针对ISMS的特点增加了相关内容,用“IS”加以标识。另外,第7章
针对ISMS提出了专门要求,还增加了5个资料性附录(见附录D)。
此外,在监视与要求(如产品规范或法律法规)的符合性方面感兴趣的任何其他个人或组织,可以发
现本标准中的指南是有用的。
信息安全技术
信息安全管理体系审核指南
1 范围
本标准在GB/T 19011-2003的基础上为信息安全管理体系(简称ISMS)的审核原则、审核方案管
理和审核实施提供了指导,并对审核员的能力及其评价提供了指导。
本标准适用于需要实施ISMS内部审核、外部审核或对审核进行管理的所有组织。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 19000-2008 质量管理体系 基础和术语(ISO 9000:2005,IDT)
GB/T 19011-2003 质量和(或)环境管理体系审核指南(ISO 19011:2002,IDT)
GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC 27001:2005,IDT)
GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则(ISO/IEC 27002:2005,IDT)
3 术语和定义
GB/T 19000-2008、GB/T 19011-2003、GB/T 22080-2008和GB/T 22081-2008界定的术语
和定义适用于本文件。
4 审核原则
4.1 通用的审核原则
GB/T 19011-2003的第4章中的原则适用。并且,以下ISMS特定的指南适用。
4.2 IS4.1审核原则
ISMS的审核还应遵循如下原则:
a) 保密性:ISMS的审核由于其特殊性,审核员应对保密性给予充分的重视,如注意受审核方的
保密管理规程,关......
|