路径: 主页 > GB/T > 第253页 > GB/T 28450-2020 | 标准编号 | GB/T 28450-2020 (GB/T28450-2020) | | 中文名称 | 信息技术 安全技术 信息安全管理体系审核指南 | | 英文名称 | Information technology. Security techniques. Guidelines for information security management systems auditing | | 行业 | 国家标准 (推荐) | | 中标分类 | L08 | | 国际标准分类 | 35.040 | | 字数估计 | 39,397 | | 发布日期 | 2020-12-14 | | 实施日期 | 2021-07-01 | | 旧标准 (被替代) | GB/T 28450-2012 | | 引用标准 | GB/T 19011-2013; GB/T 22080-2016; GB/T 29246-2017 | | 采用标准 | ISO/IEC 27007-2017, IDT | | 标准依据 | 国家标准公告2020年第28号 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | | 范围 | 本标准在GB/T 19011-2013的基础上,为信息安全管理体系(以下简称ISMS)审核方案管理和审核实施提供了指南,并对ISMS审核员能力提供了评价指南。本标准适用于需要理解或实施ISMS的内部或外部审核,或需要管理ISMS审核方案的所有组织。 | GB/T 28450-2020
(Information Technology Security Technology Information Security Management System Audit Guidelines)
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 28450-2012
信息技术 安全技术
信息安全管理体系审核指南
(ISO/IEC 27007:2017,IDT)
2020-12-14发布
2021-07-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅴ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 审核原则 1
5 审核方案的管理 1
5.1 总则 1
5.2 确立审核方案的目标 1
5.3 建立审核方案 2
5.4 实施审核方案 3
5.5 监视审核方案 4
5.6 评审和改进审核方案 4
6 实施审核 4
6.1 总则 4
6.2 审核的启动 4
6.3 审核活动的准备 5
6.4 审核活动的实施 5
6.5 审核报告的编制和分发 6
6.6 审核的完成 7
6.7 审核后续活动的实施 7
7 审核员的能力和评价 7
7.1 总则 7
7.2 确定满足审核方案需求的审核人员能力 7
7.3 审核员评价准则的建立 8
7.4 选择适当的审核员评价方法 8
7.5 进行审核员评价 8
7.6 保持并提高审核员能力 8
附录A(资料性附录) ISMS审核实践指南 9
参考文献 34
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替GB/T 28450-2012《信息安全技术 信息安全管理体系审核指南》,与GB/T 28450-
2012相比,主要技术性变化如下:
---删除了ISMS特定审核原则的内容(见2012年版的4.2);
---删除了审核方案管理流程图(见2012年版的5.1);
---删除了审核方案内容(见2012年版的5.2.2);
---增加了审核方案管理人员能力的内容(见5.3.2);
---增加了审核方案范围和详略程度确定的内容(见5.3.3);
---增加了审核方案风险识别和评估的内容(见5.3.4);
---修改了审核方案实施的内容(见5.4,2012年版的5.4);
---删除了审核方案记录的内容(见2012年版的5.5);
---删除了审核组长指定的内容(见2012年版的6.2.1);
---删除了实用帮助---信息收集注意事项(见2012年版的6.5.4.1);
---删除了审核报告批准的内容(见2012年版的6.6.2);
---删除了能力概念图(见2012年版的7.1.1);
---删除了个人素质的内容(见2012年版的7.2);
---增加了个人行为的内容(见7.2.2);
---删除了ISMS特定及相关专业知识和技能的内容(见2012年版的7.3.3);
---增加了管理体系审核员特定领域与专业知识和技能的内容(见7.2.3.3);
---增加了多领域管理体系审核知识和技能的内容(见7.2.3.5);
---删除了教育、工作经历、审核员培训和审核经历的内容(见2012年版的7.4);
---增加了审核员能力获得的内容(见7.2.4);
---修改了审核员评价的内容(见7.3、7.4、7.5,2012年版的7.6);
---重新组织了附录的内容,删除了原标准的五个附录,增加了附录 A:ISMS审核实践指南,与
ISO/IEC 27007:2017附录A保持一致。
本标准使用翻译法等同采用ISO/IEC 27007:2017《信息技术 安全技术 信息安全管理体系审核指
南》。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:
---GB/T 19011-2013 管理体系审核指南(ISO 19011:2011,IDT)
---GB/T 22080-2016 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC 27001:
2013,IDT)
---GB/T 29246-2017 信息技术 安全技术 信息安全管理体系 概述和词汇(ISO/IEC 27000:
2016,IDT)
本标准做了下列编辑性修改:
---在引言中对本标准中涉及的部分术语和定义,与其他标准相关内容的关系进行了说明;
---在参考文献中增加了国际文件ISO/IEC 27017。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:北京时代新威信息技术有限公司、中国网络安全审查技术与认证中心、中国电子
技术标准化研究院、全国组织机构统一社会信用代码数据服务中心。
本标准主要起草人:王新杰、王连强、张剑、上官晓丽、孙镇、赵捷、郑玮、陈剑博、郭乐宇、汪洋、曹宇、
程瑜琦、王姣、孙泰、李晟飞。
本标准所代替标准的历次版本发布情况为:
---GB/T 28450-2012。
引 言
本标准提供了下列指南:
---信息安全管理体系(ISMS)审核方案的管理;
---遵循GB/T 22080-2016实施内部和外部审核;
---ISMS审核员的能力和评价。
本标准宜与GB/T 19011-2013中包含的指南一起使用。
本标准遵循GB/T 19011-2013的结构,ISMS审核所需的ISMS特定指南,用字母“IS”进行标识。
开展ISMS审核时,本标准新增的ISMS特定指南宜与GB/T 19011-2013配合使用,用字母“IS”
进行标识”。
GB/T 19011-2013提供了关于审核方案管理、管理体系内部或外部审核实施以及管理体系审核
员能力和评价的指南。
本标准未声明组织规模要求,可适用于所有用户,包括中小型组织。
本标准中涉及的部分术语和定义,与其他标准相关内容的关系说明如下;
---国际标准中的“Procedure”,在GB/T 19011-2013中翻译为“程序”,而在GB/T 22080-2016
中翻译为“规程”,因本标准同时引用了这两个标准的原文,故本标准中出现该术语的地方均采
用其原标准中的定义;
---国际标准中的“Implement”,在GB/T 19011-2013中翻译为“实施”,而在GB/T 22080-2016
中翻译为“实现”,因本标准同时引用了这两个标准的原文,故本标准中出现该术语的地方均采
用其原标准中的定义;
---国际标准中的“Maintain”,在GB/T 19011-2013中翻译为“保持”,而在GB/T 22080-2016
中翻译为“维护”,因本标准同时引用了这两个标准的原文,故本标准中出现该术语的地方均采
用其原标准中的定义;
在GB/T 22080-2016中翻译为“文件化信息”,因本标准引用了GB/T 22080-2016的原文,
故本标准中出现该术语的地方均采用GB/T 22080-2016中的定义;
---国际标准中的“Context”,在GB/T 29246-2017中翻译为“语境”,而在GB/T 22080-2016中
翻译为“环境”,因本标准引用了GB/T 22080-2016的原文,故本标准中出现该术语的地方均
采用GB/T 22080-2016中的定义;
---国际标准中的“Continuity”,在GB/T 29246-2017中翻译为“持续性”,而在GB/T 22080-
2016中翻译为“连续性”,因本标准引用了GB/T 22080-2016的原文,故本标准中出现该术
语的地方均采用GB/T 22080-2016中的定义。
信息技术 安全技术
信息安全管理体系审核指南
1 范围
本标准在GB/T 19011-2013的基础上,为信息安全管理体系(以下简称ISMS)审核方案管理和审
核实施提供了指南,并对ISMS审核员能力提供了评价指南。
本标准适用于需要理解或实施ISMS的内部或外部审核,或需要管理ISMS审核方案的所有组织。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 19011-2013 管理体系审核指南(ISO 19011:2011,IDT)
GB/T 22080-2016 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC 27001:2013,......
|