中国标准英文版 数据库收录: 159759 更新: 2024-05-07

[PDF] GB/T 31496-2015 - 英文版

标准搜索结果: 'GB/T 31496-2015'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 31496-2015 英文版 RFQ 询价 有增值税发票,[PDF]天数 <=7 信息技术 安全技术 信息安全管理体系实施指南 作废

基本信息
标准编号 GB/T 31496-2015 (GB/T31496-2015)
中文名称 信息技术 安全技术 信息安全管理体系实施指南
英文名称 Information technology -- Security techniques -- Information security management system implementation guidance
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.040
字数估计 56,525
发布日期 2015-05-15
实施日期 2016-01-01
引用标准 GB/T 22080-2008; GB/T 29246-2012
采用标准 ISO/IEC 27003-2010, IDT
起草单位 中国电子技术标准化研究院
归口单位 全国信息安全标准化技术委员会
标准依据 国家标准公告2015年第15号
提出机构 全国信息安全标准化技术委员会(SAC/TC 260)
发布机构 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会
范围 本标准依据GB/T 22080-2008, 关注设计和实施一个成功的信息安全管理体系(ISMS)所需要的关键方面。本标准描述了ISMS规范及其设计的过程, 从开始到产生实施计划。本标准为实施ISMS描述了获得管理者批准的过程, 为实施ISMS定义了一个项目(本标准称作ISMS项目), 并就如何规划该ISMS项目提供了相应的指导, 产生最终的ISMS项目实施计划。本标准可供实施一个ISMS的组织使用, 适用于各种规模和类型的组织(例如, 商业企业、政府机构、非赢利组织)。每个组织的复杂性和风险都是独特的, 并且其特定的要求

GB/T 31496-2015
ICS 35.040
L80
中华人民共和国国家标准
信息技术 安全技术
信息安全管理体系实施指南
(ISO/IEC 27003:2010,IDT)
2015-05-15发布
2016-01-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 本标准的结构 1
4.1 章条的总结构 1
4.2 每章的一般结构 2
4.3 图表 3
5 获得管理者对启动ISMS项目的批准 4
5.1 获得管理者对启动ISMS项目的批准的概要 4
5.2 阐明组织开发ISMS的优先级 5
5.3 定义初步的ISMS范围 7
5.3.1 制定初步的ISMS范围 7
5.3.2 定义初步的ISMS范围内的角色和责任 8
5.4 为了管理者的批准而创建业务案例和项目计划 8
6 定义ISMS范围、边界和ISMS方针策略 10
6.1 定义ISMS范围、边界和ISMS方针策略的概述 10
6.2 定义组织的范围和边界 11
6.3 定义信息通信技术(ICT)的范围和边界 12
6.4 定义物理范围和边界 13
6.5 集成每一个范围和边界以获得ISMS的范围和边界 14
6.6 制定ISMS方针策略和获得管理者的批准 14
7 进行信息安全要求分析 15
7.1 进行信息安全要求分析的概述 15
7.2 定义ISMS过程的信息安全要求 17
7.3 标识ISMS范围内的资产 17
7.4 进行信息安全评估 18
8 进行风险评估和规划风险处置 19
8.1 进行风险评估和规划风险处置的概述 19
8.2 进行风险评估 21
8.3 选择控制目标和控制措施 21
8.4 获得管理者对实施和运行ISMS的授权 22
9 设计ISMS 23
9.1 设计ISMS的概述 23
9.2 设计组织的信息安全 25
9.2.1 设计信息安全的最终组织结构 25
9.2.2 设计ISMS的文件框架 26
9.2.3 设计信息安全方针策略 27
9.2.4 制定信息安全标准和规程 28
9.3 设计ICT安全和物理信息安全 29
9.4 设计ISMS特定的信息安全 31
9.4.1 管理评审的计划 31
9.4.2 设计信息安全意识、培训和教育方案 32
9.5 产生最终的ISMS项目计划 33
附录A(资料性附录) 检查表的描述 34
附录B(资料性附录) 信息安全的角色和责任 37
附录C(资料性附录) 有关内部审核的信息 40
附录D(资料性附录) 方针策略的结构 41
附录E(资料性附录) 监视和测量 45
参考文献 49
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准使用翻译法等同采用ISO/IEC 27003:2010《信息技术 安全技术 信息安全管理体系实施
指南》。
本标准做了以下编辑性修改:
---在引言部分增加了有关信息安全管理体系标准族情况的介绍。
本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国电子技术标准化研究院、上海三零卫士信息安全有限公司、山东省计算中心、
黑龙江省电子信息产品监督检验院、北京信息安全测评中心、中电长城网际系统应用有限公司。
本标准主要起草人:上官晓丽、许玉娜、董火民、闵京华、赵章界、周鸣乐、方舟、李刚。
引 言
信息安全技术标准化组织(ISO/IEC JTC1SC27)制定的信息安全管理体系系列国际标准。ISMS标准
族旨在帮助各种类型和规模的组织,开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如,
财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的ISMS的独立评估做准备。
ISMS标准族包括的标准:a)定义了ISMS的要求及其认证机构的要求;b)提供了对整个“规划-实施-检
查-处置”(PDCA)过程和要求的直接支持、详细指南和(或)解释;c)阐述了特定行业的ISMS指南;d)阐
述了ISMS的一致性评估。
目前,ISMS标准族由下列标准组成:
---GB/T 29246-2012/ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述
和词汇
---GB/T 22080-2008/ISO/IEC 27001:2005 信息技术 安全技术 信息安全管理体系 要求
---GB/T 22081-2008/ISO/IEC 27002:2005 信息技术 安全技术 信息安全管理实用规则
指南
---GB/T 31497-2015/ISO/IEC 27004:2009 信息技术 安全技术 信息安全管理 测量
---GB/T 31722-2015/ISO/IEC 27005:2008 信息技术 安全技术 信息安全风险管理
---GB/T 25067-2010/ISO/IEC 27006:2007 信息技术 安全技术 信息安全管理体系审核认
证机构的要求
---ISO/IEC 27007 信息技术 安全技术 信息安全管理体系审核指南
---ISO/IEC 27011:2008 信息技术 安全技术 基于ISO/IEC 27002的电信行业组织的信息
安全管理指南
---ISO/IEC 27013:2012 信息技术 安全技术 ISO/IEC 27001和ISO/IEC 20000-1集成实施指南
---ISO/IEC 27014:2013 信息技术 安全技术 信息安全治理
---ISO/IEC TR27015:2012 信息技术 安全技术 金融服务信息安全管理指南
本标准作为ISMS标准族之一,其目的是为组织按照GB/T 22080-2008制定信息安全管理体系
(ISMS)的实施计划,提供实用指导。实际情况下,ISMS的实施通常作为一个项目来执行。
本标准所描述的过程旨在为实施GB/T 22080-2008提供支持;第4章、第5章和第7章所包含的
相关部分和文件可用于:
a) 准备启动组织的ISMS实施计划、定义该项目的组织结构,及获得管理者的批准;
b) 该ISMS项目的关键活动;
c) 实现GB/T 22080-2008要求的示例。
通过使用本标准,组织将能够制定信息安全管理的过程,并向利益相关方保证,信息资产的风险可
持续保持在组织定义的可接受的信息安全边界内。
本标准不涉及运行活动和其他ISMS活动,但涉及了如何设计这些活动的概念,这些活动是在开始
运行ISMS后所产生的。这些概念导致了最终的ISMS项目实施计划。ISMS项目的组织特定部分的
实际执行不在本标准范围内。
ISMS项目的实施宜使用标准的项目管理方法学来执行(更多信息请参见ISO 和ISO/IEC 有关项
目管理的标准)。
信息技术 安全技术
信息安全管理体系实施指南
1 范围
本标准依据GB/T 22080-2008,关注设计和实施一个成功的信息安全管理体系(ISMS)所需要的
关键方面。本标准描述了ISMS规范及其设计的过程,从开始到产生实施计划。本标准为实施ISMS
描述了获得管理者批准的过程,为实施ISMS定义了一个项目(本标准称作ISMS项目),并就如何规划
该ISMS项目提供了相应的指导,产生最终的ISMS项目实施计划。
本标准可供实施一个ISMS的组织使用,适用于各种规模和类型的组织(例如,商业企业、政府机
构、非赢利组织)。每个组织的复杂性和风险都是独特的,并且其特定的要求将驱动ISMS的实施。小
型组织将发现,本标准中所提及的活动可适用于他们,并可进行简化。大型组织或复杂的组织可能会发
现,为了有效地管理本标准中的活动,需要层次化的组织架构或管理体系。然而,无论是大型组织还是
小型组织,都可应用本标准来规划相关的活动。
本标准提出了一些建议及其说明,但并没有规定任何要求。期望把本标准与GB/T 22080-2008
和GB/T 22081-2008一起使用,但不期望修改和/或降低GB/T 22080-2008中所规定的要求,或修
改和/或降低GB/T 22081-2008所提供的建议。因此,不宜声称符合这一标准。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版