GB/T 28450-2020信息技術(shù)安全技術(shù)信息安全管理體系審核指南

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T28450—2020/ISO/IEC270072017

代替:

GB/T28450—2012

信息技術(shù)安全技術(shù)

信息安全管理體系審核指南

Informationtechnology—Securitytechniques—Guidelinesfor

informationsecuritymanagementsystemsauditing

(ISO/IEC27007:2017,IDT)

2020-12-14發(fā)布2021-07-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T28450—2020/ISO/IEC270072017

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

審核原則

4…………………1

審核方案的管理

5…………………………1

總則

5.1…………………1

確立審核方案的目標(biāo)

5.2………………1

建立審核方案

5.3………………………2

實(shí)施審核方案

5.4………………………3

監(jiān)視審核方案

5.5………………………4

評(píng)審和改進(jìn)審核方案

5.6………………4

實(shí)施審核

6…………………4

總則

6.1…………………4

審核的啟動(dòng)

6.2…………………………4

審核活動(dòng)的準(zhǔn)備

6.3……………………5

審核活動(dòng)的實(shí)施

6.4……………………5

審核報(bào)告的編制和分發(fā)

6.5……………6

審核的完成

6.6…………………………7

審核后續(xù)活動(dòng)的實(shí)施

6.7………………7

審核員的能力和評(píng)價(jià)

7……………………7

總則

7.1…………………7

確定滿足審核方案需求的審核人員能力

7.2…………7

審核員評(píng)價(jià)準(zhǔn)則的建立

7.3……………8

選擇適當(dāng)?shù)膶徍藛T評(píng)價(jià)方法

7.4………………………8

進(jìn)行審核員評(píng)價(jià)

7.5……………………8

保持并提高審核員能力

7.6……………8

附錄資料性附錄審核實(shí)踐指南

A()ISMS………………9

參考文獻(xiàn)

……………………34

Ⅰ

GB/T28450—2020/ISO/IEC270072017

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息安全管理體系審核指南與

GB/T28450—2012《》,GB/T28450—

相比主要技術(shù)性變化如下

2012,:

刪除了特定審核原則的內(nèi)容見年版的

———ISMS(20124.2);

刪除了審核方案管理流程圖見年版的

———(20125.1);

刪除了審核方案內(nèi)容見年版的

———(20125.2.2);

增加了審核方案管理人員能力的內(nèi)容見

———(5.3.2);

增加了審核方案范圍和詳略程度確定的內(nèi)容見

———(5.3.3);

增加了審核方案風(fēng)險(xiǎn)識(shí)別和評(píng)估的內(nèi)容見

———(5.3.4);

修改了審核方案實(shí)施的內(nèi)容見年版的

———(5.4,20125.4);

刪除了審核方案記錄的內(nèi)容見年版的

———(20125.5);

刪除了審核組長(zhǎng)指定的內(nèi)容見年版的

———(20126.2.1);

刪除了實(shí)用幫助信息收集注意事項(xiàng)見年版的

——————(20126.5.4.1);

刪除了審核報(bào)告批準(zhǔn)的內(nèi)容見年版的

———(20126.6.2);

刪除了能力概念圖見年版的

———(20127.1.1);

刪除了個(gè)人素質(zhì)的內(nèi)容見年版的

———(20127.2);

增加了個(gè)人行為的內(nèi)容見

———(7.2.2);

刪除了特定及相關(guān)專業(yè)知識(shí)和技能的內(nèi)容見年版的

———ISMS(20127.3.3);

增加了管理體系審核員特定領(lǐng)域與專業(yè)知識(shí)和技能的內(nèi)容見

———(7.2.3.3);

增加了多領(lǐng)域管理體系審核知識(shí)和技能的內(nèi)容見

———(7.2.3.5);

刪除了教育工作經(jīng)歷審核員培訓(xùn)和審核經(jīng)歷的內(nèi)容見年版的

———、、(20127.4);

增加了審核員能力獲得的內(nèi)容見

———(7.2.4);

修改了審核員評(píng)價(jià)的內(nèi)容見年版的

———(7.3、7.4、7.5,20127.6);

重新組織了附錄的內(nèi)容刪除了原標(biāo)準(zhǔn)的五個(gè)附錄增加了附錄審核實(shí)踐指南與

———,,A:ISMS,

附錄保持一致

ISO/IEC27007:2017A。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系審核指

ISO/IEC27007:2017《

南

》。

與本標(biāo)準(zhǔn)中規(guī)范性引用的國(guó)際文件有一致性對(duì)應(yīng)關(guān)系的我國(guó)文件如下

:

管理體系審核指南

———GB/T19011—2013(ISO19011:2011,IDT)

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2016(ISO/IEC27001:

2013,IDT)

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2017(ISO/IEC27000:

2016,IDT)

本標(biāo)準(zhǔn)做了下列編輯性修改

:

在引言中對(duì)本標(biāo)準(zhǔn)中涉及的部分術(shù)語(yǔ)和定義與其他標(biāo)準(zhǔn)相關(guān)內(nèi)容的關(guān)系進(jìn)行了說(shuō)明

———,;

在參考文獻(xiàn)中增加了國(guó)際文件

———ISO/IEC27017。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

Ⅲ

GB/T28450—2020/ISO/IEC270072017

:

本標(biāo)準(zhǔn)起草單位北京時(shí)代新威信息技術(shù)有限公司中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心中國(guó)電子

:、、

技術(shù)標(biāo)準(zhǔn)化研究院全國(guó)組織機(jī)構(gòu)統(tǒng)一社會(huì)信用代碼數(shù)據(jù)服務(wù)中心

、。

本標(biāo)準(zhǔn)主要起草人王新杰王連強(qiáng)張劍上官曉麗孫鎮(zhèn)趙捷鄭瑋陳劍博郭樂(lè)宇汪洋曹宇

:、、、、、、、、、、、

程瑜琦王姣孫泰李晟飛

、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T28450—2012。

Ⅳ

GB/T28450—2020/ISO/IEC270072017

:

引言

本標(biāo)準(zhǔn)提供了下列指南

:

信息安全管理體系審核方案的管理

———(ISMS);

遵循實(shí)施內(nèi)部和外部審核

———GB/T22080—2016;

審核員的能力和評(píng)價(jià)

———ISMS。

本標(biāo)準(zhǔn)宜與中包含的指南一起使用

GB/T19011—2013。

本標(biāo)準(zhǔn)遵循的結(jié)構(gòu)審核所需的特定指南用字母進(jìn)行標(biāo)識(shí)

GB/T19011—2013,ISMSISMS,“IS”。

開展審核時(shí)本標(biāo)準(zhǔn)新增的特定指南宜與配合使用用字母

ISMS,ISMSGB/T19011—2013,“IS”

進(jìn)行標(biāo)識(shí)

”。

提供了關(guān)于審核方案管理管理體系內(nèi)部或外部審核實(shí)施以及管理體系審核

GB/T19011—2013、

員能力和評(píng)價(jià)的指南

。

本標(biāo)準(zhǔn)未聲明組織規(guī)模要求可適用于所有用戶包括中小型組織

,,。

本標(biāo)準(zhǔn)中涉及的部分術(shù)語(yǔ)和定義與其他標(biāo)準(zhǔn)相關(guān)內(nèi)容的關(guān)系說(shuō)明如下

,;

國(guó)際標(biāo)準(zhǔn)中的在中翻譯為程序而在

———“Procedure”,GB/T19011—2013“”,GB/T22080—2016

中翻譯為規(guī)程因本標(biāo)準(zhǔn)同時(shí)引用了這兩個(gè)標(biāo)準(zhǔn)的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語(yǔ)的地方均采

“”,,

用其原標(biāo)準(zhǔn)中的定義

;

國(guó)際標(biāo)準(zhǔn)中的在中翻譯為實(shí)施而在

———“Implement”,GB/T19011—2013“”,GB/T22080—2016

中翻譯為實(shí)現(xiàn)因本標(biāo)準(zhǔn)同時(shí)引用了這兩個(gè)標(biāo)準(zhǔn)的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語(yǔ)的地方均采

“”,,

用其原標(biāo)準(zhǔn)中的定義

;

國(guó)際標(biāo)準(zhǔn)中的在中翻譯為保持而在

———“Maintain”,GB/T19011—2013“”,GB/T22080—2016

中翻譯為維護(hù)因本標(biāo)準(zhǔn)同時(shí)引用了這兩個(gè)標(biāo)準(zhǔn)的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語(yǔ)的地方均采

“”,,

用其原標(biāo)準(zhǔn)中的定義

;

國(guó)際標(biāo)準(zhǔn)中的在中翻譯為文檔化信息而

———“Documentedinformation”,GB/T29246—2017“”,

在中翻譯為文件化信息因本標(biāo)準(zhǔn)引用了的原文

GB/T22080—2016“”,GB/T22080—2016,

故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語(yǔ)的地方均采用中的定義

GB/T22080—2016;

國(guó)際標(biāo)準(zhǔn)中的在中翻譯為語(yǔ)境而在中

———“Context”,GB/T29246—2017“”,GB/T22080—2016

翻譯為環(huán)境因本標(biāo)準(zhǔn)引用了的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語(yǔ)的地方均

“”,GB/T22080—2016,

采用中的定義

GB/T22080—2016;

國(guó)際標(biāo)準(zhǔn)中的在中翻譯為持續(xù)性而在

———“Continuity”,GB/T29246—2017“”,GB/T22080—

中翻譯為連續(xù)性因本標(biāo)準(zhǔn)引用了的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)

2016“”,GB/T22080—2016,

語(yǔ)的地方均采用中的定義

GB/T22080—2016。

Ⅴ

GB/T28450—2020/ISO/IEC270072017

:

信息技術(shù)安全技術(shù)

信息安全管理體系審核指南

1范圍

本標(biāo)準(zhǔn)在的基礎(chǔ)上為信息安全管理體系以下簡(jiǎn)稱審核方案管理和審

GB/T19011—2013,(ISMS)

核實(shí)施提供了指南并對(duì)審核員能力提供了評(píng)價(jià)指南

,ISMS。

本標(biāo)準(zhǔn)適用于需要理解或?qū)嵤┑膬?nèi)部或外部審核或需要管理審核方案的所有組織

ISMS,ISMS。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文