標準解讀

《GB/T 28450-2020 信息技術(shù) 安全技術(shù) 信息安全管理體系審核指南》與《GB/T 28450-2012 信息安全技術(shù) 信息安全管理體系審核指南》相比,在多個方面進行了更新和完善,主要體現(xiàn)在以下幾個方面:

一、結(jié)構(gòu)和內(nèi)容調(diào)整:新版本標準根據(jù)ISO/IEC導(dǎo)則第1部分附件SL中給出的高階結(jié)構(gòu)(HLS)進行編寫,使得標準更加符合國際標準化組織對于管理體系標準的一致性要求。這種結(jié)構(gòu)調(diào)整有助于提高與其他管理體系標準(如質(zhì)量管理體系、環(huán)境管理體系等)之間的兼容性和整合能力。

二、術(shù)語定義更新:針對信息安全領(lǐng)域內(nèi)出現(xiàn)的新概念和技術(shù)發(fā)展情況,《GB/T 28450-2020》對一些關(guān)鍵術(shù)語進行了修訂或新增,確保了術(shù)語使用的準確性和時效性。例如,“信息資產(chǎn)”、“風(fēng)險處理”等相關(guān)術(shù)語可能得到了更精確地描述。

三、強化風(fēng)險管理:新版標準進一步強調(diào)了風(fēng)險管理在整個ISMS審核過程中的重要性,并提供了更為詳細的風(fēng)險評估方法指導(dǎo)。這包括如何識別潛在威脅、脆弱性分析以及采取適當(dāng)控制措施等內(nèi)容,幫助企業(yè)更好地理解和實施有效的風(fēng)險管理策略。

四、增加數(shù)字化轉(zhuǎn)型相關(guān)內(nèi)容:隨著企業(yè)數(shù)字化轉(zhuǎn)型步伐加快,《GB/T 28450-2020》特別關(guān)注了云計算、大數(shù)據(jù)等新興技術(shù)應(yīng)用給信息安全帶來的挑戰(zhàn),并提出相應(yīng)建議。這部分內(nèi)容旨在幫助組織在享受新技術(shù)帶來便利的同時,也能有效應(yīng)對由此產(chǎn)生的安全問題。

五、加強對外部供方管理的要求:鑒于許多組織依賴外部服務(wù)提供商來支持其業(yè)務(wù)運作,《GB/T 28450-2020》增加了對外部供方的信息安全管理要求,包括合同簽訂前后的盡職調(diào)查、監(jiān)控機制等方面的規(guī)定,以確保供應(yīng)鏈整體的安全性。

六、提升文檔化水平:為了便于理解和執(zhí)行,新版標準還改進了文檔化要求,明確了需要形成文件的信息類型及格式,使整個審核流程更加透明可控。同時,也鼓勵使用電子化手段來管理和維護相關(guān)記錄,提高工作效率。

這些變化反映了當(dāng)前信息安全形勢下對企業(yè)管理水平提出的更高要求,同時也體現(xiàn)了標準制定者對未來發(fā)展趨勢的前瞻性思考。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2020-12-14 頒布
  • 2021-07-01 實施
?正版授權(quán)
GB/T 28450-2020信息技術(shù)安全技術(shù)信息安全管理體系審核指南_第1頁
GB/T 28450-2020信息技術(shù)安全技術(shù)信息安全管理體系審核指南_第2頁
GB/T 28450-2020信息技術(shù)安全技術(shù)信息安全管理體系審核指南_第3頁
GB/T 28450-2020信息技術(shù)安全技術(shù)信息安全管理體系審核指南_第4頁
GB/T 28450-2020信息技術(shù)安全技術(shù)信息安全管理體系審核指南_第5頁
已閱讀5頁,還剩39頁未讀, 繼續(xù)免費閱讀

下載本文檔

免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T28450—2020/ISO/IEC270072017

代替:

GB/T28450—2012

信息技術(shù)安全技術(shù)

信息安全管理體系審核指南

Informationtechnology—Securitytechniques—Guidelinesfor

informationsecuritymanagementsystemsauditing

(ISO/IEC27007:2017,IDT)

2020-12-14發(fā)布2021-07-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T28450—2020/ISO/IEC270072017

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

審核原則

4…………………1

審核方案的管理

5…………………………1

總則

5.1…………………1

確立審核方案的目標

5.2………………1

建立審核方案

5.3………………………2

實施審核方案

5.4………………………3

監(jiān)視審核方案

5.5………………………4

評審和改進審核方案

5.6………………4

實施審核

6…………………4

總則

6.1…………………4

審核的啟動

6.2…………………………4

審核活動的準備

6.3……………………5

審核活動的實施

6.4……………………5

審核報告的編制和分發(fā)

6.5……………6

審核的完成

6.6…………………………7

審核后續(xù)活動的實施

6.7………………7

審核員的能力和評價

7……………………7

總則

7.1…………………7

確定滿足審核方案需求的審核人員能力

7.2…………7

審核員評價準則的建立

7.3……………8

選擇適當(dāng)?shù)膶徍藛T評價方法

7.4………………………8

進行審核員評價

7.5……………………8

保持并提高審核員能力

7.6……………8

附錄資料性附錄審核實踐指南

A()ISMS………………9

參考文獻

……………………34

GB/T28450—2020/ISO/IEC270072017

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息安全技術(shù)信息安全管理體系審核指南與

GB/T28450—2012《》,GB/T28450—

相比主要技術(shù)性變化如下

2012,:

刪除了特定審核原則的內(nèi)容見年版的

———ISMS(20124.2);

刪除了審核方案管理流程圖見年版的

———(20125.1);

刪除了審核方案內(nèi)容見年版的

———(20125.2.2);

增加了審核方案管理人員能力的內(nèi)容見

———(5.3.2);

增加了審核方案范圍和詳略程度確定的內(nèi)容見

———(5.3.3);

增加了審核方案風(fēng)險識別和評估的內(nèi)容見

———(5.3.4);

修改了審核方案實施的內(nèi)容見年版的

———(5.4,20125.4);

刪除了審核方案記錄的內(nèi)容見年版的

———(20125.5);

刪除了審核組長指定的內(nèi)容見年版的

———(20126.2.1);

刪除了實用幫助信息收集注意事項見年版的

——————(20126.5.4.1);

刪除了審核報告批準的內(nèi)容見年版的

———(20126.6.2);

刪除了能力概念圖見年版的

———(20127.1.1);

刪除了個人素質(zhì)的內(nèi)容見年版的

———(20127.2);

增加了個人行為的內(nèi)容見

———(7.2.2);

刪除了特定及相關(guān)專業(yè)知識和技能的內(nèi)容見年版的

———ISMS(20127.3.3);

增加了管理體系審核員特定領(lǐng)域與專業(yè)知識和技能的內(nèi)容見

———(7.2.3.3);

增加了多領(lǐng)域管理體系審核知識和技能的內(nèi)容見

———(7.2.3.5);

刪除了教育工作經(jīng)歷審核員培訓(xùn)和審核經(jīng)歷的內(nèi)容見年版的

———、、(20127.4);

增加了審核員能力獲得的內(nèi)容見

———(7.2.4);

修改了審核員評價的內(nèi)容見年版的

———(7.3、7.4、7.5,20127.6);

重新組織了附錄的內(nèi)容刪除了原標準的五個附錄增加了附錄審核實踐指南與

———,,A:ISMS,

附錄保持一致

ISO/IEC27007:2017A。

本標準使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系審核指

ISO/IEC27007:2017《

》。

與本標準中規(guī)范性引用的國際文件有一致性對應(yīng)關(guān)系的我國文件如下

:

管理體系審核指南

———GB/T19011—2013(ISO19011:2011,IDT)

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2016(ISO/IEC27001:

2013,IDT)

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2017(ISO/IEC27000:

2016,IDT)

本標準做了下列編輯性修改

:

在引言中對本標準中涉及的部分術(shù)語和定義與其他標準相關(guān)內(nèi)容的關(guān)系進行了說明

———,;

在參考文獻中增加了國際文件

———ISO/IEC27017。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

GB/T28450—2020/ISO/IEC270072017

:

本標準起草單位北京時代新威信息技術(shù)有限公司中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心中國電子

:、、

技術(shù)標準化研究院全國組織機構(gòu)統(tǒng)一社會信用代碼數(shù)據(jù)服務(wù)中心

、。

本標準主要起草人王新杰王連強張劍上官曉麗孫鎮(zhèn)趙捷鄭瑋陳劍博郭樂宇汪洋曹宇

:、、、、、、、、、、、

程瑜琦王姣孫泰李晟飛

、、、。

本標準所代替標準的歷次版本發(fā)布情況為

:

———GB/T28450—2012。

GB/T28450—2020/ISO/IEC270072017

:

引言

本標準提供了下列指南

:

信息安全管理體系審核方案的管理

———(ISMS);

遵循實施內(nèi)部和外部審核

———GB/T22080—2016;

審核員的能力和評價

———ISMS。

本標準宜與中包含的指南一起使用

GB/T19011—2013。

本標準遵循的結(jié)構(gòu)審核所需的特定指南用字母進行標識

GB/T19011—2013,ISMSISMS,“IS”。

開展審核時本標準新增的特定指南宜與配合使用用字母

ISMS,ISMSGB/T19011—2013,“IS”

進行標識

”。

提供了關(guān)于審核方案管理管理體系內(nèi)部或外部審核實施以及管理體系審核

GB/T19011—2013、

員能力和評價的指南

本標準未聲明組織規(guī)模要求可適用于所有用戶包括中小型組織

,,。

本標準中涉及的部分術(shù)語和定義與其他標準相關(guān)內(nèi)容的關(guān)系說明如下

,;

國際標準中的在中翻譯為程序而在

———“Procedure”,GB/T19011—2013“”,GB/T22080—2016

中翻譯為規(guī)程因本標準同時引用了這兩個標準的原文故本標準中出現(xiàn)該術(shù)語的地方均采

“”,,

用其原標準中的定義

;

國際標準中的在中翻譯為實施而在

———“Implement”,GB/T19011—2013“”,GB/T22080—2016

中翻譯為實現(xiàn)因本標準同時引用了這兩個標準的原文故本標準中出現(xiàn)該術(shù)語的地方均采

“”,,

用其原標準中的定義

;

國際標準中的在中翻譯為保持而在

———“Maintain”,GB/T19011—2013“”,GB/T22080—2016

中翻譯為維護因本標準同時引用了這兩個標準的原文故本標準中出現(xiàn)該術(shù)語的地方均采

“”,,

用其原標準中的定義

;

國際標準中的在中翻譯為文檔化信息而

———“Documentedinformation”,GB/T29246—2017“”,

在中翻譯為文件化信息因本標準引用了的原文

GB/T22080—2016“”,GB/T22080—2016,

故本標準中出現(xiàn)該術(shù)語的地方均采用中的定義

GB/T22080—2016;

國際標準中的在中翻譯為語境而在中

———“Context”,GB/T29246—2017“”,GB/T22080—2016

翻譯為環(huán)境因本標準引用了的原文故本標準中出現(xiàn)該術(shù)語的地方均

“”,GB/T22080—2016,

采用中的定義

GB/T22080—2016;

國際標準中的在中翻譯為持續(xù)性而在

———“Continuity”,GB/T29246—2017“”,GB/T22080—

中翻譯為連續(xù)性因本標準引用了的原文故本標準中出現(xiàn)該術(shù)

2016“”,GB/T22080—2016,

語的地方均采用中的定義

GB/T22080—2016。

GB/T28450—2020/ISO/IEC270072017

:

信息技術(shù)安全技術(shù)

信息安全管理體系審核指南

1范圍

本標準在的基礎(chǔ)上為信息安全管理體系以下簡稱審核方案管理和審

GB/T19011—2013,(ISMS)

核實施提供了指南并對審核員能力提供了評價指南

,ISMS。

本標準適用于需要理解或?qū)嵤┑膬?nèi)部或外部審核或需要管理審核方案的所有組織

ISMS,ISMS。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評論

0/150

提交評論