GB/T 31496-2015信息技術(shù)安全技術(shù)信息安全管理體系實施指南

ICS35040

L80.

中華人民共和國國家標準

GB/T31496—2015/ISO/IEC270032010

:

信息技術(shù)安全技術(shù)

信息安全管理體系實施指南

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystemimplementationguidance

(ISO/IEC27003:2010,IDT)

2015-05-15發(fā)布2016-01-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

中華人民共和國

國家標準

信息技術(shù)安全技術(shù)

信息安全管理體系實施指南

GB/T31496—2015/ISO/IEC27003:2010

*

中國標準出版社出版發(fā)行

北京市朝陽區(qū)和平里西街甲號

2(100029)

北京市西城區(qū)三里河北街號

16(100045)

網(wǎng)址

:

服務(wù)熱線

:400-168-0010

年月第一版

20156

*

書號

:155066·1-51118

版權(quán)專有侵權(quán)必究

GB/T31496—2015/ISO/IEC270032010

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

本標準的結(jié)構(gòu)

4……………1

章條的總結(jié)構(gòu)

4.1………………………1

每章的一般結(jié)構(gòu)

4.2……………………2

圖表

4.3…………………3

獲得管理者對啟動項目的批準

5ISMS…………………4

獲得管理者對啟動項目的批準的概要

5.1ISMS……………………4

闡明組織開發(fā)的優(yōu)先級

5.2ISMS……………………5

定義初步的范圍

5.3ISMS……………7

制定初步的范圍

5.3.1ISMS…………7

定義初步的范圍內(nèi)的角色和責(zé)任

5.3.2ISMS………8

為了管理者的批準而創(chuàng)建業(yè)務(wù)案例和項目計劃

5.4…………………8

定義范圍邊界和方針策略

6ISMS、ISMS……………10

定義范圍邊界和方針策略的概述

6.1ISMS、ISMS………………10

定義組織的范圍和邊界

6.2……………11

定義信息通信技術(shù)的范圍和邊界

6.3(ICT)…………12

定義物理范圍和邊界

6.4………………13

集成每一個范圍和邊界以獲得的范圍和邊界

6.5ISMS……………14

制定方針策略和獲得管理者的批準

6.6ISMS………14

進行信息安全要求分析

7…………………15

進行信息安全要求分析的概述

7.1……………………15

定義過程的信息安全要求

7.2ISMS…………………17

標識范圍內(nèi)的資產(chǎn)

7.3ISMS…………17

進行信息安全評估

7.4…………………18

進行風(fēng)險評估和規(guī)劃風(fēng)險處置

8…………19

進行風(fēng)險評估和規(guī)劃風(fēng)險處置的概述

8.1……………19

進行風(fēng)險評估

8.2………………………21

選擇控制目標和控制措施

8.3…………21

獲得管理者對實施和運行的授權(quán)

8.4ISMS…………22

設(shè)計

9ISMS………………23

設(shè)計的概述

9.1ISMS…………………23

設(shè)計組織的信息安全

9.2………………25

Ⅰ

GB/T31496—2015/ISO/IEC270032010

:

設(shè)計信息安全的最終組織結(jié)構(gòu)

9.2.1………………25

設(shè)計的文件框架

9.2.2ISMS………………………26

設(shè)計信息安全方針策略

9.2.3………………………27

制定信息安全標準和規(guī)程

9.2.4……………………28

設(shè)計安全和物理信息安全

9.3ICT…………………29

設(shè)計特定的信息安全

9.4ISMS………………………31

管理評審的計劃

9.4.1………………31

設(shè)計信息安全意識培訓(xùn)和教育方案

9.4.2、………32

產(chǎn)生最終的項目計劃

9.5ISMS………………………33

附錄資料性附錄檢查表的描述

A()……………………34

附錄資料性附錄信息安全的角色和責(zé)任

B()…………37

附錄資料性附錄有關(guān)內(nèi)部審核的信息

C()……………40

附錄資料性附錄方針策略的結(jié)構(gòu)

D()…………………41

附錄資料性附錄監(jiān)視和測量

E()………………………45

參考文獻

……………………49

Ⅱ

GB/T31496—2015/ISO/IEC270032010

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系實施

ISO/IEC27003:2010《

指南

》。

本標準做了以下編輯性修改

:

在引言部分增加了有關(guān)信息安全管理體系標準族情況的介紹

———。

本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術(shù)標準化研究院上海三零衛(wèi)士信息安全有限公司山東省計算中心

:、、、

黑龍江省電子信息產(chǎn)品監(jiān)督檢驗院北京信息安全測評中心中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司

、、。

本標準主要起草人上官曉麗許玉娜董火民閔京華趙章界周鳴樂方舟李剛

:、、、、、、、。

Ⅲ

GB/T31496—2015/ISO/IEC270032010

:

引言

信息安全管理體系標準族簡稱標準族是國際

(InformationSecurityManagementSystem,ISMS)

信息安全技術(shù)標準化組織制定的信息安全管理體系系列國際標準標準

(ISO/IECJTC1SC27)。ISMS

族旨在幫助各種類型和規(guī)模的組織開發(fā)和實施管理其信息資產(chǎn)安全的框架并為保護組織信息諸如

,,(,

財務(wù)信息知識產(chǎn)權(quán)員工詳細資料或者受客戶或第三方委托的信息的的獨立評估做準備

、、,)ISMS。

標準族包括的標準定義了的要求及其認證機構(gòu)的要求提供了對整個規(guī)劃實施檢

ISMS:a)ISMS;b)“--

查處置過程和要求的直接支持詳細指南和或解釋闡述了特定行業(yè)的指南闡

-”(PDCA)、();c)ISMS;d)

述了的一致性評估

ISMS。

目前標準族由下列標準組成

,ISMS:

信息技術(shù)安全技術(shù)信息安全管理體系概述

———GB/T29246—2012/ISO/IEC27000:2009

和詞匯

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2008/ISO/IEC27001:2005

信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則

———GB/T22081—2008/ISO/IEC27002:2005

信息技術(shù)安全技術(shù)信息安全管理體系實施

———GB/T31496—2015/ISO/IEC27003:2010

指南

信息技術(shù)安全技術(shù)信息安全管理測量

———GB/T31497—2015/ISO/IEC27004:2009

信息技術(shù)安全技術(shù)信息安全風(fēng)險管理

———GB/T31722—2015/ISO/IEC27005:2008

信息技術(shù)安全技術(shù)信息安全管理體系審核認

———GB/T25067—2010/ISO/IEC27006:2007

證機構(gòu)的要求

信息技術(shù)安全技術(shù)信息安全管理體系審核指南

———ISO/IEC27007

信息技術(shù)安全技術(shù)基于的電信行業(yè)組織的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

信息技術(shù)安全技術(shù)和集成實施指南

———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1

信息技術(shù)安全技術(shù)信息安全治理

———ISO/IEC27014:2013

信息技術(shù)安全技術(shù)金融服務(wù)信息安全管理指南

———ISO/IECTR27015:2012

本標準作為標準族之一其目的是為組織按照制定信息安全管理體系

ISMS,GB/T22080—2008

的實施計劃提供實用指導(dǎo)實際情況下的實施通常作為一個項目來執(zhí)行

(ISMS),。,ISMS。

本標準所描述的過程旨在為實施提供支持第章第章和第章所包含的

GB/T22080—2008;4、57

相關(guān)部分和文件可用于

:

準備啟動組織的實施計劃定義該項目的組織結(jié)構(gòu)及獲得管理者的批準

a)ISMS、,;

該項目的關(guān)鍵活動

b)ISMS;

實現(xiàn)要求的示例

c)GB/T22080—2008。

通過使用本標準組織將能夠制定信息安全管理的過程并向利益相關(guān)方保證信息資產(chǎn)的風(fēng)險可

,,,

持續(xù)保持在組織定義的可接受的信息安全邊界內(nèi)

。

本標準不涉及運行活動和其他活動但涉及了如何設(shè)計這些活動的概念這些活動是在開始

ISMS,,

運行后所產(chǎn)生的這些概念導(dǎo)致了最終的項目實施計劃項目的組織特定部分的

ISMS。ISMS。ISMS

實際執(zhí)行不在本標準范圍內(nèi)

。

項目的實施宜使用標準的項目管理方法學(xué)來執(zhí)行更多信息請參見和有關(guān)項

ISMS(ISOISO/IEC

目管理的標準

)。

Ⅳ

GB/T31496—2015/ISO/IEC270032010

:

信息技術(shù)安全技術(shù)

信息安全管理體系實施指南

1范圍

本標準依據(jù)關(guān)注設(shè)計和實施一個成功的信息安全管理體系所需要的

GB/T22080—2008,(ISMS)

關(guān)鍵方面本標準描述了規(guī)范及其設(shè)計的過程從開始到產(chǎn)生實施計劃本標準為實施

。ISMS,。ISMS

描述了獲得管理者批準的過程為實施定義了一個項目本標準稱作項目并就如何規(guī)劃

,ISMS(ISMS),

該項目提供了相應(yīng)的指導(dǎo)產(chǎn)生最終的項目實施計劃

ISMS,ISMS。

本標準可供實施一個的組織使用適用于各種規(guī)模和類型的組織例如商業(yè)企業(yè)政府機

ISMS,(,、

構(gòu)非贏利組織每個組織的復(fù)雜性和風(fēng)險都是獨特的并且其特定的要求將驅(qū)動的實施小

、)。,ISMS。

型組織將發(fā)現(xiàn)本標準中所提及的活動可適用于他們并可進行簡化大型組織或復(fù)雜的組織可能會發(fā)

,,。

現(xiàn)為了有效地管理本標準中的活動需要層次化的組織架構(gòu)或管理體系然而無論是大型組織還是

,,。,

小型組織都可應(yīng)用本標準來規(guī)劃相關(guān)的活動

,