標(biāo)準(zhǔn)解讀

《GB/T 31496-2023 信息技術(shù) 安全技術(shù) 信息安全管理體系 指南》與《GB/T 31496-2015 信息技術(shù) 安全技術(shù) 信息安全管理體系實(shí)施指南》相比,在內(nèi)容和結(jié)構(gòu)上進(jìn)行了調(diào)整,以更好地適應(yīng)當(dāng)前的信息安全管理環(huán)境和技術(shù)發(fā)展需求。主要變更包括但不限于以下幾個(gè)方面:

  1. 標(biāo)準(zhǔn)名稱變化:從“實(shí)施指南”改為“指南”,反映了新版本更加注重為組織提供一個(gè)全面的安全管理框架指導(dǎo),而不僅僅是實(shí)施層面的建議。

  2. 更新了術(shù)語(yǔ)定義:隨著信息安全領(lǐng)域的發(fā)展,一些新的概念和技術(shù)被引入或重新定義,因此新版標(biāo)準(zhǔn)對(duì)相關(guān)術(shù)語(yǔ)進(jìn)行了修訂,確保其準(zhǔn)確性和時(shí)效性。

  3. 強(qiáng)化風(fēng)險(xiǎn)管理過(guò)程:針對(duì)日益復(fù)雜多變的安全威脅,新版標(biāo)準(zhǔn)加強(qiáng)了對(duì)風(fēng)險(xiǎn)評(píng)估、處理及監(jiān)控的要求,幫助企業(yè)更有效地識(shí)別潛在風(fēng)險(xiǎn),并采取適當(dāng)措施加以控制。

  4. 增加了隱私保護(hù)相關(guān)內(nèi)容:鑒于近年來(lái)個(gè)人數(shù)據(jù)泄露事件頻發(fā)以及全球范圍內(nèi)對(duì)于個(gè)人信息保護(hù)法律法規(guī)的不斷出臺(tái)和完善,《GB/T 31496-2023》特別強(qiáng)調(diào)了在建立ISMS時(shí)需要考慮的數(shù)據(jù)主體權(quán)利和個(gè)人信息保護(hù)要求。

  5. 改進(jìn)了文檔化信息管理:考慮到數(shù)字化轉(zhuǎn)型背景下企業(yè)運(yùn)營(yíng)模式的變化,新版標(biāo)準(zhǔn)對(duì)如何有效管理和保護(hù)電子形式存在的文檔化信息提出了更為具體的操作指南。

  6. 增強(qiáng)了持續(xù)改進(jìn)機(jī)制:為了保證信息安全管理體系能夠隨著內(nèi)外部環(huán)境的變化而不斷優(yōu)化升級(jí),《GB/T 31496-2023》進(jìn)一步明確了持續(xù)改進(jìn)流程的重要性,并給出了具體的實(shí)施步驟。

  7. 提高了與其他管理體系標(biāo)準(zhǔn)的一致性:通過(guò)采用ISO/IEC Directives Part 1中的高級(jí)結(jié)構(gòu)(HLS),使得該標(biāo)準(zhǔn)更容易與其他基于HLS的質(zhì)量管理體系、環(huán)境管理體系等進(jìn)行整合,從而促進(jìn)組織內(nèi)部不同管理體系之間的協(xié)調(diào)運(yùn)作。

這些變動(dòng)體現(xiàn)了中國(guó)國(guó)家標(biāo)準(zhǔn)體系緊跟國(guó)際趨勢(shì),致力于提升國(guó)內(nèi)企事業(yè)單位信息安全管理水平的努力方向。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2023-05-23 頒布
  • 2023-12-01 實(shí)施
?正版授權(quán)
GB/T 31496-2023信息技術(shù)安全技術(shù)信息安全管理體系指南_第1頁(yè)
GB/T 31496-2023信息技術(shù)安全技術(shù)信息安全管理體系指南_第2頁(yè)
GB/T 31496-2023信息技術(shù)安全技術(shù)信息安全管理體系指南_第3頁(yè)
GB/T 31496-2023信息技術(shù)安全技術(shù)信息安全管理體系指南_第4頁(yè)
GB/T 31496-2023信息技術(shù)安全技術(shù)信息安全管理體系指南_第5頁(yè)
已閱讀5頁(yè),還剩39頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 31496-2023信息技術(shù)安全技術(shù)信息安全管理體系指南-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31496—2023/ISO/IEC270032017

:

代替GB/T31496—2015

信息技術(shù)安全技術(shù)

信息安全管理體系指南

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystems—Guidance

ISO/IEC270032017IDT

(:,)

2023-05-23發(fā)布2023-12-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31496—2023/ISO/IEC270032017

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

組織語(yǔ)境

4…………………1

理解組織及其語(yǔ)境

4.1…………………1

理解利益相關(guān)方的需求和期望

4.2……………………3

確定信息安全管理體系范圍

4.3………………………4

信息安全管理體系

4.4…………………5

領(lǐng)導(dǎo)

5………………………5

領(lǐng)導(dǎo)和承諾

5.1…………………………5

方針

5.2…………………6

組織的角色責(zé)任和權(quán)限

5.3、……………7

規(guī)劃

6………………………8

應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施

6.1……………8

信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃

6.2………………………14

支持

7………………………16

資源

7.1…………………16

勝任力

7.2………………17

意識(shí)

7.3…………………17

溝通

7.4…………………18

文件化信息

7.5…………………………19

運(yùn)行

8………………………22

運(yùn)行規(guī)劃和控制

8.1……………………22

信息安全風(fēng)險(xiǎn)評(píng)估

8.2…………………23

信息安全風(fēng)險(xiǎn)處置

8.3…………………23

績(jī)效評(píng)價(jià)

9…………………24

監(jiān)視測(cè)量分析和評(píng)價(jià)

9.1、、……………24

內(nèi)部審核

9.2……………25

管理評(píng)審

9.3……………27

改進(jìn)

10……………………28

不符合項(xiàng)及糾正措施

10.1……………28

GB/T31496—2023/ISO/IEC270032017

:

持續(xù)改進(jìn)

10.2…………………………30

附錄資料性策略框架

A()………………32

參考文獻(xiàn)

……………………34

GB/T31496—2023/ISO/IEC270032017

:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南與

GB/T31496—2015《》,

相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

GB/T31496—2015,,:

更改了范圍按照的要求進(jìn)行解釋并提供指南

———,GB/T22080—2016;

上一版采用了項(xiàng)目的方法每個(gè)項(xiàng)目包含一系列活動(dòng)在修訂版中不再采用項(xiàng)目的方法而是

———,。,

提供了針對(duì)每個(gè)要求的指南不需要考慮這些要求的實(shí)現(xiàn)順序

,。

本文件等同采用信息技術(shù)安全技術(shù)信息安全管理體系指南

ISO/IEC27003:2017《》。

本文件做了下列最小限度的編輯性改動(dòng)

:

增加了的注

———4.2。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心中國(guó)合格評(píng)定

:、、

國(guó)家認(rèn)可中心杭州安恒信息技術(shù)股份有限公司中國(guó)石油天然氣股份有限公司長(zhǎng)慶石化分公司騰訊

、、、

云計(jì)算北京有限責(zé)任公司中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司上海三零衛(wèi)士信息安全有限公司北京

()、、、

賽西認(rèn)證有限責(zé)任公司西安電子科技大學(xué)黑龍江省網(wǎng)絡(luò)空間研究中心北京信息安全測(cè)評(píng)中心中國(guó)

、、、、

科學(xué)院軟件研究所重慶郵電大學(xué)安徽科技學(xué)院北京神州綠盟科技有限公司中通服咨詢?cè)O(shè)計(jì)研究院

、、、、

有限公司北京中科微瀾科技有限公司

、。

本文件主要起草人王惠蒞上官曉麗許玉娜付志高任澤君尤其周亞超趙麗華范博

:、、、、、、、、、

閔京華張東舉馬文平干露李媛方舟張立武梁偉黃永洪張恒曹浩尹曉鵬宋雪高麗芬

、、、、、、、、、、、、、、

陳洪楊牧天裴心平

、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2015GB/T31496—2015;

本次為第一次修訂

———。

GB/T31496—2023/ISO/IEC270032017

:

引言

本文件提供了關(guān)于中規(guī)定的信息安全管理體系要求的指南并提供了與之相

GB/T22080(ISMS),

關(guān)的建議宜可能性可能和允許可本文件的目的不是提供信息安全的所有方面的一般

(“”)、(“”)(“”)。

指南

本文件第章第章反映了的結(jié)構(gòu)

4~10GB/T22080—2016。

本文件沒(méi)有增加對(duì)的任何新要求及其相關(guān)術(shù)語(yǔ)和定義組織宜參照的要求和

ISMS。GB/T22080

的定義實(shí)施的組織沒(méi)有義務(wù)遵守本文件中的指南

GB/T29246。ISMS。

強(qiáng)調(diào)了以下幾個(gè)階段的重要性

ISMS:

理解組織的需求及建立信息安全方針和信息安全目標(biāo)的必要性

———;

評(píng)估組織與信息安全相關(guān)的風(fēng)險(xiǎn)

———;

實(shí)施和運(yùn)行信息安全過(guò)程控制和其他風(fēng)險(xiǎn)處理措施

———、;

監(jiān)視和評(píng)審的績(jī)效和有效性

———ISMS;

進(jìn)行持續(xù)改進(jìn)

———。

與其他類型的管理體系相似包括以下關(guān)鍵組成要素

,ISMS。

方針

a)。

有明確責(zé)任的人員

b)。

相關(guān)的管理過(guò)程

c):

方針建立

1);

意識(shí)和能力的提供

2);

規(guī)劃

3);

實(shí)現(xiàn)

4);

運(yùn)行

5);

績(jī)效評(píng)估

6);

管理評(píng)審

7);

改進(jìn)

8)。

文件化信息

d)。

還有其他關(guān)鍵組成要素諸如

ISMS,:

信息安全風(fēng)險(xiǎn)評(píng)估

e);

信息安全風(fēng)險(xiǎn)處置包括控制的確定和實(shí)現(xiàn)

f),。

本文件是通用的旨在適用于所有組織無(wú)論其類型規(guī)?;蛐再|(zhì)組織宜根據(jù)其特定的組織環(huán)境

,,、。

識(shí)別本文件對(duì)其適用的部分見中第章

(GB/T22080—20164)。

例如一些指南可能更適合大型組織但對(duì)于非常小的組織例如少于人這些指南中的一些內(nèi)

,,(10),

容可能是不必要的或不適合的

第章第章的描述結(jié)構(gòu)如下

4~10:

所需活動(dòng)提出相應(yīng)條款所要求的關(guān)鍵活動(dòng)

———:GB/T22080;

解釋解釋要求的含義

———:GB/T22080;

指南提供更詳細(xì)或支持性的信息來(lái)實(shí)現(xiàn)所要求活動(dòng)包括實(shí)施的示例

———:“”,;

其他信息提供了可能進(jìn)一步考慮的信息

———:。

和形成了一套文件支持并提供指

GB/T31496、GB/T31497GB/T31722,GB/T22080—2016

GB/T31496—2023/ISO/IEC270032017

:

南其中是對(duì)的所有要求提供指南的一個(gè)基本的和全面的文件但其沒(méi)有

。,GB/T31496GB/T22080,

關(guān)于監(jiān)視測(cè)量分析和評(píng)價(jià)和信息安全風(fēng)險(xiǎn)管理的詳細(xì)描述和側(cè)重于

“、、”。GB/T31497GB/T31722

特定內(nèi)容并分別對(duì)監(jiān)視測(cè)量分析和評(píng)價(jià)和信息安全風(fēng)險(xiǎn)管理提供了更詳細(xì)的指南

,“、、”。

在中有多處明確地提及了文件化信息盡管如此組織仍可能確定持有對(duì)其管理體

GB/T22080。,

系有效性所需的附加文件化信息并作為響應(yīng)中的部分在這些情況

,GB/T22080—20167.5.1b)。

下本文件使用僅在組織確定對(duì)其管理體系有效性所需的形式和范圍內(nèi)有關(guān)該活動(dòng)及其結(jié)果的文件

,“,

化信息是強(qiáng)制性的見中的表述

[GB/T22080—20167.5.1b)]”。

GB/T31496—2023/ISO/IEC270032017

:

信息技術(shù)安全技術(shù)

信息安全管理體系指南

1范圍

本文件為提供了解釋說(shuō)明和指南

GB/T22080—2016。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2016(ISO/IEC27001:2013,

IDT)

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

最新文檔

評(píng)論

0/150

提交評(píng)論