信息技術(shù) 安全技術(shù) 信息安全管理 監(jiān)視、測量、分析和評價(jià)-編制說明_第1頁
信息技術(shù) 安全技術(shù) 信息安全管理 監(jiān)視、測量、分析和評價(jià)-編制說明_第2頁
信息技術(shù) 安全技術(shù) 信息安全管理 監(jiān)視、測量、分析和評價(jià)-編制說明_第3頁
信息技術(shù) 安全技術(shù) 信息安全管理 監(jiān)視、測量、分析和評價(jià)-編制說明_第4頁
信息技術(shù) 安全技術(shù) 信息安全管理 監(jiān)視、測量、分析和評價(jià)-編制說明_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

國家標(biāo)準(zhǔn)(征求意見稿)編制說明

一、工作簡況

1任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會2023年下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃,《信息技

術(shù)安全技術(shù)信息安全管理監(jiān)視、測量、分析和評價(jià)》由中國電子技術(shù)標(biāo)準(zhǔn)化

研究院負(fù)責(zé)承辦,計(jì)劃號:20230261-T-469。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)

委員會歸口管理。

2主要起草單位和工作組成員

本項(xiàng)目由中國電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭,參與起草單位包括中國合格評

定國家認(rèn)可中心、北京賽西認(rèn)證有限責(zé)任公司、杭州安恒信息技術(shù)股份有限公司、

北京郵電大學(xué)、上海三零衛(wèi)士信息安全有限公司、山東道普測評技術(shù)有限公司、

中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、華為技術(shù)有限公司、中國科學(xué)院信息工程研究

所、西安電子科技大學(xué)、重慶郵電大學(xué)、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國

家信息安全工業(yè)發(fā)展研究中心、北京中關(guān)村實(shí)驗(yàn)室、上海觀安信息技術(shù)股份有限

公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中

心、公安部第三研究所、山東正中信息技術(shù)股份有限公司、啟明星辰信息技術(shù)集

團(tuán)股份有限公司、西安交大捷普網(wǎng)絡(luò)技術(shù)有限公司、國網(wǎng)新疆電力有限公司電力

科學(xué)研究院、廣東省信息安全測評中心、長揚(yáng)科技(北京)有限公司等。

主要起草人中,上官曉麗、王惠蒞負(fù)責(zé)標(biāo)準(zhǔn)總體編制、修改和推進(jìn),付志

高、許玉娜、王東濱、周亞超、趙麗華、閔京華、史文征、張東舉、干露、邵萌、

劉俊榮、謝江、馬文平、黃永洪、魏立茹、陳雪鴻、楊光、張靜、崔牧凡、郭峰、

呂明、陳長松、何建鋒、鄒振婉、葉勁宏、趙華等人負(fù)責(zé)標(biāo)準(zhǔn)具體章節(jié)的編寫。

3主要工作過程

標(biāo)準(zhǔn)制定的主要工作過程如下:

1)立項(xiàng)申請

2020年11月至2021年4月,標(biāo)準(zhǔn)編制團(tuán)隊(duì)啟動標(biāo)準(zhǔn)修訂工作。編制組

1

國家標(biāo)準(zhǔn)(征求意見稿)編制說明

對國內(nèi)實(shí)施信息安全管理體系的機(jī)構(gòu)的現(xiàn)狀進(jìn)行調(diào)研,收集國內(nèi)外相關(guān)領(lǐng)域的文

件資料,跟蹤研究國內(nèi)行業(yè)對信息安全管理體系實(shí)施標(biāo)準(zhǔn)的要求以及相關(guān)文件,

并初步翻譯形成標(biāo)準(zhǔn)草案。按照信安標(biāo)委2021年國家標(biāo)準(zhǔn)項(xiàng)目申報(bào)要求提交了

2021年立項(xiàng)國家標(biāo)準(zhǔn)制定項(xiàng)目立項(xiàng)申請。

2021年5月,標(biāo)準(zhǔn)編制組在信安標(biāo)委WG7會議周上進(jìn)行立項(xiàng)匯報(bào)并通

過。會后,根據(jù)工作組成員單位專家意見組織編制組討論并繼續(xù)完善草案內(nèi)容。

2)草案完善

2021年8月,根據(jù)《全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會關(guān)于2021年網(wǎng)絡(luò)安

全標(biāo)準(zhǔn)項(xiàng)目立項(xiàng)的通知》(信安字[2021]14號)發(fā)布的通知,本標(biāo)準(zhǔn)正式獲批

為2021年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定項(xiàng)目。

2021年8月至10月,征集標(biāo)準(zhǔn)編制單位,共收集21家單位提交的申請材

料并對申請的參編單位進(jìn)行了遴選。同期征求責(zé)任專家意見,并進(jìn)行了修改。10

月下旬召開標(biāo)準(zhǔn)編制啟動會,11月初召開編制組工作會,對標(biāo)準(zhǔn)草案進(jìn)行進(jìn)一

步修改完善。11月中旬,標(biāo)準(zhǔn)編制組參加了全國信安標(biāo)委WG7標(biāo)準(zhǔn)周活動,并

在會上匯報(bào)了標(biāo)準(zhǔn)內(nèi)容和進(jìn)展,經(jīng)投票建議轉(zhuǎn)為征求意見稿。

3)形成征求意見稿

2021年12月至2022年9月,標(biāo)準(zhǔn)編制組進(jìn)一步討論修改后形成征求意見

稿。期間,國際標(biāo)準(zhǔn)化組織ISO/IECJTC1SC27對標(biāo)準(zhǔn)采標(biāo)的ISO/IEC27004:

2016進(jìn)行復(fù)審,并在8月份得出繼續(xù)有效的結(jié)論。

2022年10月上中旬,責(zé)任專家和責(zé)任編輯對標(biāo)準(zhǔn)提出了修改意見,編制組

進(jìn)一步修改完善。2022年10月31日,編制組參加了信安標(biāo)委秘書處組織的專

家審查會,通過審查并根據(jù)專家意見進(jìn)一步修改完善。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1編制原則

本標(biāo)準(zhǔn)為修訂項(xiàng)目,在編制過程中遵循了標(biāo)準(zhǔn)采標(biāo)所采用的信達(dá)雅的原則,

并注重同我國的認(rèn)證實(shí)際相結(jié)合。

2

國家標(biāo)準(zhǔn)(征求意見稿)編制說明

2確定主要內(nèi)容的論據(jù)及解決的主要問題

本標(biāo)準(zhǔn)項(xiàng)目旨在幫助組織評價(jià)信息安全績效和信息安全管理體系的有效

性,以滿足GB/T22080:2016中9.1監(jiān)視、測量、分析和評價(jià)的要求。

信息安全管理體系(ISMS)的監(jiān)視和測量結(jié)果可以為與ISMS的治理、管理、

有效運(yùn)行和持續(xù)改進(jìn)有關(guān)的決策提供支持。

信息安全管理體系標(biāo)準(zhǔn)族(InformationSecurityManagementSystem,簡稱

ISMS)是國際信息安全技術(shù)標(biāo)準(zhǔn)化組織(ISO/IECJTC1SC27)制定的信息安全

管理體系系列國際標(biāo)準(zhǔn)。ISMS已成為世界各國、各種類型、各種規(guī)模的組織解

決信息安全問題的一個(gè)有效方法。ISMS認(rèn)證隨之成為組織向社會及其相關(guān)方證

明其信息安全水平和能力的一種有效途徑。信息安全管理體系理念已被我國廣泛

采用,相關(guān)標(biāo)準(zhǔn)也已被我國采標(biāo)推廣使用,本標(biāo)準(zhǔn)主要在于與我國已采標(biāo)的信息

安全管理體系相關(guān)標(biāo)準(zhǔn)保持一致,并在翻譯過程中注意文字要準(zhǔn)確表達(dá)英文原文

意思。目前ISMS已經(jīng)成為國內(nèi)外各組織加強(qiáng)自身信息安全管理的重要手段,尤

其是隨著云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)新應(yīng)用的發(fā)展,如何指導(dǎo)組織自身

ISMS的建設(shè),尤其是在電力、交通、水利等關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)和領(lǐng)域,也

可指導(dǎo)運(yùn)營者構(gòu)建較為完善的信息安全管理體系。

本標(biāo)準(zhǔn)項(xiàng)目為對GB/T31497—2015《信息技術(shù)安全技術(shù)信息安全管理體

系測量》的修訂項(xiàng)目,等同采用國際標(biāo)準(zhǔn)ISO/IEC27004:2016《信息技術(shù)安

全技術(shù)信息安全管理體系監(jiān)視、測量、分析和評價(jià)》。

ISO/IEC27004為ISO/IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系

要求》的配套標(biāo)準(zhǔn),對其中測量的部分進(jìn)一步細(xì)化。ISO/IEC27001在2013年修

訂后,ISO/IEC27004也隨之修訂,并根據(jù)其9.1的要求進(jìn)行了更新。因此,本

標(biāo)準(zhǔn)項(xiàng)目也需按照ISO/IEC27004的更新對GB/T31497—2015進(jìn)行修訂。標(biāo)準(zhǔn)

作為ISMS標(biāo)準(zhǔn)族中的重要標(biāo)準(zhǔn),在國際國外和國內(nèi)得到廣泛應(yīng)用。

修訂的主要內(nèi)容:

——根據(jù)GB/T22080—2016的9.1修改了本標(biāo)準(zhǔn)的標(biāo)題和范圍;

——根據(jù)GB/T22080—2016的9.1調(diào)整了本標(biāo)準(zhǔn)的結(jié)構(gòu);

——根據(jù)GB/T22080—2016的正文修改了附錄B。

3

國家標(biāo)準(zhǔn)(征求意見稿)編制說明

三、主要試驗(yàn)[或驗(yàn)證]情況分析

本標(biāo)準(zhǔn)為采標(biāo)國際標(biāo)準(zhǔn),未進(jìn)行試點(diǎn)。編制組內(nèi)部編制成員研究驗(yàn)證,最終

形成現(xiàn)行版本。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)不涉及專利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

標(biāo)準(zhǔn)可有利于信息安全管理體系在我國國內(nèi)的進(jìn)一步推廣,有利于提高各種

類型組織的信息安全管理能力。

六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC27004:2016《信息技術(shù)安全技術(shù)信息安

全管理體系監(jiān)視、測量、分析和評價(jià)》。

七、與現(xiàn)行法律法規(guī)、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求,并與現(xiàn)有相關(guān)標(biāo)準(zhǔn)協(xié)調(diào)一致。本標(biāo)準(zhǔn)中引

用的部分標(biāo)準(zhǔn)已被等同采用為國家標(biāo)準(zhǔn),包括:

GB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體系要求

(ISO/IEC27001:2013,IDT)

GB/T28450—2020,信息技術(shù)安全技術(shù)信息安全管理體系審核指南

(ISO/IEC27007:2017)

GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

(ISO/IEC27000:2016,IDT)

GB/T31497—2015信息技術(shù)安全技術(shù)信息安全管理測量(ISO/IEC

4

國家標(biāo)準(zhǔn)(征求意見稿)編制說明

27004:2009)

GB/T31722—2015,信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理(ISO/IEC

27005:2008)

GB/Z32916—2016信息技術(shù)安全技術(shù)信息安全控制措施審核員指南

(ISO/IECTR27008:2011,IDT)

八、重大分歧意見的處理經(jīng)過和依據(jù)

無。

九、標(biāo)準(zhǔn)性質(zhì)的建議

建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。

十、貫徹標(biāo)準(zhǔn)的要求和措施建議

在正式執(zhí)行本標(biāo)準(zhǔn)前,需要對標(biāo)準(zhǔn)中的條款進(jìn)行宣貫,以在利益相關(guān)方之間

達(dá)成對標(biāo)準(zhǔn)條款理解上的一致性。

十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

無。

十二、其他應(yīng)予說明的事項(xiàng)

無。

標(biāo)準(zhǔn)編制組

2023年3月

5

國家標(biāo)準(zhǔn)(征求意見稿)編制說明

一、工作簡況

1任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會2023年下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃,《信息技

術(shù)安全技術(shù)信息安全管理監(jiān)視、測量、分析和評價(jià)》由中國電子技術(shù)標(biāo)準(zhǔn)化

研究院負(fù)責(zé)承辦,計(jì)劃號:20230261-T-469。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)

委員會歸口管理。

2主要起草單位和工作組成員

本項(xiàng)目由中國電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭,參與起草單位包括中國合格評

定國家認(rèn)可中心、北京賽西認(rèn)證有限責(zé)任公司、杭州安恒信息技術(shù)股份有限公司、

北京郵電大學(xué)、上海三零衛(wèi)士信息安全有限公司、山東道普測評技術(shù)有限公司、

中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、華為技術(shù)有限公司、中國科學(xué)院信息工程研究

所、西安電子科技大學(xué)、重慶郵電大學(xué)、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國

家信息安全工業(yè)發(fā)展研究中心、北京中關(guān)村實(shí)驗(yàn)室、上海觀安信息技術(shù)股份有限

公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中

心、公安部第三研究所、山東正中信息技術(shù)股份有限公司、啟明星辰信息技術(shù)集

團(tuán)股份有限公司、西安交大捷普網(wǎng)絡(luò)技術(shù)有限公司、國網(wǎng)新疆電力有限公司電力

科學(xué)研究院、廣東省信息安全測評中心、長揚(yáng)科技(北京)有限公司等。

主要起草人中,上官曉麗、王惠蒞負(fù)責(zé)標(biāo)準(zhǔn)總體編制、修改和推進(jìn),付志

高、許玉娜、王東濱、周亞超、趙麗華、閔京華、史文征、張東舉、干露、邵萌、

劉俊榮、謝江、馬文平、黃永洪、魏立茹、陳雪鴻、楊光、張靜、崔牧凡、郭峰、

呂明、陳長松、何建鋒、鄒振婉、葉勁宏、趙華等人負(fù)責(zé)標(biāo)準(zhǔn)具體章節(jié)的編寫。

3主要工作過程

標(biāo)準(zhǔn)制定的主要工作過程如下:

1)立項(xiàng)申請

2020年11月至2021年4月,標(biāo)準(zhǔn)編制團(tuán)隊(duì)啟動標(biāo)準(zhǔn)修訂工作。編制組

1

國家標(biāo)準(zhǔn)(征求意見稿)編制說明

對國內(nèi)實(shí)施信息安全管理體系的機(jī)構(gòu)的現(xiàn)狀進(jìn)行調(diào)研,收集國內(nèi)外相關(guān)領(lǐng)域的文

件資料,跟蹤研究國內(nèi)行業(yè)對信息安全管理體系實(shí)施標(biāo)準(zhǔn)的要求以及相關(guān)文件,

并初步翻譯形成標(biāo)準(zhǔn)草案。按照信安標(biāo)委2021年國家標(biāo)準(zhǔn)項(xiàng)目申報(bào)要求提交了

2021年立項(xiàng)國家標(biāo)準(zhǔn)制定項(xiàng)目立項(xiàng)申請。

2021年5月,標(biāo)準(zhǔn)編制組在信安標(biāo)委WG7會議周上進(jìn)行立項(xiàng)匯報(bào)并通

過。會后,根據(jù)工作組成員單位專家意見組織編制組討論并繼續(xù)完善草案內(nèi)容。

2)草案完善

2021年8月,根據(jù)《全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會關(guān)于2021年網(wǎng)絡(luò)安

全標(biāo)準(zhǔn)項(xiàng)目立項(xiàng)的通知》(信安字[2021]14號)發(fā)布的通知,本標(biāo)準(zhǔn)正式獲批

為2021年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定項(xiàng)目。

2021年8月至10月,征集標(biāo)準(zhǔn)編制單位,共收集21家單位提交的申請材

料并對申請的參編單位進(jìn)行了遴選。同期征求責(zé)任專家意見,并進(jìn)行了修改。10

月下旬召開標(biāo)準(zhǔn)編制啟動會,11月初召開編制組工作會,對標(biāo)準(zhǔn)草案進(jìn)行進(jìn)一

步修改完善。11月中旬,標(biāo)準(zhǔn)編制組參加了全國信安標(biāo)委WG7標(biāo)準(zhǔn)周活動,并

在會上匯報(bào)了標(biāo)準(zhǔn)內(nèi)容和進(jìn)展,經(jīng)投票建議轉(zhuǎn)為征求意見稿。

3)形成征求意見稿

2021年12月至2022年9月,標(biāo)準(zhǔn)編制組進(jìn)一步討論修改后形成征求意見

稿。期間,國際標(biāo)準(zhǔn)化組織ISO/IECJTC1SC27對標(biāo)準(zhǔn)采標(biāo)的ISO/IEC27004:

2016進(jìn)行復(fù)審,并在8月份得出繼續(xù)有效的結(jié)論。

2022年10月上中旬,責(zé)任專家和責(zé)任編輯對標(biāo)準(zhǔn)提出了修改意見,編制組

進(jìn)一步修改完善。2022年10月31日,編制組參加了信安標(biāo)委秘書處組織的專

家審查會,通過審查并根據(jù)專家意見進(jìn)一步修改完善。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1編制原則

本標(biāo)準(zhǔn)為修訂項(xiàng)目,在編制過程中遵循了標(biāo)準(zhǔn)采標(biāo)所采用的信達(dá)雅的原則,

并注重同我國的認(rèn)證實(shí)際相結(jié)合。

2

國家標(biāo)準(zhǔn)(征求意見稿)編制說明

2確定主要內(nèi)容的論據(jù)及解決的主要問題

本標(biāo)準(zhǔn)項(xiàng)目旨在幫助組織評價(jià)信息安全績效和信息安全管理體系的有效

性,以滿足GB/T22080:2016中9.1監(jiān)視、測量、分析和評價(jià)的要求。

信息安全管理體系(ISMS)的監(jiān)視和測量結(jié)果可以為與ISMS的治理、管理、

有效運(yùn)行和持續(xù)改進(jìn)有關(guān)的決策提供支持。

信息安全管理體系標(biāo)準(zhǔn)族(InformationSecurityManagementSystem,簡稱

ISMS)是國際信息安全技術(shù)標(biāo)準(zhǔn)化組織(ISO/IECJTC1SC27)制定的信息安全

管理體系系列國際標(biāo)準(zhǔn)。ISMS已成為世界各國、各種類型、各種規(guī)模的組織解

決信息安全問題的一個(gè)有效方法。ISMS認(rèn)證隨之成為組織向社會及其相關(guān)方證

明其信息安全水平和能力的一種有效途徑。信息安全管理體系理念已被我國廣泛

采用,相關(guān)標(biāo)準(zhǔn)也已被我國采標(biāo)推廣使用,本標(biāo)準(zhǔn)主要在于與我國已采標(biāo)的信息

安全管理體系相關(guān)標(biāo)準(zhǔn)保持一致,并在翻譯過

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論