《信息技術(shù) 安全技術(shù) 信息安全控制措施審核員指南》編制說明

一、工作簡況

1.1任務(wù)來源：

《信息技術(shù)安全技術(shù)信息安全控制措施審核員指南》是全國信息安全標(biāo)準(zhǔn)

化技術(shù)委員會(huì)（全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處）2012年下達(dá)的信息安

全國家標(biāo)準(zhǔn)制定項(xiàng)目，由中國電子技術(shù)標(biāo)準(zhǔn)化研究院主要負(fù)責(zé)起草。工業(yè)和信息

化部電子第五研究所、中國合格評(píng)定國家認(rèn)可中心、北京賽西認(rèn)證有限責(zé)任公司、

北京時(shí)代新威信息技術(shù)有限公司等單位共同參與了該技術(shù)規(guī)范的起草工作。本指

導(dǎo)性技術(shù)文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員秘書處提出并歸口，由中國電子技

術(shù)標(biāo)準(zhǔn)化研究院承擔(dān)。

1.2主要工作過程：

1.2012.12-2013.3系統(tǒng)化查閱并梳理標(biāo)準(zhǔn)法、審計(jì)法、安全法、認(rèn)證認(rèn)可

條例等文件與信息安全相關(guān)內(nèi)容的總結(jié)，提出標(biāo)準(zhǔn)草案。

2.2013.4-2013.6對(duì)已形成的《信息技術(shù)安全技術(shù)信息安全控制措施審核

員指南》標(biāo)準(zhǔn)草案組織兩次專家項(xiàng)目組內(nèi)部評(píng)審，并就技術(shù)性翻譯和標(biāo)準(zhǔn)中信息

技術(shù)說明進(jìn)行了修訂。專家來自中國合格評(píng)定國家認(rèn)可委員會(huì)、工業(yè)和信息化部

電子第五研究所、中國電子技術(shù)標(biāo)準(zhǔn)化研究院等。

3.2013.7--2013.11草案組內(nèi)專家評(píng)審會(huì)，會(huì)后按照專家意見對(duì)文本進(jìn)行

了修改完善，形成了第二版草案文本。

4.2013.12-2013.12通過了安標(biāo)委WG7組的草案專家審查會(huì)。會(huì)后按照專家

意見，對(duì)文本進(jìn)行了修改完善，形成了最終草案文本。

5．2014年3月18日通過WG7組全體成員單位投票，投票通過率100%。會(huì)

后根據(jù)各成員單位意見對(duì)標(biāo)準(zhǔn)草案文本進(jìn)行了修改完善，形成標(biāo)準(zhǔn)征求意見稿文

本。

二、編制原則和主要內(nèi)容

2.1編制原則：

《信息技術(shù)安全技術(shù)信息安全控制措施審核員指南》是信息安全管理體系

標(biāo)準(zhǔn)族中標(biāo)準(zhǔn)之一。目前，我國在參考借鑒國際信息安全管理體系標(biāo)準(zhǔn)族

（ISO/IEC27000系列）的基礎(chǔ)上，等同轉(zhuǎn)化了ISO/IEC27001:2005《信息技術(shù)

安全技術(shù)信息安全管理體系要求》（對(duì)應(yīng)國家標(biāo)準(zhǔn)GB/T22080:2008）、ISO/IEC

27002:2005《信息技術(shù)安全技術(shù)信息安全管理使用規(guī)則》（對(duì)應(yīng)國家標(biāo)準(zhǔn)GB/T

22081:2008）、ISO/IEC27006:2007《信息技術(shù)安全技術(shù)信息安全管理體系認(rèn)

證機(jī)構(gòu)認(rèn)可要求》（對(duì)應(yīng)國家標(biāo)準(zhǔn)GB/T25067-2010）和ISO/IEC27007:2007《信

息安全管理體系審核指南》（對(duì)應(yīng)國家標(biāo)準(zhǔn)GB/T28450-2012），為國內(nèi)各機(jī)構(gòu)開

展信息安全管理體系認(rèn)證工作提供了依據(jù)和技術(shù)支撐。

本指導(dǎo)性技術(shù)文件編制過程中，按照GB/T1.1-2009給出的規(guī)則起草，同

時(shí)參考國家、信息安全相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)的要求實(shí)施。鑒于該技術(shù)規(guī)范在整

個(gè)信息安全管理體系標(biāo)準(zhǔn)族中的定位是一個(gè)技術(shù)性、指導(dǎo)性的標(biāo)準(zhǔn)，對(duì)于指導(dǎo)用

戶了解和落實(shí)該系列標(biāo)準(zhǔn)具有重要的作用；結(jié)合我國信息安全管理體系相關(guān)標(biāo)準(zhǔn)

的研制現(xiàn)狀，從國際信息安全管理體系系列標(biāo)準(zhǔn)轉(zhuǎn)化的完整性上講，應(yīng)為國內(nèi)標(biāo)

準(zhǔn)用戶提供一份標(biāo)準(zhǔn)前后內(nèi)容一致的參考指南。鑒于此編制組決定本指導(dǎo)性技術(shù)

文件等同采用國際標(biāo)準(zhǔn)ISO/IEC27008:2011《信息技術(shù)安全技術(shù)審核員信息

安全控制措施審核指南》。

2.2主要內(nèi)容

本指導(dǎo)性技術(shù)文件是對(duì)GB/T22080—2008ISMS要求（ISO27001:2005

IDT）、GB/T22081—2008ISMS實(shí)施規(guī)范（ISO27002:2005IDT）、GB/Txxxxxx

—yyyy（ISO/IEC27007:2008IDT）信息安全管理體系審核指南相關(guān)審核活動(dòng)的

技術(shù)性補(bǔ)充，定位為對(duì)信息安全管理體系安全控制措施審核提供技術(shù)性指南。

本指導(dǎo)性技術(shù)文件主要框架如下：

前言

引言

1．范圍

2．規(guī)范性引用文件

3．術(shù)語和定義

4．技術(shù)報(bào)告的結(jié)構(gòu)

5．背景

6．信息安全控制措施評(píng)審概述

6.1評(píng)審過程

6.2資源配置

7．評(píng)審方法

7.1概述

7.2評(píng)審方法：檢查

7.2.1概述

7.2.2屬性

7.3評(píng)審方法：訪談

7.3.1概述

7.3.2深度屬性

7.3.3廣度屬性

7.4評(píng)審方法：測試

7.4.1概述

7.4.2測試類型

7.4.3擴(kuò)展的評(píng)審規(guī)程

8活動(dòng)

8.1準(zhǔn)備

8.2制定計(jì)劃

8.2.1概述

8.2.2范圍

8.2.3評(píng)審規(guī)程

8.2.4與對(duì)象有關(guān)的考慮

8.2.5以往的發(fā)現(xiàn)

8.2.6工作分配

8.2.7外部系統(tǒng)

8.2.8信息資產(chǎn)和組織

8.2.9擴(kuò)展的評(píng)審程序

8.2.10優(yōu)化

8.2.11定稿

8.3實(shí)施評(píng)審

8.4分析并報(bào)告結(jié)果

附錄A（資料性附錄）技術(shù)符合性檢查實(shí)踐指南

附錄B（資料性附錄）初始信息收集（除信息技術(shù)以外）

B.1人力資源和安全

B.2策略

B.3組織

B.4物理和環(huán)境安全

B.5事件管理

上整體框架中，重點(diǎn)內(nèi)容為：

要素說明

6.1信息安全管理體系的評(píng)審是一個(gè)系統(tǒng)的過程,評(píng)審過程包括收集相關(guān)信息,

評(píng)審過程評(píng)審工作計(jì)劃的范圍,聯(lián)絡(luò)管理人員和組織相關(guān)部門負(fù)責(zé)人,評(píng)審風(fēng)險(xiǎn)評(píng)估

等活動(dòng)。

6.2對(duì)信息安全控制措施的評(píng)審，審核員應(yīng)具備相應(yīng)的對(duì)風(fēng)險(xiǎn)和安全進(jìn)行評(píng)價(jià)的

資源配備能力、知識(shí)和經(jīng)驗(yàn)。同時(shí)為實(shí)現(xiàn)評(píng)審目標(biāo)，在要求范圍內(nèi)實(shí)施評(píng)審卻未具有

相應(yīng)的能力，應(yīng)安排技術(shù)專家和資源。

7.2檢查、檢驗(yàn)、評(píng)審、觀察、研究或者分析一個(gè)或多個(gè)評(píng)審對(duì)象以便理解、澄

評(píng)審方法:檢清或獲取證據(jù)的過程及其結(jié)果是用來支持確定評(píng)審區(qū)間內(nèi)存在控制措施，及

查其功能性、正確性、完整性和潛在改進(jìn)的可能性。

檢查的對(duì)象通常包括：規(guī)范、機(jī)理和過程。

評(píng)審的檢查活動(dòng)包括審核員在審核過程中的各類觀察活動(dòng)。

檢查的分類有：一般性檢查、重點(diǎn)檢查、詳盡檢查、典型檢查、特定檢查和

全面檢查。

7.3訪談是指與組織內(nèi)的個(gè)人或者小組進(jìn)行討論，以便于理解、澄清或者找到證

評(píng)審方法:訪據(jù)出處的過程。訪談的結(jié)果用于支持確定信息安全控制措施的存在、功能性、

談?wù)_性、完整性以及潛在的持續(xù)改進(jìn)。

訪談的對(duì)象包括一個(gè)組織中各類可能與信息安全有關(guān)聯(lián)的人員。

訪談的深度屬性分類有：一般訪談、重點(diǎn)訪談、詳盡訪談。

廣度屬性指的是訪談過程的范圍或者寬度，屬性包括被訪談的人員，人員數(shù)

量，以及某些特定的人員。具體的訪談方式有：典型訪談、特定訪談和全面

訪談。

7.4測試是指在規(guī)定條件下運(yùn)行一個(gè)或多個(gè)評(píng)審對(duì)象，并將實(shí)際情況與期望的行

評(píng)審方法:測為進(jìn)行對(duì)比的過程。其結(jié)果用來支持確定信息安全控制措施的存在、功能性、

試正確性、完整性以及潛在的持續(xù)改進(jìn)。

測試必須由有能力的專家來執(zhí)行，執(zhí)行的同時(shí)須考慮各種因素和技術(shù)性環(huán)境

且得到管理層的批準(zhǔn)。測試的活動(dòng)包括信息安全管理體系及其要求或功能或

活動(dòng)等。

測試的類型：盲測，雙盲測，灰盒測試、雙灰盒測試、透明測試、逆向測試。

8.1為獲得可接受的結(jié)論，重要的是在評(píng)審前、評(píng)審中和評(píng)審后建立并保持一組

準(zhǔn)備適當(dāng)?shù)钠谕?。這意味著為管理層提供信息，使其能夠針對(duì)如何最佳地實(shí)現(xiàn)和

運(yùn)行信息系統(tǒng)做出合理的、基于風(fēng)險(xiǎn)的決策。組織和審核員的充分準(zhǔn)備是進(jìn)

行有效評(píng)審的重要環(huán)節(jié)。準(zhǔn)備活動(dòng)宜關(guān)注一系列與成本、進(jìn)度、專業(yè)知識(shí)的

可用性和評(píng)審績效等相關(guān)的問題。

8.2制定評(píng)審控制措施計(jì)劃的審核員宜確定控制措施評(píng)審的類型（例如，完整評(píng)

制定計(jì)劃審或部分評(píng)審），以及基于評(píng)審的范圍和目的確定評(píng)審中將包含哪些控制措

施/控制措施增強(qiáng)。審核員宜評(píng)估和降低評(píng)審活動(dòng)對(duì)組織正常運(yùn)營的風(fēng)險(xiǎn)和影

響（可能時(shí)），并基于評(píng)審中所涉及的控制措施和控制措施增強(qiáng)以及它們關(guān)

聯(lián)的深度和覆蓋范圍，選擇合適的評(píng)審規(guī)程。

8.3實(shí)施評(píng)組織批準(zhǔn)評(píng)審計(jì)劃后，審核員根據(jù)商定的里程碑和日程執(zhí)行計(jì)劃。針對(duì)已選

審擇的評(píng)審對(duì)象應(yīng)用設(shè)定的評(píng)審方法，并收集/形成與每個(gè)評(píng)審目標(biāo)決策相關(guān)

的必要信息，以此實(shí)現(xiàn)評(píng)審目的。

8.4分析并評(píng)審報(bào)告作為評(píng)審輸出和最終評(píng)審結(jié)果，記錄了基于已實(shí)現(xiàn)的信息安全控制

報(bào)告結(jié)果措施的信息安全保障水平。報(bào)告內(nèi)容包括審核員作出的判斷所使用控制措施

有效性的必要信息以及基于其發(fā)現(xiàn)所作出的組織在實(shí)施所選擇和適當(dāng)?shù)目?/p>

制措施時(shí)的整體有效性的信息。

附錄附錄A為技術(shù)符合性檢查實(shí)踐指南，且給安全實(shí)施標(biāo)準(zhǔn)提供了符合性檢查程

A序?！霸O(shè)想的證據(jù)”給出了一些系統(tǒng)、文件、文件或其他物品的例子，可被

視為符合性檢查程序的“證據(jù)”?！胺椒ā碧峁┝艘环N合適的與以上實(shí)踐

指南一致的技術(shù)符合性檢查方法。

本附件不為技術(shù)符合性檢查提供詳盡的實(shí)踐指南，但將仍盡最大可能地幫助

組織評(píng)審安全實(shí)施標(biāo)準(zhǔn)是否適當(dāng)?shù)貙?shí)現(xiàn)或運(yùn)行。

1.防范惡意代碼控制措施的技術(shù)性檢查；

2.審計(jì)記錄控制措施的技術(shù)性檢查；

3.特殊權(quán)限管理控制措施的技術(shù)性檢查；

4.備份控制措施的技術(shù)性檢查；

5.網(wǎng)絡(luò)安全管理控制措施的技術(shù)性檢查；

6.用戶職責(zé)責(zé)任控制措施技術(shù)性檢查。

附錄信息安全審核組組長應(yīng)在相應(yīng)信息安全領(lǐng)域分配有相應(yīng)能力和經(jīng)驗(yàn)的信息

B安全控制措施評(píng)審審核員。

1.人力資源和安全

2.策略

3．組織

4.物理環(huán)境安全

5.事件管理

三、主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果

本指導(dǎo)性技術(shù)文件制定與目前國家開展信息安全管理體系認(rèn)證工作緊密相

關(guān)，作為了解和實(shí)施信息安全管理體系標(biāo)準(zhǔn)族的技術(shù)標(biāo)準(zhǔn)之一，本指導(dǎo)性技術(shù)文

件與ISO/IEC27007相互補(bǔ)充，相輔相成。為按照風(fēng)險(xiǎn)評(píng)估的結(jié)果所選擇的控制

措施提供了審核的指導(dǎo)；同時(shí)標(biāo)準(zhǔn)提供了對(duì)運(yùn)營和實(shí)施控制措施是否符合組織已

建立的信息安全標(biāo)準(zhǔn)審核的指南，包括信息系統(tǒng)控制措施的技術(shù)符合性檢查。本

指導(dǎo)性技術(shù)文件有利于用戶根據(jù)需要，選擇不同的技術(shù)進(jìn)行實(shí)施，以保障信息安

全控制措施評(píng)審的有效性。本指導(dǎo)性技術(shù)文件作為基礎(chǔ)標(biāo)準(zhǔn)，不與直接的經(jīng)濟(jì)效

益掛鉤，但作為了解和掌握ISMS標(biāo)準(zhǔn)族，有效地促進(jìn)國家信息安全管理體系認(rèn)

證工作來講，具有基礎(chǔ)而重要的意義。

四、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的

對(duì)比情況，或與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況

本指導(dǎo)性技術(shù)文件等同采用ISO/IECTR27008:2011，在標(biāo)準(zhǔn)轉(zhuǎn)換期間為準(zhǔn)

確定義術(shù)語以及對(duì)信息安全管理體系審核技術(shù)正確把握，參考了如下國家標(biāo)準(zhǔn)或

未等同采用的國際標(biāo)準(zhǔn)：

GB/T25069-2010《信息安全技術(shù)術(shù)語》

ISO/IEC27000:概述和詞匯

GB/T22080—2008idtISO27001:2005ISMS要求

GB/T22081—2008idtISO27002:2005ISMS實(shí)施規(guī)范

ISO/IEC27003:2008ISMS實(shí)施指南

ISO/IEC27004:2009指標(biāo)與測量

ISO/IEC27005:2008風(fēng)險(xiǎn)管理

ISO/IEC27006:2006認(rèn)證機(jī)構(gòu)的認(rèn)可要求

ISO/IEC27007:2007信息安全管理體系審核指南

GB/T19000-2008idtISO9000:2005質(zhì)量管理體系基礎(chǔ)和術(shù)語

GB/T19001-2008idtISO9001:2008質(zhì)量管理體系要求

GB/T19004-2000idtISO9004:2000質(zhì)量管理體系過程控制能力

GB/T19011-2003idtISO19011:2002質(zhì)量/或環(huán)境管理體系審核指南

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系

本指導(dǎo)性技術(shù)文件嚴(yán)格按照《中華人民共和國標(biāo)準(zhǔn)化法》的規(guī)定進(jìn)行轉(zhuǎn)換。

按照GB/T1.1-2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫》給出的

規(guī)則起草。本指導(dǎo)性技術(shù)文件是GB/T22081—2008ISMS實(shí)施規(guī)范（ISO

27002:2005IDT）對(duì)組織進(jìn)行審核活動(dòng)的具體要求，同時(shí)也是對(duì)其進(jìn)行支持的

技術(shù)性報(bào)告。

本指導(dǎo)性技術(shù)文件為推廣性技術(shù)報(bào)告，轉(zhuǎn)換時(shí)嚴(yán)格按照中國有關(guān)的現(xiàn)行法

律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的要求進(jìn)行，內(nèi)容均符合中國現(xiàn)行有關(guān)法律、法規(guī)的

規(guī)定，標(biāo)準(zhǔn)所提供的控制措施審核方案、技術(shù)或建議等均為技術(shù)性指南。

六、重大分歧意見的