國家標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》(征求意見稿)編制說明_第1頁
國家標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》(征求意見稿)編制說明_第2頁
國家標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》(征求意見稿)編制說明_第3頁
國家標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》(征求意見稿)編制說明_第4頁
國家標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》(征求意見稿)編制說明_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

工作簡況任務(wù)來源《信息技術(shù)安全技術(shù)信息安全管理體系信息安全管理體系要求》是國家標(biāo)準(zhǔn)化管理委員會(huì)2013年下達(dá)的信息安全國家標(biāo)準(zhǔn)制定項(xiàng)目,國標(biāo)計(jì)劃號(hào)為:20141159-T-469。由中國電子技術(shù)標(biāo)準(zhǔn)化研究院,主要負(fù)責(zé)起草中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司中國信息安全認(rèn)證中心、上海三零衛(wèi)士信息安全有限公司、廣州賽寶認(rèn)證中心服務(wù)有限公司、山東省標(biāo)準(zhǔn)化研究院、中國合格評(píng)定國家認(rèn)可中心、北京時(shí)代新威信息技術(shù)有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究院認(rèn)證中心、北京江南天安科技有限公司、黑龍江電子信息產(chǎn)品監(jiān)督檢驗(yàn)院、浙江遠(yuǎn)望電子有限公司、杭州在信科技有限公司等單位共同參與了該標(biāo)準(zhǔn)的起草工作。主要工作過程1、2012年,跟蹤ISO/IEC27001修訂最近進(jìn)展情況,形成ISO/IECFDIS27001翻譯稿。2、2013年,承擔(dān)了全國信安標(biāo)委信息安全專項(xiàng)標(biāo)準(zhǔn)修訂項(xiàng)目GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》修訂。3、2014年1月初,中國電子技術(shù)標(biāo)準(zhǔn)化研究院發(fā)布成立編寫工作組通知。4、2014年3月14日,成立正式的編寫工作組,召開第一工作組會(huì)議,討論工作組章程等文件。5、2014年4月24日至25日,第二次工作組會(huì)議;討論27001內(nèi)容;2014年5月22日至23日,第三次工作組會(huì)議,27001內(nèi)容討論結(jié)束。6、2014年9月15日,召開專家評(píng)審會(huì),就標(biāo)準(zhǔn)草案征求部分專家意見。7、2014年10月10日,召開第八次項(xiàng)目組工作會(huì)議,就專家提的具體意見進(jìn)行處理,并再次修改完善標(biāo)準(zhǔn)草案文本。8、2014年12月18日至12月19日,標(biāo)準(zhǔn)編制組和王立福教授就標(biāo)準(zhǔn)編制過程中的問題進(jìn)行當(dāng)面溝通,對(duì)標(biāo)準(zhǔn)草案文本進(jìn)行討論修改。9、2015年1月3日至1月9日,WG7工作組面向全體工作組成員單位進(jìn)行草案標(biāo)準(zhǔn)投票,1個(gè)反對(duì)票,其余均為贊成票,表決通過。反對(duì)票的意見主要是對(duì)國際標(biāo)準(zhǔn)制定規(guī)則不了解,認(rèn)為ISO/IEC27001為強(qiáng)制性標(biāo)準(zhǔn),實(shí)際該標(biāo)準(zhǔn)沒有強(qiáng)制性。標(biāo)準(zhǔn)編制組根據(jù)意見進(jìn)行修改完善,形成征求意見稿第一稿。10、2015年2月4日,標(biāo)準(zhǔn)編制組邀請(qǐng)部分專家與ISMS認(rèn)證機(jī)構(gòu)代表進(jìn)行溝通交流,對(duì)標(biāo)準(zhǔn)文本中的一些術(shù)語定義進(jìn)行充分溝通,會(huì)后,標(biāo)準(zhǔn)組根據(jù)會(huì)議上的意見進(jìn)行修改完善,形成征求意見稿第二稿。編制原則和主要內(nèi)容2.1編制原則《信息技術(shù)安全技術(shù)信息安全管理體系要求》是信息安全管理體系標(biāo)準(zhǔn)族中標(biāo)準(zhǔn)之一。我國已在2008年正式發(fā)布了等同采用ISO/IEC27001:2005的國家標(biāo)準(zhǔn)GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》。我國在參考借鑒國際信息安全管理體系標(biāo)準(zhǔn)族(ISO/IEC27000系列)的基礎(chǔ)上,等同轉(zhuǎn)化了ISO/IEC27000:2009《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》、ISO/IEC27002:2005《信息技術(shù)安全技術(shù)信息安全管理使用規(guī)則》(對(duì)應(yīng)國家標(biāo)準(zhǔn)GB/T22081:2008)和ISO/IEC27006:2007《信息技術(shù)安全技術(shù)信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可要求》,為國內(nèi)各機(jī)構(gòu)開展信息安全管理體系認(rèn)證工作提供了依據(jù)和技術(shù)支撐。本標(biāo)準(zhǔn)修訂過程中,鑒于上版標(biāo)準(zhǔn)是等同采用ISO/IEC27001:2005,并且以該標(biāo)準(zhǔn)為核心的ISMS體系認(rèn)證在我國已經(jīng)廣泛開展,為了便于國際互認(rèn),并且保持我國信息安全管理體系標(biāo)準(zhǔn)的關(guān)聯(lián)性,因此本次修訂的原則也是等同采用ISO/IEC27001:2013。2.2主要內(nèi)容本標(biāo)準(zhǔn)規(guī)定了在組織環(huán)境下建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系的要求。本標(biāo)準(zhǔn)還包括了根據(jù)組織需求而進(jìn)行的信息安全風(fēng)險(xiǎn)評(píng)估和處置的要求。本標(biāo)準(zhǔn)規(guī)定的要求是通用的,適用于各種類型、規(guī)模或性質(zhì)的組織。當(dāng)組織聲稱符合本標(biāo)準(zhǔn)時(shí),不能刪減第4章到第10章的要求。本標(biāo)準(zhǔn)主要框架如下:前言 引言 1范圍2規(guī)范性應(yīng)用文件3術(shù)語 4組織環(huán)境5領(lǐng)導(dǎo)6規(guī)劃7支持8運(yùn)行9績效評(píng)價(jià)10改進(jìn)附錄A(規(guī)范性附錄)參考控制目標(biāo)和控制措施主要試驗(yàn)(或驗(yàn)證)的分析、綜述報(bào)告,技術(shù)經(jīng)濟(jì)論證,預(yù)期的經(jīng)濟(jì)效果隨著信息安全管理體系在國內(nèi)外應(yīng)用的廣泛展開,以及在世界范圍內(nèi)認(rèn)證數(shù)量的日益增多,驗(yàn)證了信息安全管理體系正逐漸成為目前信息安全管理的一種有效方法。從我國來講,自2008年國家信息安全管理體系兩個(gè)基礎(chǔ)標(biāo)準(zhǔn):GB/T22080和GB/T22081發(fā)布之后,有力地推動(dòng)了信息安全管理體系在我國的推廣和應(yīng)用,這套標(biāo)準(zhǔn)既為自愿性認(rèn)證需求的企業(yè)提供了展現(xiàn)自我信息安全管理水平的依據(jù),也為我國涉及電子政務(wù)等各種重要信息系統(tǒng)提供了信息安全管理的思路和參考。但同時(shí),近年來隨著云計(jì)算、物聯(lián)網(wǎng)、供應(yīng)鏈等新型技術(shù)與應(yīng)用的迅速普及,隨之而來的安全問題也越來越得到重視。從國際標(biāo)準(zhǔn)化組織來講,已經(jīng)積極著手相應(yīng)安全管理與控制措施的研究及標(biāo)準(zhǔn)化。新的修訂版ISO/IEC27001無論是從標(biāo)準(zhǔn)內(nèi)容框架還是編寫思路上,都更能體現(xiàn)這些變化與需求。因此,及早與國際標(biāo)準(zhǔn)發(fā)展保持一致,開展標(biāo)準(zhǔn)的修訂工作是十分迫切和必要的。本標(biāo)準(zhǔn)與目前國家開展信息安全管理體系認(rèn)證工作緊密相關(guān),作為了解和使用信息安全管理體系標(biāo)準(zhǔn)族的基礎(chǔ)標(biāo)準(zhǔn)之一,修訂現(xiàn)有國家標(biāo)準(zhǔn)GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》,引入新版國際標(biāo)準(zhǔn)ISO/IEC27001的新思路和內(nèi)容框架,使我國具有信息安全管理體系建設(shè)、管理和認(rèn)證需求的組織機(jī)構(gòu),更加科學(xué)、全面地改善自身的信息安全管理水平,同時(shí)為認(rèn)證機(jī)構(gòu)進(jìn)行信息安全管理體系國際認(rèn)證提供技術(shù)依據(jù)。采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度,以及與國際、國外同類標(biāo)準(zhǔn)水平的對(duì)比情況,或與測(cè)試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況本標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC27001:2013。與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)與現(xiàn)有國家標(biāo)準(zhǔn)GB/T22080:2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》、GB/T22081:2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》以及GB/T25067:2010《信息技術(shù)

安全技術(shù)

信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求》都屬于信息安全管理體系標(biāo)準(zhǔn)族標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)提供了信息安全管理體系(ISMS標(biāo)準(zhǔn)族)的概述,并定義了相關(guān)術(shù)語,對(duì)于標(biāo)準(zhǔn)用戶了解整個(gè)ISMS標(biāo)準(zhǔn)族的情況、有關(guān)信息安全術(shù)語,以及其中每個(gè)標(biāo)準(zhǔn)的范圍和目的等信息具有十分重要的參考作用。本標(biāo)準(zhǔn)是了解信息安全管理體系標(biāo)準(zhǔn)族的一個(gè)基礎(chǔ)和重要標(biāo)準(zhǔn)。GB/T22080:2008提供了建立信息安全管理體系的模型及每個(gè)過程的具體活動(dòng),可供用戶建立和實(shí)施滿足自身業(yè)務(wù)需求和安全需要的信息安全管理體系。GB/T22081:2008提供了一套通用的安全控制目標(biāo)和最佳實(shí)踐控制措施,可指導(dǎo)用戶選擇和實(shí)施控制措施以實(shí)現(xiàn)信息安全。GB/T25067:2010為依據(jù)GB/T22080:2008提供審核和ISMS認(rèn)證的機(jī)構(gòu)規(guī)定了要求并提供相關(guān)指導(dǎo)。重大分歧意見的處理經(jīng)過和依據(jù)詳見標(biāo)準(zhǔn)意見匯總處理表。國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。貫徹國家標(biāo)準(zhǔn)的要求和措施建議(包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容)本標(biāo)準(zhǔn)主要用于支撐國家標(biāo)準(zhǔn)GB/T22080:2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T22081:2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》的實(shí)施,為希望了解和建立信息安全管理體系的組織和用戶提供了有關(guān)信息安全管理體系標(biāo)準(zhǔn)族的整體概況,以及相關(guān)的術(shù)語和定義,有助于更加深刻地理解信息安全管理體系建設(shè)和實(shí)施內(nèi)容。因此,本標(biāo)準(zhǔn)貫徹實(shí)施時(shí),應(yīng)與上述兩個(gè)標(biāo)準(zhǔn)結(jié)合在一起進(jìn)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論