國(guó)家標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》（征求意見(jiàn)稿）編制說(shuō)明

工作簡(jiǎn)況任務(wù)來(lái)源《信息技術(shù)安全技術(shù)信息安全管理體系信息安全管理體系要求》是國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2013年下達(dá)的信息安全國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目，國(guó)標(biāo)計(jì)劃號(hào)為：20141159-T-469。由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院，主要負(fù)責(zé)起草中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司中國(guó)信息安全認(rèn)證中心、上海三零衛(wèi)士信息安全有限公司、廣州賽寶認(rèn)證中心服務(wù)有限公司、山東省標(biāo)準(zhǔn)化研究院、中國(guó)合格評(píng)定國(guó)家認(rèn)可中心、北京時(shí)代新威信息技術(shù)有限公司、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院認(rèn)證中心、北京江南天安科技有限公司、黑龍江電子信息產(chǎn)品監(jiān)督檢驗(yàn)院、浙江遠(yuǎn)望電子有限公司、杭州在信科技有限公司等單位共同參與了該標(biāo)準(zhǔn)的起草工作。主要工作過(guò)程1、2012年，跟蹤ISO/IEC27001修訂最近進(jìn)展情況，形成ISO/IECFDIS27001翻譯稿。2、2013年，承擔(dān)了全國(guó)信安標(biāo)委信息安全專(zhuān)項(xiàng)標(biāo)準(zhǔn)修訂項(xiàng)目GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》修訂。3、2014年1月初，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院發(fā)布成立編寫(xiě)工作組通知。4、2014年3月14日，成立正式的編寫(xiě)工作組，召開(kāi)第一工作組會(huì)議，討論工作組章程等文件。5、2014年4月24日至25日，第二次工作組會(huì)議；討論27001內(nèi)容；2014年5月22日至23日，第三次工作組會(huì)議，27001內(nèi)容討論結(jié)束。6、2014年9月15日，召開(kāi)專(zhuān)家評(píng)審會(huì)，就標(biāo)準(zhǔn)草案征求部分專(zhuān)家意見(jiàn)。7、2014年10月10日，召開(kāi)第八次項(xiàng)目組工作會(huì)議，就專(zhuān)家提的具體意見(jiàn)進(jìn)行處理，并再次修改完善標(biāo)準(zhǔn)草案文本。8、2014年12月18日至12月19日，標(biāo)準(zhǔn)編制組和王立福教授就標(biāo)準(zhǔn)編制過(guò)程中的問(wèn)題進(jìn)行當(dāng)面溝通，對(duì)標(biāo)準(zhǔn)草案文本進(jìn)行討論修改。9、2015年1月3日至1月9日，WG7工作組面向全體工作組成員單位進(jìn)行草案標(biāo)準(zhǔn)投票，1個(gè)反對(duì)票，其余均為贊成票，表決通過(guò)。反對(duì)票的意見(jiàn)主要是對(duì)國(guó)際標(biāo)準(zhǔn)制定規(guī)則不了解，認(rèn)為ISO/IEC27001為強(qiáng)制性標(biāo)準(zhǔn)，實(shí)際該標(biāo)準(zhǔn)沒(méi)有強(qiáng)制性。標(biāo)準(zhǔn)編制組根據(jù)意見(jiàn)進(jìn)行修改完善，形成征求意見(jiàn)稿第一稿。10、2015年2月4日，標(biāo)準(zhǔn)編制組邀請(qǐng)部分專(zhuān)家與ISMS認(rèn)證機(jī)構(gòu)代表進(jìn)行溝通交流，對(duì)標(biāo)準(zhǔn)文本中的一些術(shù)語(yǔ)定義進(jìn)行充分溝通，會(huì)后，標(biāo)準(zhǔn)組根據(jù)會(huì)議上的意見(jiàn)進(jìn)行修改完善，形成征求意見(jiàn)稿第二稿。編制原則和主要內(nèi)容2.1編制原則《信息技術(shù)安全技術(shù)信息安全管理體系要求》是信息安全管理體系標(biāo)準(zhǔn)族中標(biāo)準(zhǔn)之一。我國(guó)已在2008年正式發(fā)布了等同采用ISO/IEC27001：2005的國(guó)家標(biāo)準(zhǔn)GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》。我國(guó)在參考借鑒國(guó)際信息安全管理體系標(biāo)準(zhǔn)族（ISO/IEC27000系列）的基礎(chǔ)上，等同轉(zhuǎn)化了ISO/IEC27000:2009《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》、ISO/IEC27002:2005《信息技術(shù)安全技術(shù)信息安全管理使用規(guī)則》（對(duì)應(yīng)國(guó)家標(biāo)準(zhǔn)GB/T22081:2008）和ISO/IEC27006:2007《信息技術(shù)安全技術(shù)信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可要求》，為國(guó)內(nèi)各機(jī)構(gòu)開(kāi)展信息安全管理體系認(rèn)證工作提供了依據(jù)和技術(shù)支撐。本標(biāo)準(zhǔn)修訂過(guò)程中，鑒于上版標(biāo)準(zhǔn)是等同采用ISO/IEC27001：2005，并且以該標(biāo)準(zhǔn)為核心的ISMS體系認(rèn)證在我國(guó)已經(jīng)廣泛開(kāi)展，為了便于國(guó)際互認(rèn)，并且保持我國(guó)信息安全管理體系標(biāo)準(zhǔn)的關(guān)聯(lián)性，因此本次修訂的原則也是等同采用ISO/IEC27001:2013。2.2主要內(nèi)容本標(biāo)準(zhǔn)規(guī)定了在組織環(huán)境下建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系的要求。本標(biāo)準(zhǔn)還包括了根據(jù)組織需求而進(jìn)行的信息安全風(fēng)險(xiǎn)評(píng)估和處置的要求。本標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類(lèi)型、規(guī)?；蛐再|(zhì)的組織。當(dāng)組織聲稱(chēng)符合本標(biāo)準(zhǔn)時(shí)，不能刪減第4章到第10章的要求。本標(biāo)準(zhǔn)主要框架如下：前言 引言 1范圍2規(guī)范性應(yīng)用文件3術(shù)語(yǔ) 4組織環(huán)境5領(lǐng)導(dǎo)6規(guī)劃7支持8運(yùn)行9績(jī)效評(píng)價(jià)10改進(jìn)附錄A（規(guī)范性附錄）參考控制目標(biāo)和控制措施主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果隨著信息安全管理體系在國(guó)內(nèi)外應(yīng)用的廣泛展開(kāi)，以及在世界范圍內(nèi)認(rèn)證數(shù)量的日益增多，驗(yàn)證了信息安全管理體系正逐漸成為目前信息安全管理的一種有效方法。從我國(guó)來(lái)講，自2008年國(guó)家信息安全管理體系兩個(gè)基礎(chǔ)標(biāo)準(zhǔn):GB/T22080和GB/T22081發(fā)布之后，有力地推動(dòng)了信息安全管理體系在我國(guó)的推廣和應(yīng)用，這套標(biāo)準(zhǔn)既為自愿性認(rèn)證需求的企業(yè)提供了展現(xiàn)自我信息安全管理水平的依據(jù)，也為我國(guó)涉及電子政務(wù)等各種重要信息系統(tǒng)提供了信息安全管理的思路和參考。但同時(shí)，近年來(lái)隨著云計(jì)算、物聯(lián)網(wǎng)、供應(yīng)鏈等新型技術(shù)與應(yīng)用的迅速普及，隨之而來(lái)的安全問(wèn)題也越來(lái)越得到重視。從國(guó)際標(biāo)準(zhǔn)化組織來(lái)講，已經(jīng)積極著手相應(yīng)安全管理與控制措施的研究及標(biāo)準(zhǔn)化。新的修訂版ISO/IEC27001無(wú)論是從標(biāo)準(zhǔn)內(nèi)容框架還是編寫(xiě)思路上，都更能體現(xiàn)這些變化與需求。因此，及早與國(guó)際標(biāo)準(zhǔn)發(fā)展保持一致，開(kāi)展標(biāo)準(zhǔn)的修訂工作是十分迫切和必要的。本標(biāo)準(zhǔn)與目前國(guó)家開(kāi)展信息安全管理體系認(rèn)證工作緊密相關(guān)，作為了解和使用信息安全管理體系標(biāo)準(zhǔn)族的基礎(chǔ)標(biāo)準(zhǔn)之一，修訂現(xiàn)有國(guó)家標(biāo)準(zhǔn)GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》，引入新版國(guó)際標(biāo)準(zhǔn)ISO/IEC27001的新思路和內(nèi)容框架，使我國(guó)具有信息安全管理體系建設(shè)、管理和認(rèn)證需求的組織機(jī)構(gòu)，更加科學(xué)、全面地改善自身的信息安全管理水平，同時(shí)為認(rèn)證機(jī)構(gòu)進(jìn)行信息安全管理體系國(guó)際認(rèn)證提供技術(shù)依據(jù)。采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國(guó)際、國(guó)外同類(lèi)標(biāo)準(zhǔn)水平的對(duì)比情況，或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況本標(biāo)準(zhǔn)等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27001:2013。與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)與現(xiàn)有國(guó)家標(biāo)準(zhǔn)GB/T22080:2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》、GB/T22081:2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》以及GB/T25067:2010《信息技術(shù)

安全技術(shù)

信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求》都屬于信息安全管理體系標(biāo)準(zhǔn)族標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)提供了信息安全管理體系（ISMS標(biāo)準(zhǔn)族）的概述，并定義了相關(guān)術(shù)語(yǔ)，對(duì)于標(biāo)準(zhǔn)用戶(hù)了解整個(gè)ISMS標(biāo)準(zhǔn)族的情況、有關(guān)信息安全術(shù)語(yǔ)，以及其中每個(gè)標(biāo)準(zhǔn)的范圍和目的等信息具有十分重要的參考作用。本標(biāo)準(zhǔn)是了解信息安全管理體系標(biāo)準(zhǔn)族的一個(gè)基礎(chǔ)和重要標(biāo)準(zhǔn)。GB/T22080:2008提供了建立信息安全管理體系的模型及每個(gè)過(guò)程的具體活動(dòng)，可供用戶(hù)建立和實(shí)施滿(mǎn)足自身業(yè)務(wù)需求和安全需要的信息安全管理體系。GB/T22081:2008提供了一套通用的安全控制目標(biāo)和最佳實(shí)踐控制措施，可指導(dǎo)用戶(hù)選擇和實(shí)施控制措施以實(shí)現(xiàn)信息安全。GB/T25067:2010為依據(jù)GB/T22080:2008提供審核和ISMS認(rèn)證的機(jī)構(gòu)規(guī)定了要求并提供相關(guān)指導(dǎo)。重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)詳見(jiàn)標(biāo)準(zhǔn)意見(jiàn)匯總處理表。國(guó)家標(biāo)準(zhǔn)作為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)或推薦性國(guó)家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。貫徹國(guó)家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過(guò)渡辦法等內(nèi)容）本標(biāo)準(zhǔn)主要用于支撐國(guó)家標(biāo)準(zhǔn)GB/T22080:2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T22081:2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》的實(shí)施，為希望了解和建立信息安全管理體系的組織和用戶(hù)提供了有關(guān)信息安全管理體系標(biāo)準(zhǔn)族的整體概況，以及相關(guān)的術(shù)語(yǔ)和定義，有助于更加深刻地理解信息安全管理體系建設(shè)和實(shí)施內(nèi)容。因此，本標(biāo)準(zhǔn)貫徹實(shí)施時(shí)，應(yīng)與上述兩個(gè)標(biāo)準(zhǔn)結(jié)合在一起進(jìn)