國家標(biāo)準(zhǔn)《信息技術(shù)-安全技術(shù)-信息安全管理體系審核和認證機構(gòu)的要求》(征求意見稿)編制說明_第1頁
國家標(biāo)準(zhǔn)《信息技術(shù)-安全技術(shù)-信息安全管理體系審核和認證機構(gòu)的要求》(征求意見稿)編制說明_第2頁
國家標(biāo)準(zhǔn)《信息技術(shù)-安全技術(shù)-信息安全管理體系審核和認證機構(gòu)的要求》(征求意見稿)編制說明_第3頁
國家標(biāo)準(zhǔn)《信息技術(shù)-安全技術(shù)-信息安全管理體系審核和認證機構(gòu)的要求》(征求意見稿)編制說明_第4頁
國家標(biāo)準(zhǔn)《信息技術(shù)-安全技術(shù)-信息安全管理體系審核和認證機構(gòu)的要求》(征求意見稿)編制說明_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

工作簡況任務(wù)來源:當(dāng)前,越來越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計算機詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅,諸如計算機病毒、計算機入侵、DoS攻擊等手段造成的信息災(zāi)難已變得更加普遍,有計劃而不易被察覺。組織對信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的破壞,公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實現(xiàn)訪問控制的難度。但僅僅通過使用信息安全技術(shù)手段不能杜絕所有的重大安全風(fēng)險,科學(xué)的安全管理手段也越來越重要。信息安全管理體系標(biāo)準(zhǔn)ISO/IEC27001標(biāo)準(zhǔn)發(fā)布后,很多組織參照信息安全管理模型,按照ISO/IEC27001標(biāo)準(zhǔn)建立組織完整的信息安全管理體系并實施與保持,達到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式,用最低的成本,使信息風(fēng)險的發(fā)生概率和結(jié)果降低到可接受水平,并采取措施保證業(yè)務(wù)不會因風(fēng)險的發(fā)生而中斷。同時通過第三方認證機構(gòu)的認證審核,持續(xù)改進信息安全管理水平。但實施信息安全管理體系認證審核的機構(gòu)眾多,如何保證各機構(gòu)能一致有效的實施信息安全管理體系的認證審核,提升第三方認證機構(gòu)的公信力,是一個重要的問題。新的修訂版ISO/IEC27006:2011無論是從標(biāo)準(zhǔn)內(nèi)容框架還是編寫思路上,都更能體現(xiàn)這些變化與需求。因此,及早與國際標(biāo)準(zhǔn)發(fā)展保持一致,開展標(biāo)準(zhǔn)的修訂工作是十分迫切和必要的。本項目將修訂現(xiàn)有國家標(biāo)準(zhǔn)GB/T25067-2010《信息技術(shù)安全技術(shù)信息安全管理體系認證審核機構(gòu)要求》,引入新版國際標(biāo)準(zhǔn)ISO/IEC27006:2011的新思路和內(nèi)容框架,使我國具有信息安全管理體系建設(shè)、管理和認證需求的組織機構(gòu),更加科學(xué)、全面地改善自身的信息安全管理水平,同時為保證ISMS認證審核機構(gòu)的能力提供技術(shù)依據(jù)。工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院,負責(zé)該項目的計劃與組織管理,形成標(biāo)準(zhǔn)草案;組織對標(biāo)準(zhǔn)草案的意見征求,研究意見和完成對標(biāo)準(zhǔn)文本草案的修改,形成征求意見稿;組織對征求意見稿進行意見匯總,修改和完成標(biāo)準(zhǔn)送審稿;針對送審稿的審查意見,組織進一步修改完善,形成標(biāo)準(zhǔn)報批稿;牽頭組織宣貫教材的編寫等。主要工作過程:1.2013.10-2013.12成立工作組,完成標(biāo)準(zhǔn)的草稿,第一次會議,分配工作任務(wù)。2.2014.1-2014.2標(biāo)準(zhǔn)編制組內(nèi)部對標(biāo)準(zhǔn)初稿進行集中校對,并以多種形式征求專家和相關(guān)單位意見,形成標(biāo)準(zhǔn)草案。編寫標(biāo)準(zhǔn)草案編制說明、意見處理匯總表。3.2014.3--2014.6.30標(biāo)準(zhǔn)草案提交工作組,進行專家審查,并在工作組成員單位范圍內(nèi)進行標(biāo)準(zhǔn)草案投票;編制組根據(jù)反饋意見修改標(biāo)準(zhǔn)文本,形成標(biāo)準(zhǔn)征求意見稿;完善編制說明及意見處理匯總表。編制原則和主要內(nèi)容2.1編制原則本標(biāo)準(zhǔn)編制過程中遵循了以下原則:等同采用國際標(biāo)準(zhǔn)ISO/IEC27006:2011。目前信息安全管理體系(ISMS)標(biāo)準(zhǔn)在國內(nèi)不同領(lǐng)域和行業(yè)得到了廣泛的應(yīng)用和推廣,ISMS認證在國內(nèi)發(fā)展也越來越快,因此,如何規(guī)范ISMS認證審核機構(gòu)的管理,成為ISMS認證認可及認證審核工作需要考慮的重點。而本標(biāo)準(zhǔn)提供了這樣的要求,對于認可機構(gòu)以一致的方式對信息安全管理體系認證機構(gòu)實施評審和認可具有非常實用的指導(dǎo)意義。因此編制組經(jīng)討論,決定等同采用國際標(biāo)準(zhǔn)ISO/IEC27006:2011《信息技術(shù)安全技術(shù)信息安全管理體系審核認證機構(gòu)的要求》。準(zhǔn)確理解國際標(biāo)準(zhǔn)內(nèi)容。本標(biāo)準(zhǔn)是對國際標(biāo)準(zhǔn)ISO/IEC27006:2011的等同轉(zhuǎn)化,因此,本標(biāo)準(zhǔn)翻譯過程中,堅持以準(zhǔn)確理解國際標(biāo)準(zhǔn)原文及含義為準(zhǔn)繩,同時采用中文語言習(xí)慣進行表述,使文本語言的描述盡可能順利、通暢。遵從已有的術(shù)語和定義。由于本標(biāo)準(zhǔn)與已有ISMS國家標(biāo)準(zhǔn)有密切相關(guān)性,因此,本標(biāo)準(zhǔn)在術(shù)語和定義的使用上,采用了如下原則:已有信息安全術(shù)語定義的,遵從其定義;在其他ISMS標(biāo)準(zhǔn)中已經(jīng)定義過的術(shù)語,遵從其定義。2.2主要內(nèi)容本標(biāo)準(zhǔn)對信息安全管理體系(以下簡稱“ISMS”)審核和認證的機構(gòu)規(guī)定了要求并提供了指南,以作為對ISO/IEC17021和ISO/IEC27001中相關(guān)要求的補充。本標(biāo)準(zhǔn)的主要目的是為實施ISMS認證的認證機構(gòu)的認可提供支持(本標(biāo)準(zhǔn)的主要目的是為ISMS認證機構(gòu)的認可提供支持)。任何提供ISMS認證的機構(gòu)需要在能力和可靠性方面證實其滿足本標(biāo)準(zhǔn)的要求。本標(biāo)準(zhǔn)的指南為這些要求提供了進一步的解釋。本標(biāo)準(zhǔn)主要框架如下:前言 III引言 IV1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14原則 25通用要求 25.1法律和合同事宜 25.2公正性的管理 25.2.1IS5.2利益沖突 25.3責(zé)任與財力 26結(jié)構(gòu)要求 26.1組織結(jié)構(gòu)和最高管理層 26.2維護公正性的委員會 27資源要求 37.1管理層和人員的能力 37.1.1IS7.1.1通用考慮 37.2參與認證活動的人員 37.2.1IS7.2認證機構(gòu)人員的能力 37.3獨立的外部審核員和外部專家的使用 57.3.1IS7.3使用外部審核員或外部技術(shù)專家作為審核組的一部分 57.4人員記錄 57.5外包 58信息要求 58.1可公開獲取的信息 58.1.1IS8.1授予、保持、擴大、縮小、暫停和撤銷認證的程序 58.2認證文件 58.3獲證客戶名錄 68.4認證的引用和標(biāo)志的使用 68.4.1IS8.4認證標(biāo)志的控制 68.5保密性 68.5.1IS8.5組織記錄的訪問 68.6認證機構(gòu)與其客戶間的信息交換 69過程要求 69.1通用要求 69.1.1IS9.1.1通用ISMS審核要求 69.1.2IS9.1.2認證范圍 79.1.3IS9.1.3審核時間 79.1.4IS9.1.4多場所 79.1.5IS9.1.5審核方法 89.1.6IS9.1.6認證審核報告 89.2初次審核和認證 99.2.1IS9.2.1審核組的能力 99.2.2IS9.2.2初次審核的一般準(zhǔn)備 109.2.3IS9.2.3初次認證審核 109.2.4IS9.2.4授予初次認證的信息 129.2.5IS9.2.5認證決定 129.3監(jiān)督活動 129.3.1IS9.3監(jiān)督審核 129.4再認證 139.4.1IS再認證審核 139.5特殊審核 139.5.1IS9.5特殊情況 139.6暫停、取消或縮小認證范圍 139.7申訴 139.8投訴 139.8.1IS9.8投訴 139.9申請者和客戶記錄 1410認證機構(gòu)的管理體系要求 1410.1選項 1410.2方式一:按照GB/T19001-2008的管理體系要求 1410.3方式二:通用的管理體系要求 1410.3.1IS10.3ISMS實施 14附錄A(資料性附錄)客戶組織復(fù)雜性和行業(yè)特定方面的分析 15附錄B(資料性附錄)審核員能力的示例 18附錄C(資料性附錄)審核時間 20附錄D(資料性附錄)對已實施的GB/T22080-2008附錄A的控制措施的評審指南25 主要試驗(或驗證)的分析、綜述報告,技術(shù)經(jīng)濟論證,預(yù)期的經(jīng)濟效果本標(biāo)準(zhǔn)為信息安全管理體系認證機構(gòu)對組織的ISMS實施審核和認證規(guī)定了要求并提供了指南,以作為對GB/T27021和GB/T22080中相關(guān)要求的補充。之前,我國已經(jīng)依據(jù)GB/T25067-2010《信息技術(shù)安全技術(shù)信息安全管理體系認證審核機構(gòu)要求》開展了三年多的ISMS認證審核機構(gòu)的認可,各相關(guān)方對GB/T25067-2010中的術(shù)語、概念和要求已經(jīng)達成了一定程度的共識,轉(zhuǎn)化新版ISO/IEC27006:2011時面臨的主要問題是既要修訂舊版中某些術(shù)語和概念中不準(zhǔn)確的部分,又要做到舊版和新版的良好銜接。本標(biāo)準(zhǔn)不產(chǎn)生直接的經(jīng)濟效益,從國家主管部門對開展信息安全管理體系認證的管理工作來看,本標(biāo)準(zhǔn)為提供ISMS認證的認證機構(gòu)的認可提供支持。采用國際標(biāo)準(zhǔn)和國外先進標(biāo)準(zhǔn)的程度,以及與國際、國外同類標(biāo)準(zhǔn)水平的對比情況,或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況本標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC27006:2011。與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)。本標(biāo)準(zhǔn)與現(xiàn)有國家標(biāo)準(zhǔn)GB/T22080:2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》、GB/T22081:2008《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》都屬于信息安全管理體系標(biāo)準(zhǔn)族標(biāo)準(zhǔn)。GB/T22080:2008提供了建立信息安全管理體系的模型及每個過程的具體活動,可供用戶建立和實施滿足自身業(yè)務(wù)需求和安全需要的信息安全管理體系。GB/T22081:2008提供了一套通用的安全控制目標(biāo)和最佳實踐控制措施,可指導(dǎo)用戶選擇和實施控制措施以實現(xiàn)信息安全。本標(biāo)準(zhǔn)為依據(jù)GB/T22080:2008實施ISMS認證審核的機構(gòu)規(guī)定了要求并提供了指南。另外本標(biāo)準(zhǔn)與GB/T27021《合格評定管理體系審核認證機構(gòu)的要求》都屬于認可標(biāo)準(zhǔn)。GB/T27021規(guī)定了管理體系認證機構(gòu)的要求,貫徹這些要求旨在確保認證機構(gòu)以有能力、一致和公正的方式實施管理體系認證。本標(biāo)準(zhǔn)在GB/T27021標(biāo)準(zhǔn)要求的基礎(chǔ)了,補充了ISMS認證機構(gòu)的要求。重大分歧意見的處理經(jīng)過和依據(jù)在標(biāo)準(zhǔn)修訂工作進行中未出現(xiàn)重大分歧意見,具體內(nèi)容見標(biāo)準(zhǔn)報批稿意見匯總處理表。國家標(biāo)準(zhǔn)作為強制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實施。貫徹國家標(biāo)準(zhǔn)的要求和措施建議(包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容)本標(biāo)準(zhǔn)為信息安全管理體系認證機構(gòu)對組織的信息安全管理體系實施審核和認證規(guī)定了要求并提供了指南,以作為對GB/T27021《合格評定管理體系審核認證機構(gòu)的要求》和GB/T22080《信息技術(shù)安全技術(shù)信息安全管理體系要求》中相關(guān)要求的補充。因此,本標(biāo)準(zhǔn)貫徹實施時,應(yīng)與上述兩個標(biāo)準(zhǔn)結(jié)合在一起進行。其他事項說明本標(biāo)準(zhǔn)與國家標(biāo)準(zhǔn)GB/T27021《合格評定管理體系審核認證機構(gòu)的要求》都屬于認可要求標(biāo)準(zhǔn),標(biāo)準(zhǔn)內(nèi)容相關(guān)性強。本標(biāo)準(zhǔn)正文遵循GB/T27021的結(jié)構(gòu),且在標(biāo)準(zhǔn)文本中大量引用GB/T270

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論