首页 > 国家标准(GB) > GB/T 28450-2020 信息技术 安全技术信息安全管理体系审核指南
GB/T 28450-2020

基本信息

标准号: GB/T 28450-2020

中文名称:信息技术 安全技术信息安全管理体系审核指南

标准类别:国家标准(GB)

标准状态:现行

出版语种:简体中文

下载格式:.zip .pdf

下载大小:20094699

相关标签: 信息技术 安全 技术 信息安全 管理体系 指南

标准分类号

关联标准

出版信息

相关单位信息

标准简介

GB/T 28450-2020.Information technology-Security techniques-Guidelines for information security management systems auditing.
1范围
GB/T 28450在GB/T 19011-2013的基础上,为信息安全管理体系(以下简称ISMS)审核方案管理和审核实施提供了指南,并对ISMS审核员能力提供了评价指南。
GB/T 28450适用于需要理解或实施ISMS的内部或外部审核,或需要管理ISMS审核方案的所有组织。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 19011-2013管 理体系审核指南(ISO 19011 :2011,IDT)
GB/T 22080-2016信息技术安全技术 信息安全管 理体系要求(ISO/IEC 27001 :2013,IDT)
GB/T 29246-2017 信息技术安全技术 信息安全管理体系 概述 和词汇( ISO/IEC 27000:2016,IDT)
3术语和定义
GB/T 19011-2013 和GB/T 29246-2017 界定的术语和定义适用于本文件。
4审核原则
GB/T 19011-2013的第4章审核原则适用。
5审核方案的管理
5.1总则
GB/T 19011-2013 的5.1的指南适用。并且,以下ISMS特定的指南适用。
5.1.1 IS 5.1总则
需要实施审核的组织宜建立审核方案,并考虑规划ISMS时所确定的风险和机会。
5.2确立审核方案的目标
GB/T 19011-2013 的5.2中的指南适用。并且,以下ISMS特定的指南适用。

标准图片预览






标准内容

ICS35.040
中华人民共和国国家标准
GB/T28450—2020/ISO/IEC27007:2017代替(GB/T281502012
信息技术
安全技术
信息安全管理体系审核指南
Information technology-Security techniques-Guidelines forinformation security management systems auditing(IS0/1EC27007:2017,IDT)
2020-12-14发布
国家市场监督管理总局
国家标准化管理委员会
2021-07-01实施
-riKacerKAca-
规范性引用文件
术语和定义
审核原则
审核方案的管理
确立宋核方案的目标
建立宋核方案
实施中核方案
监视市核方案
评审和改进中核力案
实施中核
核的启动
中核活动的准备
中核活动的实施
审核报告的编制和分发
中核的完成
中核后续活动的实施
7审核员的能力和评价
确定满足审核方案需求的中核人员能力7.2
7.3中核员评价准则的建立
选择适当的中核员评价方法
7.5进行审核员评价
7.6保持并提高中核员能力
附录A(资料性附录):ISMS中核实践指南·参考文献
rrKaeerKAca-
GB/T28450—2020/IS0/IEC27007:2017-riKacerKAca-
本标准接照CB/T1.12009给出的舰则起草。GB/T28450—2020/IS0/1EC27007:2017本标准代售GB/T28450—2012《信息安全技术信息安全管理体系审核指南》.与GB/T284502012比,主要技术性变化如下:删除了ISMS特定审核原则的内容(见2012年版的4.2):删除了审核方案管理流程图(见2012年版的5.1):一删除广中核方案内容(见2012年版的5.2.2):增加了审核方案管理人员能力的内容(见5.3.2);一增加了审核方案范用和详略程度确定的内容(见5.3.3);一增加「中核方案风险识别和评估的内容(见5.3.1);修改了审核方案实施的内容(见5.4,2012年版的5.4)删除了审核方案记录的内容(见2012年版的5.5):一删除了审核组长指定的内容(见2012年版的6.2.1):删除了实用帮助
信息收集注意事项(见2012年版的6.5.4.1):删除『中核报告批准的内容(见2012年版的6.6.2):一删除了能力概念图(见2012年版的7.1.1);删除了个人素质的内容(见2012年版的7.2);增加了个人行为的内容(见7.2.2);删除了ISMS特定及相关专业知识和技能的内容(见2012年版的7.3.3):增加了管理体系审核员特定领域与专业知识和技能的内容(见7.2.3.3);增加了多领域替埋体系中核知识和技能的内容(见7.2.3.5);删除了教育、工作经历、审核员培训和审核经历的内容(见2012年版的7.4):增加了审核员能力获得的内容(见7.2.4):修改了中核员评价的内容(见7.3.7.4、7.5.2012年版的7.6);重新组织了附录的内容,删除了原标准的五个附录,增加了附录A:ISMS审核实践指南,与IS0/IEC27007:2017附录A保持一致。本标准使用翻译法等同采用1SO/1EC27007:2017《信息技术安全技术信息安全管理体系中核指南》。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:GB/T19011—2013管埋体系中核指南(1S019011:2011,I)T)GB/T220802016信息技术安全技术信息安全管理体系要求(IS0/IEC27001:
2013,IDT)
(13/T29246—2017信息技术安全技术信息安全管理体系概述和词汇(1SO/IEC27000:2016,IDT)
本标准做下列编辑性修改:
在引言中对本标准中涉及的部分术语和定义,与其他标准村关内容的关系进行了说明:在参考文献中增加了国际文件ISO/IEC27017。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承扭识别这些专利的贡任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口,-rrKaeerkAca-
GB/T 28450—2020/IS0/1EC27007:2017本标准起草单位:北京时代新威信息技术有限公司、中国网络安全中技术与认证中心、中国电子技术标准化研究院、全国组织机构统一社会信用代码数据服务中心本标准主要起草人:工新杰、工连强、张剑、1官晓丽、孙镇、赵捷、郑玮、陈剑博、郭乐宁、汪洋、曹宁、程瑜琦、干姣、孙泰、李晟飞
本标准所代臀标准的历次版本发布情况为:GB/T28450—2012
rrKaeerkAca-
本标准提供了下列指南:
信息安全管理体系(ISMS)审核方案的管理:—遵循GB/T22080—2016实施内部和外部审核:一ISMS中核员的能力和评价
GB/T28450—2020/IS0/IEC27007:2017本标准亢与(13119011一2013中包含的指南一起使用。本标准遵循GB/T190112013的结构,ISMS审核所需的ISMS特定指南,用母*IS\进行标识,开展IS.VS审核时,本标雅新增的ISMS特定指南宜与GB/T190112013配合使用,用字母“IS*逊行标识”
GB/T19011-2013提供关于中核方案管理、管理体系内部或外部中核实施以及管埋体系中核员能力和评价的指南
本标准末声明组织规模要求,可适用于所有用户,包括中小型组织。本标准中涉及的部分术语和定义,与其他标准相关内容的关系说明如下;国际标准中的\Procedure\,在GB/T19011—2013中翻译为\程序.而在GB/T22080—2016中翻译为“规程”.因本标准同时引用这两个标准的原文,故本标准中出现该术谱的地方均采用其原标准中的定义;
国际标准中的\Implemen1”.在GB/T190112013中翻译为“实施”.而在GB/T220802016中翻译为“实现”,因不标准同时引用了这两个标准的原文,故本标准中出现该术语的地方均采用其原标准中的定义;
国际标准巾的“Maintain”,在GB/T19011一2013中潮译为“保持”.而在GB/T22080一2016中翻译为“维护”.因本标准同时引用了这两个标准的原文,故本标准中出现该术语的地方均采用其原标准中的定义;
国际标准中的\Documenled information”,在GB/T292462017中翻译为\文档化信息”,而在GB/T22080-—2016中翻译为“文件化信息”,因本标准引用了GB/T22080—2015的原文,故本标准中出现该术谱的地方均采用GB/T22080—2016中的定义;国际标准中的\(ontcxt\,在G13/T29246—2017中翻译为\语境\.而在(G13/T22080—2016中翻译为*坏境”,因本标准引用了B/工220802016的原文,故本标准中出现该术语的地方虏采用GB/T220802016中的定义:
—国际标准中的“Continuity”,在GB/T29246一2017中翻译为“持续性”,而在GB/T220802016币翻译为“连续性”,因本标准用厂(B/T22080一2016的原文,故本标准巾出现该术语的地方均采用G3/122080一206中的定义riKaeerkAca-
-riKacerKAca-
1范围
GB/T28450—2020/IS0/1EC27007:2017信息技术安全技术
信息安全管理体系审核指南
本标准在GB/T19011:2013的基础上,为信息安全管理体系(以下荷称IS.MS)中核方案管理和市核实施提供了指南,并对ISMS中核员能力提供了评价指南。本标准适用丁需要理解或实施ISMS的内部或外部审核,或需要管理ISMS审核方案的所有组织,2规范性引用文件
下列文件对于本文件的成用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修政单)适用丁本文件GB/T19011—2013管埋体系中核指南(ISO19011:2011,IDT)GB/T22080—2016信息技术安全技术信息安全管理体系要求(IS0/IEC27001:2013.
GB/T 29216-—2017
信息安全管理体系概述和词汇(ISO/IFC27000:信息技术
安全技术
3术语和定义
2013和GB/T292462017界亲的术语和定义适用工本文件GB/T19011
4审核原则
B/T19011一2013的第4章伟核原则适用5审核方案的管理
5.1总则
GB/T19011一2013的5.1的指南适用,并且,以下ISMS特定的指南适用5.1.1 IS 5.1 总则
需要实施审核的组织宜建立核方案,并考虑规划ISMS时所确定的风险和机会。5.2确立审核方案的目标
GB/T190112013的5.2中的指南适用。并Ⅱ以下ISMS特定的指南适用。5.2.1IS5.2确立审核方案的目标确立审核方案目标时,ISMS还宜考虑下列事项:1
rKaeerkAca-
GB/T28450—2020/IS0/1EC27007:2017a)
确定的信息安全要求:
b)GB/T22080—2016的要求:
发生信息安全事态和事件时所反映出的受审核方的绩效水平,以及IS.MS的有效性:c
注:有关绩效监视、测量、分析和评价的更多信息参见GB/T31197。d)规划ISMS时所确定的风险和机会:e)朴关方的信息安全风险,例如受中核方和中核委托方,ISMS特是核方案的自标川包括:a)相关法律、合同要求、其他要求及其安全影响的符合性验证:h)
获得并保持对受中核方在风险管理能力方而的信心评价成对信息安全风险和机会的措施的有效性,c)
5.3建立审核方案
5.3.1审核方案管理人员的作用和职责GB/T19011—2013的5.3.1中的指南适用5.3.2审核方案管理人员的能力
G3/T[9011—2013的5.3.2中的指南适用。5.3.3确定审核方案的范围和详略程度GB/T190112013的5.3.3中的指南适用,并H.,以下ISMS特定的指南适用。5.3.3.11S5.3.3确定审核方案的范围和详略程度中核方案的范围和详略程度会有所不同,并受下列因素影响:a)ISMS规模.包括:
1)在组织控制下开展工作的人员总数,以及与ISMS有关的相关方和合同方;2)信息系统的数量:
3)ISMS覆盖的场所数量。
b)ISMS的复杂程度(包括过程和活动的数量和关键性),并考虑ISMS范围内场所间的差异:c)
与业务有关的信息安全风险的重要性。d)
舰划ISMS时所确定的风险和机会的重要性在ISMS范围内保持信息的保密性、完整性和可用性的重要性,f)待审核信息系统的复杂度,包括所部署信息技术的复杂度。g)相似办公场所的数量
宜在审核方案中确定优先事项.以便根据信息安全风险的重要性和ISMS范围内的业务要求开展史详细的中核。
注:关于确定审核时间的多信息可在GB/T250872020中找到。更多关于多场所抑样的信息可布GB/T250672020和国际认可论坛的规范文件1(1AFMDI,参岁文做15)中找到:GB/T250672020和IAFMD1所包含的信息仪与认证市核有关5.3.4识别和评估审核方案风险
G3/T【9011一2013的5.3.1中的指南适用,并H.,以下ISMS特定的指南适用5.3.4.1IS5.3.4识别和评估审核方案风险审核方案风险还川能涉及保密要求相关的风险2
iiKaeerkAca-
5.3.5建立审核方案的程序
GB/T28450—2020/IS0/IEC27007:2017GB3/T190112013的5.3.5中的指南适用。并且,以下1SMS特定的指南适用。5.3.5.1IS5.3.5建立审核方案的程序宜根据受中核方和其他关方的要求确定信息安全和保密的保障措施,其他方要求包括朴关的法律和合同要求,
5.3.6识别审核方案资源
GB/T【9011一2013的5,8,6中的指南适用。并H.以下1SMS特定的指南适用5.3.6.1IS5.3.6识别审核方案资源SMS中核员无其宜分配足够的时间,针对适用于受中核方且与中核方案日标朴关的所有重大风险,评审成对信息安全风险以及SMS相美风险和机会所采取措施的有效性。5.4实施审核方案
5.4.1总则
GB/T190112013的5.4.1中的指南适用。5.4.2规定每次审核的目标范围和准则GB/T190112013的5.4.2中的指南适用。并H,以下ISMS特定的指南适用。5.4.2.1IS5.4.2规定每次审核的目标、范围和准则审核日标可包括以下内容:
a)评价ISMS是否充分识别并解决信息安全要求:b)评价维扩和有效收进ISMS的过程:c)确定信息安全控制对ISMS要求和规程的衍合程度。审核范用宜考虑到信息安全风险,以及相关方(即审核委托方和受核方)对ISMS带来的风险和机会:
如果ISMS处于审核范围内,那么审核组宜根据内部和外部事项以及相关方的需求和期望,确认受中核方ISMS的范围和边界。中核组宜确认受中核方在ISMS范围内满足GB/T22080一2016的4.3中规定的与审核范围有关的要求。下列文件可作为中核准则,并用作确认符合性的参考:a)受审核方采用的信息安全方针、信总安全月标、策咯和规程;b)法律和合同要求以及与受中核方相关的其他要求;受核方的信息安全风险准则、信息安全风险评估过程以及风险处置过程:d)适用性声明.特定部门或其他必要控制的识别以及对包含必要的控制及其选择的合理性说明(无论该控制是否已实现),以及对(G13/T22080一2016附录A控制删减的合理性说明:e)
可适当处置风险的控制的定义
监视,测量、分析和评价信总安全绩效及ISMS有效性的方法和准则;客户的信息安全要求;
h)供应商或外包商应用的信总安全要求。3
iiKaeerkAca-
GB/T 28450—2020/IS0/1EC27007:20175.4.3选择审核方法
GB3/T190112013的5.1.3中的指南适用。并1,以下ISMS特定的指南适用。5.4.3.1IS5.4.3选择审核方法bzxZ.net
如果进行联合中核·则宜特别关注相关方之间的信息泄露问题,在始审核之前,亢与所有相关方达成协设
5.4.4选择审核组成员
G3/T[9011一2013的5.1.1巾的指南适用。并且.以下ISMS特定的指南适用。5.4.4.11S5.4.4选择审核组成员整个审核组的能力宜包括充分认识和理解:)信息安全风险管理埋知识,足以支撑其评价受中核方所使用的方法;b)信息安全及信息安全管理知识,足以支撑其评价控制的确定以及ISMS的规划、实现、维护和有效性。
5.4.5为审核组长分配每次的审核职责G3/T[9011—2013的5.4.5中的指南适用。5.4.6管理审核方案结果
GB/T190112013的5.4.6市的南适用。管理和保持审核方案记录
GB/T19011—2013的5.4.7中的指南适用5.5监视审核方案
G3/T【90112013的5.5中的指南适用。5.6评审和改进审核方案
GB/T19011-—2013的5.6中的指南适用,6实施审核
6.1总则
GB/T19011-—2013的6.1中的指南适用6.2审核的启动
6.2.1总则
GB/T19011—2013的6.2.1中的指南适用6.2.2与受审核方建立初步联系
GB/T190112013的6.2.2中的指南适用。并Ⅱ,以下ISMS特定的指南适用。4
-riKaeerKAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。