GB/T 28450-2012信息安全技术信息安全管理体系审核指南

ICS35040

L80.

中华人民共和国国家标准

GB/T28450—2012

信息安全技术

信息安全管理体系审核指南

Informationsecuritytechnology—

Guidelinesforinformationsecuritymanagementsystemauditing

2012-06-29发布2012-10-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T28450—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

审核原则…………………

41

通用的审核原则……………………

4.11

审核原则……………………

4.2IS4.11

审核方案的管理…………………………

51

总则…………………

5.11

审核方案的目的和内容……………

5.23

审核方案的职责资源和程序………………………

5.3、4

审核方案的实施……………………

5.44

审核方案的记录……………………

5.54

审核方案的监视和评审……………

5.65

审核活动…………………

65

总则…………………

6.15

审核的启动…………………………

6.25

文件评审的实施……………………

6.35

现场审核的准备……………………

6.46

现场审核的实施……………………

6.56

审核报告的编制批准和分发………………………

6.6、7

审核的完成…………………………

6.78

审核后续活动的实施………………

6.88

审核员的能力与评价……………………

78

总则…………………

7.18

个人素质……………

7.28

知识和技能…………………………

7.39

教育工作经历审核员培训和审核经历…………

7.4、、11

能力的保持和提高…………………

7.511

审核员的评价………………………

7.611

附录资料性附录各应用领域的典型应用系统示例………………

A()12

附录资料性附录的过程审核示例…………

B()ISMS14

附录资料性附录控制措施的审核示例……………

C()19

附录资料性附录本标准与的对照…………

D()GB/T19011—200321

Ⅰ

GB/T28450—2012

附录资料性附录审核组审核员的选择……………

E()24

参考文献……………………

27

图审核方案管理流程图…………………

12

图能力的概念……………

28

表典型应用系统举例…………

A.1IT12

表体系文件建立发布与宣贯过程审核示例………

B.1、14

表风险评估与处理过程审核示例…………………

B.215

表业务连续性的信息安全管理方面过程审核示例………………

B.316

表法律法规符合性判定过程审核示例……………

B.417

表信息处理设施的授权过程审核示例……………

C.119

表处理第三方协议中的安全问题审核示例………

C.219

表信息的标记与处理审核示例……………………

C.320

表本标准与对照表…………

D.1GB/T19011—200321

表审核组审核员的选择知识能力考虑点示例……………………

E.124

Ⅱ

GB/T28450—2012

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

,。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国信息安全认证中心中国电子技术标准化研究所北京知识安全工程中心

:、、。

本标准主要起草人张剑上官晓丽许玉娜王新杰闵京华陈珍成

:、、、、、。

Ⅲ

GB/T28450—2012

引言

本标准旨在为信息安全管理体系简称审核员包括内部审核员和外部审核员执行

(ISMS)()ISMS

审核提供指导以确保审核

,ISMS:

既符合的要求又与质量和或环境管理体系审核

———GB/T22080—2008,GB/T19011—2003《()

指南和信息技术安全技术信息安全管理

》(ISO19011:2002,IDT)ISO/IEC27006:2007《

体系审核认证机构要求标准保持一致

》;

成为帮助受审核的组织持续改进的一项有效活动

———。

本标准在的基础上为信息安全管理体系的审核原则审核方案管理和审核实

GB/T19011—2003、

施提供了指导并对审核员的能力及其评价提供了指导本标准旨在适用于广泛的潜在使用者包括审

,。,

核员实施的组织因合同原因需要对实施审核的组织以及合格评定领域中与审核员注册

、ISMS,ISMS

或培训管理体系认证注册认可或标准化有关的组织

、、。

当与其他管理体系一起实施时由本标准使用者决定这些管理体系审核是分别进行还是一

ISMS,

起进行

。

本标准采纳质量和或环境管理体系审核指南的标

GB/T19011—2003《()》(ISO19011:2002,IDT)

准正文的格式与内容在此基础上针对的特点增加了相关内容用加以标识另外第章

,ISMS,“IS”。,7

针对提出了专门要求还增加了个资料性附录见附录

ISMS,5(D)。

此外在监视与要求如产品规范或法律法规的符合性方面感兴趣的任何其他个人或组织可以发

,(),

现本标准中的指南是有用的

。

Ⅳ

GB/T28450—2012

信息安全技术

信息安全管理体系审核指南

1范围

本标准在的基础上为信息安全管理体系简称的审核原则审核方案管

GB/T19011—2003(ISMS)、

理和审核实施提供了指导并对审核员的能力及其评价提供了指导

,。

本标准适用于需要实施内部审核外部审核或对审核进行管理的所有组织

ISMS、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

质量管理体系基础和术语

GB/T19000—2008(ISO9000:2005,IDT)

质量和或环境管理体系审核指南

GB/T19011—2003()(ISO19011:2002,IDT)

信息技术安全技术信息安全管理体系要求

GB/T22080—2008(ISO/IEC27001:2005,IDT)

信息技术安全技术信息安全管理实用规则

GB/T22081—2008(ISO/IEC27002:2005,IDT)

3