标准解读
《GB/T 28450-2012 信息安全技术 信息安全管理体系审核指南》是中国国家标准之一,旨在为信息安全管理体系(ISMS)的审核过程提供指导。该标准适用于需要进行ISMS内部或外部审核的各种组织,帮助确保这些组织的信息安全管理体系符合既定要求。
根据《GB/T 28450-2012》,信息安全管理体系审核是指系统地获取和客观评价审核证据的过程,以判断一个组织是否遵循了已建立的信息安全方针、程序及相关法律法规的要求。它强调了审核计划的重要性,包括确定审核目的、范围、准则以及所需资源等前期准备工作;同时明确了实施阶段的关键活动如首次会议、现场审核、收集并验证信息等步骤的具体操作方法。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T28450—2012
信息安全技术
信息安全管理体系审核指南
Informationsecuritytechnology—
Guidelinesforinformationsecuritymanagementsystemauditing
2012-06-29发布2012-10-01实施
中华人民共和国国家质量监督检验检疫总局发布
中国国家标准化管理委员会
GB/T28450—2012
目次
前言…………………………
Ⅲ
引言…………………………
Ⅳ
范围………………………
11
规范性引用文件…………………………
21
术语和定义………………
31
审核原则…………………
41
通用的审核原则……………………
4.11
审核原则……………………
4.2IS4.11
审核方案的管理…………………………
51
总则…………………
5.11
审核方案的目的和内容……………
5.23
审核方案的职责资源和程序………………………
5.3、4
审核方案的实施……………………
5.44
审核方案的记录……………………
5.54
审核方案的监视和评审……………
5.65
审核活动…………………
65
总则…………………
6.15
审核的启动…………………………
6.25
文件评审的实施……………………
6.35
现场审核的准备……………………
6.46
现场审核的实施……………………
6.56
审核报告的编制批准和分发………………………
6.6、7
审核的完成…………………………
6.78
审核后续活动的实施………………
6.88
审核员的能力与评价……………………
78
总则…………………
7.18
个人素质……………
7.28
知识和技能…………………………
7.39
教育工作经历审核员培训和审核经历…………
7.4、、11
能力的保持和提高…………………
7.511
审核员的评价………………………
7.611
附录资料性附录各应用领域的典型应用系统示例………………
A()12
附录资料性附录的过程审核示例…………
B()ISMS14
附录资料性附录控制措施的审核示例……………
C()19
附录资料性附录本标准与的对照…………
D()GB/T19011—200321
Ⅰ
GB/T28450—2012
附录资料性附录审核组审核员的选择……………
E()24
参考文献……………………
27
图审核方案管理流程图…………………
12
图能力的概念……………
28
表典型应用系统举例…………
A.1IT12
表体系文件建立发布与宣贯过程审核示例………
B.1、14
表风险评估与处理过程审核示例…………………
B.215
表业务连续性的信息安全管理方面过程审核示例………………
B.316
表法律法规符合性判定过程审核示例……………
B.417
表信息处理设施的授权过程审核示例……………
C.119
表处理第三方协议中的安全问题审核示例………
C.219
表信息的标记与处理审核示例……………………
C.320
表本标准与对照表…………
D.1GB/T19011—200321
表审核组审核员的选择知识能力考虑点示例……………………
E.124
Ⅱ
GB/T28450—2012
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
,。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位中国信息安全认证中心中国电子技术标准化研究所北京知识安全工程中心
:、、。
本标准主要起草人张剑上官晓丽许玉娜王新杰闵京华陈珍成
:、、、、、。
Ⅲ
GB/T28450—2012
引言
本标准旨在为信息安全管理体系简称审核员包括内部审核员和外部审核员执行
(ISMS)()ISMS
审核提供指导以确保审核
,ISMS:
既符合的要求又与质量和或环境管理体系审核
———GB/T22080—2008,GB/T19011—2003《()
指南和信息技术安全技术信息安全管理
》(ISO19011:2002,IDT)ISO/IEC27006:2007《
体系审核认证机构要求标准保持一致
》;
成为帮助受审核的组织持续改进的一项有效活动
———。
本标准在的基础上为信息安全管理体系的审核原则审核方案管理和审核实
GB/T19011—2003、
施提供了指导并对审核员的能力及其评价提供了指导本标准旨在适用于广泛的潜在使用者包括审
,。,
核员实施的组织因合同原因需要对实施审核的组织以及合格评定领域中与审核员注册
、ISMS,ISMS
或培训管理体系认证注册认可或标准化有关的组织
、、。
当与其他管理体系一起实施时由本标准使用者决定这些管理体系审核是分别进行还是一
ISMS,
起进行
。
本标准采纳质量和或环境管理体系审核指南的标
GB/T19011—2003《()》(ISO19011:2002,IDT)
准正文的格式与内容在此基础上针对的特点增加了相关内容用加以标识另外第章
,ISMS,“IS”。,7
针对提出了专门要求还增加了个资料性附录见附录
ISMS,5(D)。
此外在监视与要求如产品规范或法律法规的符合性方面感兴趣的任何其他个人或组织可以发
,(),
现本标准中的指南是有用的
。
Ⅳ
GB/T28450—2012
信息安全技术
信息安全管理体系审核指南
1范围
本标准在的基础上为信息安全管理体系简称的审核原则审核方案管
GB/T19011—2003(ISMS)、
理和审核实施提供了指导并对审核员的能力及其评价提供了指导
,。
本标准适用于需要实施内部审核外部审核或对审核进行管理的所有组织
ISMS、。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
质量管理体系基础和术语
GB/T19000—2008(ISO9000:2005,IDT)
质量和或环境管理体系审核指南
GB/T19011—2003()(ISO19011:2002,IDT)
信息技术安全技术信息安全管理体系要求
GB/T22080—2008(ISO/IEC27001:2005,IDT)
信息技术安全技术信息安全管理实用规则
GB/T22081—2008(ISO/IEC27002:2005,IDT)
3
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 分拣外包合同范例
- 楼梯低价改造合同范例
- ppr管购销合同范例
- 车辆买卖套路合同范例
- 贷款资金用途合同范例
- 游戏币回收合同范例
- 建筑分红合同范例
- 养殖入股合同范例
- 小建筑设计课程设计
- 幼儿园特色瑜伽课程设计
- 2024年初中七年级英语上册单元写作范文(新人教版)
- 2025年蛇年年会汇报年终总结大会模板
- 2024年度国家公务员考试公共基础知识复习试卷及答案(共四套)
- 中国高血压防治指南(2024年修订版)解读-治疗篇
- 内审检查表完整版本
- 2024年秋季国家开放大学《形势与政策》大作业及答案
- 上海市复旦附中2025届高一上数学期末检测模拟试题含解析
- 义务教育劳动课程标准2022年版考试题库及答案5
- 《社会调查研究与方法》形成性考核册及参考答案
- 肿瘤所治疗所致血小板减少症诊疗指南
- 中考英语词汇
评论
0/150
提交评论