GB/T 28450-2020信息技术安全技术信息安全管理体系审核指南

ICS35040

L80.

中华人民共和国国家标准

GB/T28450—2020/ISO/IEC270072017

代替:

GB/T28450—2012

信息技术安全技术

信息安全管理体系审核指南

Informationtechnology—Securitytechniques—Guidelinesfor

informationsecuritymanagementsystemsauditing

(ISO/IEC27007:2017,IDT)

2020-12-14发布2021-07-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T28450—2020/ISO/IEC270072017

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

审核原则

4…………………1

审核方案的管理

5…………………………1

总则

5.1…………………1

确立审核方案的目标

5.2………………1

建立审核方案

5.3………………………2

实施审核方案

5.4………………………3

监视审核方案

5.5………………………4

评审和改进审核方案

5.6………………4

实施审核

6…………………4

总则

6.1…………………4

审核的启动

6.2…………………………4

审核活动的准备

6.3……………………5

审核活动的实施

6.4……………………5

审核报告的编制和分发

6.5……………6

审核的完成

6.6…………………………7

审核后续活动的实施

6.7………………7

审核员的能力和评价

7……………………7

总则

7.1…………………7

确定满足审核方案需求的审核人员能力

7.2…………7

审核员评价准则的建立

7.3……………8

选择适当的审核员评价方法

7.4………………………8

进行审核员评价

7.5……………………8

保持并提高审核员能力

7.6……………8

附录资料性附录审核实践指南

A()ISMS………………9

参考文献

……………………34

Ⅰ

GB/T28450—2020/ISO/IEC270072017

:

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术信息安全管理体系审核指南与

GB/T28450—2012《》,GB/T28450—

相比主要技术性变化如下

2012,:

删除了特定审核原则的内容见年版的

———ISMS(20124.2);

删除了审核方案管理流程图见年版的

———(20125.1);

删除了审核方案内容见年版的

———(20125.2.2);

增加了审核方案管理人员能力的内容见

———(5.3.2);

增加了审核方案范围和详略程度确定的内容见

———(5.3.3);

增加了审核方案风险识别和评估的内容见

———(5.3.4);

修改了审核方案实施的内容见年版的

———(5.4,20125.4);

删除了审核方案记录的内容见年版的

———(20125.5);

删除了审核组长指定的内容见年版的

———(20126.2.1);

删除了实用帮助信息收集注意事项见年版的

——————(20126.5.4.1);

删除了审核报告批准的内容见年版的

———(20126.6.2);

删除了能力概念图见年版的

———(20127.1.1);

删除了个人素质的内容见年版的

———(20127.2);

增加了个人行为的内容见

———(7.2.2);

删除了特定及相关专业知识和技能的内容见年版的

———ISMS(20127.3.3);

增加了管理体系审核员特定领域与专业知识和技能的内容见

———(7.2.3.3);

增加了多领域管理体系审核知识和技能的内容见

———(7.2.3.5);

删除了教育工作经历审核员培训和审核经历的内容见年版的

———、、(20127.4);

增加了审核员能力获得的内容见

———(7.2.4);

修改了审核员评价的内容见年版的

———(7.3、7.4、7.5,20127.6);

重新组织了附录的内容删除了原标准的五个附录增加了附录审核实践指南与

———,,A:ISMS,

附录保持一致

ISO/IEC27007:2017A。

本标准使用翻译法等同采用信息技术安全技术信息安全管理体系审核指

ISO/IEC27007:2017《

南

》。

与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下

:

管理体系审核指南

———GB/T19011—2013(ISO19011:2011,IDT)

信息技术安全技术信息安全管理体系要求

———GB/T22080—2016(ISO/IEC27001:

2013,IDT)

信息技术安全技术信息安全管理体系概述和词汇

———GB/T29246—2017(ISO/IEC27000:

2016,IDT)

本标准做了下列编辑性修改

:

在引言中对本标准中涉及的部分术语和定义与其他标准相关内容的关系进行了说明

———,;

在参考文献中增加了国际文件

———ISO/IEC27017。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

Ⅲ

GB/T28450—2020/ISO/IEC270072017

:

本标准起草单位北京时代新威信息技术有限公司中国网络安全审查技术与认证中心中国电子

:、、

技术标准化研究院全国组织机构统一社会信用代码数据服务中心

、。

本标准主要起草人王新杰王连强张剑上官晓丽孙镇赵捷郑玮陈剑博郭乐宇汪洋曹宇

:、、、、、、、、、、、

程瑜琦王姣孙泰李晟飞

、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T28450—2012。

Ⅳ

GB/T28450—2020/ISO/IEC270072017

:

引言

本标准提供了下列指南

:

信息安全管理体系审核方案的管理

———(ISMS);

遵循实施内部和外部审核

———GB/T22080—2016;

审核员的能力和评价

———ISMS。

本标准宜与中包含的指南一起使用

GB/T19011—2013。

本标准遵循的结构审核所需的特定指南用字母进行标识

GB/T19011—2013,ISMSISMS,“IS”。

开展审核时本标准新增的特定指南宜与配合使用用字母

ISMS,ISMSGB/T19011—2013,“IS”

进行标识

”。

提供了关于审核方案管理管理体系内部或外部审核实施以及管理体系审核

GB/T19011—2013、

员能力和评价的指南

。

本标准未声明组织规模要求可适用于所有用户包括中小型组织

,,。

本标准中涉及的部分术语和定义与其他标准相关内容的关系说明如下

,;

国际标准中的在中翻译为程序而在

———“Procedure”,GB/T19011—2013“”,GB/T22080—2016

中翻译为规程因本标准同时引用了这两个标准的原文故本标准中出现该术语的地方均采

“”,,

用其原标准中的定义

;

国际标准中的在中翻译为实施而在

———“Implement”,GB/T19011—2013“”,GB/T22080—2016

中翻译为实现因本标准同时引用了这两个标准的原文故本标准中出现该术语的地方均采

“”,,

用其原标准中的定义

;

国际标准中的在中翻译为保持而在

———“Maintain”,GB/T19011—2013“”,GB/T22080—2016

中翻译为维护因本标准同时引用了这两个标准的原文故本标准中出现该术语的地方均采

“”,,

用其原标准中的定义

;

国际标准中的在中翻译为文档化信息而

———“Documentedinformation”,GB/T29246—2017“”,

在中翻译为文件化信息因本标准引用了的原文

GB/T22080—2016“”,GB/T22080—2016,

故本标准中出现该术语的地方均采用中的定义

GB/T22080—2016;

国际标准中的在中翻译为语境而在中

———“Context”,GB/T29246—2017“”,GB/T22080—2016

翻译为环境因本标准引用了的原文故本标准中出现该术语的地方均

“”,GB/T22080—2016,

采用中的定义

GB/T22080—2016;

国际标准中的在中翻译为持续性而在

———“Continuity”,GB/T29246—2017“”,GB/T22080—

中翻译为连续性因本标准引用了的原文故本标准中出现该术

2016“”,GB/T22080—2016,

语的地方均采用中的定义

GB/T22080—2016。

Ⅴ

GB/T28450—2020/ISO/IEC270072017

:

信息技术安全技术

信息安全管理体系审核指南

1范围

本标准在的基础上为信息安全管理体系以下简称审核方案管理和审

GB/T19011—2013,(ISMS)

核实施提供了指南并对审核员能力提供了评价指南

,ISMS。

本标准适用于需要理解或实施的内部或外部审核或需要管理审核方案的所有组织

ISMS,ISMS。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文