标准解读

《GB/T 28450-2020 信息技术 安全技术 信息安全管理体系审核指南》与《GB/T 28450-2012 信息安全技术 信息安全管理体系审核指南》相比,在多个方面进行了更新和完善,主要体现在以下几个方面:

一、结构和内容调整:新版本标准根据ISO/IEC导则第1部分附件SL中给出的高阶结构(HLS)进行编写,使得标准更加符合国际标准化组织对于管理体系标准的一致性要求。这种结构调整有助于提高与其他管理体系标准(如质量管理体系、环境管理体系等)之间的兼容性和整合能力。

二、术语定义更新:针对信息安全领域内出现的新概念和技术发展情况,《GB/T 28450-2020》对一些关键术语进行了修订或新增,确保了术语使用的准确性和时效性。例如,“信息资产”、“风险处理”等相关术语可能得到了更精确地描述。

三、强化风险管理:新版标准进一步强调了风险管理在整个ISMS审核过程中的重要性,并提供了更为详细的风险评估方法指导。这包括如何识别潜在威胁、脆弱性分析以及采取适当控制措施等内容,帮助企业更好地理解和实施有效的风险管理策略。

四、增加数字化转型相关内容:随着企业数字化转型步伐加快,《GB/T 28450-2020》特别关注了云计算、大数据等新兴技术应用给信息安全带来的挑战,并提出相应建议。这部分内容旨在帮助组织在享受新技术带来便利的同时,也能有效应对由此产生的安全问题。

五、加强对外部供方管理的要求:鉴于许多组织依赖外部服务提供商来支持其业务运作,《GB/T 28450-2020》增加了对外部供方的信息安全管理要求,包括合同签订前后的尽职调查、监控机制等方面的规定,以确保供应链整体的安全性。

六、提升文档化水平:为了便于理解和执行,新版标准还改进了文档化要求,明确了需要形成文件的信息类型及格式,使整个审核流程更加透明可控。同时,也鼓励使用电子化手段来管理和维护相关记录,提高工作效率。

这些变化反映了当前信息安全形势下对企业管理水平提出的更高要求,同时也体现了标准制定者对未来发展趋势的前瞻性思考。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2020-12-14 颁布
  • 2021-07-01 实施
©正版授权
GB/T 28450-2020信息技术安全技术信息安全管理体系审核指南_第1页
GB/T 28450-2020信息技术安全技术信息安全管理体系审核指南_第2页
GB/T 28450-2020信息技术安全技术信息安全管理体系审核指南_第3页
GB/T 28450-2020信息技术安全技术信息安全管理体系审核指南_第4页
GB/T 28450-2020信息技术安全技术信息安全管理体系审核指南_第5页
已阅读5页,还剩39页未读 继续免费阅读

下载本文档

免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T28450—2020/ISO/IEC270072017

代替:

GB/T28450—2012

信息技术安全技术

信息安全管理体系审核指南

Informationtechnology—Securitytechniques—Guidelinesfor

informationsecuritymanagementsystemsauditing

(ISO/IEC27007:2017,IDT)

2020-12-14发布2021-07-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T28450—2020/ISO/IEC270072017

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

审核原则

4…………………1

审核方案的管理

5…………………………1

总则

5.1…………………1

确立审核方案的目标

5.2………………1

建立审核方案

5.3………………………2

实施审核方案

5.4………………………3

监视审核方案

5.5………………………4

评审和改进审核方案

5.6………………4

实施审核

6…………………4

总则

6.1…………………4

审核的启动

6.2…………………………4

审核活动的准备

6.3……………………5

审核活动的实施

6.4……………………5

审核报告的编制和分发

6.5……………6

审核的完成

6.6…………………………7

审核后续活动的实施

6.7………………7

审核员的能力和评价

7……………………7

总则

7.1…………………7

确定满足审核方案需求的审核人员能力

7.2…………7

审核员评价准则的建立

7.3……………8

选择适当的审核员评价方法

7.4………………………8

进行审核员评价

7.5……………………8

保持并提高审核员能力

7.6……………8

附录资料性附录审核实践指南

A()ISMS………………9

参考文献

……………………34

GB/T28450—2020/ISO/IEC270072017

:

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术信息安全管理体系审核指南与

GB/T28450—2012《》,GB/T28450—

相比主要技术性变化如下

2012,:

删除了特定审核原则的内容见年版的

———ISMS(20124.2);

删除了审核方案管理流程图见年版的

———(20125.1);

删除了审核方案内容见年版的

———(20125.2.2);

增加了审核方案管理人员能力的内容见

———(5.3.2);

增加了审核方案范围和详略程度确定的内容见

———(5.3.3);

增加了审核方案风险识别和评估的内容见

———(5.3.4);

修改了审核方案实施的内容见年版的

———(5.4,20125.4);

删除了审核方案记录的内容见年版的

———(20125.5);

删除了审核组长指定的内容见年版的

———(20126.2.1);

删除了实用帮助信息收集注意事项见年版的

——————(20126.5.4.1);

删除了审核报告批准的内容见年版的

———(20126.6.2);

删除了能力概念图见年版的

———(20127.1.1);

删除了个人素质的内容见年版的

———(20127.2);

增加了个人行为的内容见

———(7.2.2);

删除了特定及相关专业知识和技能的内容见年版的

———ISMS(20127.3.3);

增加了管理体系审核员特定领域与专业知识和技能的内容见

———(7.2.3.3);

增加了多领域管理体系审核知识和技能的内容见

———(7.2.3.5);

删除了教育工作经历审核员培训和审核经历的内容见年版的

———、、(20127.4);

增加了审核员能力获得的内容见

———(7.2.4);

修改了审核员评价的内容见年版的

———(7.3、7.4、7.5,20127.6);

重新组织了附录的内容删除了原标准的五个附录增加了附录审核实践指南与

———,,A:ISMS,

附录保持一致

ISO/IEC27007:2017A。

本标准使用翻译法等同采用信息技术安全技术信息安全管理体系审核指

ISO/IEC27007:2017《

》。

与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下

:

管理体系审核指南

———GB/T19011—2013(ISO19011:2011,IDT)

信息技术安全技术信息安全管理体系要求

———GB/T22080—2016(ISO/IEC27001:

2013,IDT)

信息技术安全技术信息安全管理体系概述和词汇

———GB/T29246—2017(ISO/IEC27000:

2016,IDT)

本标准做了下列编辑性修改

:

在引言中对本标准中涉及的部分术语和定义与其他标准相关内容的关系进行了说明

———,;

在参考文献中增加了国际文件

———ISO/IEC27017。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

GB/T28450—2020/ISO/IEC270072017

:

本标准起草单位北京时代新威信息技术有限公司中国网络安全审查技术与认证中心中国电子

:、、

技术标准化研究院全国组织机构统一社会信用代码数据服务中心

、。

本标准主要起草人王新杰王连强张剑上官晓丽孙镇赵捷郑玮陈剑博郭乐宇汪洋曹宇

:、、、、、、、、、、、

程瑜琦王姣孙泰李晟飞

、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T28450—2012。

GB/T28450—2020/ISO/IEC270072017

:

引言

本标准提供了下列指南

:

信息安全管理体系审核方案的管理

———(ISMS);

遵循实施内部和外部审核

———GB/T22080—2016;

审核员的能力和评价

———ISMS。

本标准宜与中包含的指南一起使用

GB/T19011—2013。

本标准遵循的结构审核所需的特定指南用字母进行标识

GB/T19011—2013,ISMSISMS,“IS”。

开展审核时本标准新增的特定指南宜与配合使用用字母

ISMS,ISMSGB/T19011—2013,“IS”

进行标识

”。

提供了关于审核方案管理管理体系内部或外部审核实施以及管理体系审核

GB/T19011—2013、

员能力和评价的指南

本标准未声明组织规模要求可适用于所有用户包括中小型组织

,,。

本标准中涉及的部分术语和定义与其他标准相关内容的关系说明如下

,;

国际标准中的在中翻译为程序而在

———“Procedure”,GB/T19011—2013“”,GB/T22080—2016

中翻译为规程因本标准同时引用了这两个标准的原文故本标准中出现该术语的地方均采

“”,,

用其原标准中的定义

;

国际标准中的在中翻译为实施而在

———“Implement”,GB/T19011—2013“”,GB/T22080—2016

中翻译为实现因本标准同时引用了这两个标准的原文故本标准中出现该术语的地方均采

“”,,

用其原标准中的定义

;

国际标准中的在中翻译为保持而在

———“Maintain”,GB/T19011—2013“”,GB/T22080—2016

中翻译为维护因本标准同时引用了这两个标准的原文故本标准中出现该术语的地方均采

“”,,

用其原标准中的定义

;

国际标准中的在中翻译为文档化信息而

———“Documentedinformation”,GB/T29246—2017“”,

在中翻译为文件化信息因本标准引用了的原文

GB/T22080—2016“”,GB/T22080—2016,

故本标准中出现该术语的地方均采用中的定义

GB/T22080—2016;

国际标准中的在中翻译为语境而在中

———“Context”,GB/T29246—2017“”,GB/T22080—2016

翻译为环境因本标准引用了的原文故本标准中出现该术语的地方均

“”,GB/T22080—2016,

采用中的定义

GB/T22080—2016;

国际标准中的在中翻译为持续性而在

———“Continuity”,GB/T29246—2017“”,GB/T22080—

中翻译为连续性因本标准引用了的原文故本标准中出现该术

2016“”,GB/T22080—2016,

语的地方均采用中的定义

GB/T22080—2016。

GB/T28450—2020/ISO/IEC270072017

:

信息技术安全技术

信息安全管理体系审核指南

1范围

本标准在的基础上为信息安全管理体系以下简称审核方案管理和审

GB/T19011—2013,(ISMS)

核实施提供了指南并对审核员能力提供了评价指南

,ISMS。

本标准适用于需要理解或实施的内部或外部审核或需要管理审核方案的所有组织

ISMS,ISMS。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论