标准解读
《GB/T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南》是一份国家标准,旨在为组织建立、实施、维护和持续改进信息安全管理体系(ISMS)提供指导。该标准基于ISO/IEC 27001国际标准框架下制定,并结合了中国国情的特点。它适用于各种规模和类型的组织,帮助它们保护信息资产免受威胁,确保业务连续性。
在内容上,《GB/T 31496-2015》首先介绍了信息安全管理体系的基本概念、原则以及与之相关的术语定义,为读者理解后续章节奠定基础。接着,详细描述了如何规划ISMS的过程,包括确定ISMS范围、进行风险评估的方法论、设定风险管理策略等关键步骤。此外,还强调了高层管理者对于ISMS成功实施的重要性,指出需要获得他们的承诺和支持。
文件进一步阐述了ISMS的设计阶段,涵盖了选择控制措施以应对已识别的风险、准备必要的文档记录等方面。之后是关于如何运行ISMS的具体说明,如执行选定的安全控制、监控系统性能、定期审核等操作指南。同时,也提到了当发生安全事故时应采取的响应措施及事后恢复流程。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T31496—2015/ISO/IEC270032010
:
信息技术安全技术
信息安全管理体系实施指南
Informationtechnology—Securitytechniques—
Informationsecuritymanagementsystemimplementationguidance
(ISO/IEC27003:2010,IDT)
2015-05-15发布2016-01-01实施
中华人民共和国国家质量监督检验检疫总局发布
中国国家标准化管理委员会
中华人民共和国
国家标准
信息技术安全技术
信息安全管理体系实施指南
GB/T31496—2015/ISO/IEC27003:2010
*
中国标准出版社出版发行
北京市朝阳区和平里西街甲号
2(100029)
北京市西城区三里河北街号
16(100045)
网址
:
服务热线
:400-168-0010
年月第一版
20156
*
书号
:155066·1-51118
版权专有侵权必究
GB/T31496—2015/ISO/IEC270032010
:
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
本标准的结构
4……………1
章条的总结构
4.1………………………1
每章的一般结构
4.2……………………2
图表
4.3…………………3
获得管理者对启动项目的批准
5ISMS…………………4
获得管理者对启动项目的批准的概要
5.1ISMS……………………4
阐明组织开发的优先级
5.2ISMS……………………5
定义初步的范围
5.3ISMS……………7
制定初步的范围
5.3.1ISMS…………7
定义初步的范围内的角色和责任
5.3.2ISMS………8
为了管理者的批准而创建业务案例和项目计划
5.4…………………8
定义范围边界和方针策略
6ISMS、ISMS……………10
定义范围边界和方针策略的概述
6.1ISMS、ISMS………………10
定义组织的范围和边界
6.2……………11
定义信息通信技术的范围和边界
6.3(ICT)…………12
定义物理范围和边界
6.4………………13
集成每一个范围和边界以获得的范围和边界
6.5ISMS……………14
制定方针策略和获得管理者的批准
6.6ISMS………14
进行信息安全要求分析
7…………………15
进行信息安全要求分析的概述
7.1……………………15
定义过程的信息安全要求
7.2ISMS…………………17
标识范围内的资产
7.3ISMS…………17
进行信息安全评估
7.4…………………18
进行风险评估和规划风险处置
8…………19
进行风险评估和规划风险处置的概述
8.1……………19
进行风险评估
8.2………………………21
选择控制目标和控制措施
8.3…………21
获得管理者对实施和运行的授权
8.4ISMS…………22
设计
9ISMS………………23
设计的概述
9.1ISMS…………………23
设计组织的信息安全
9.2………………25
Ⅰ
GB/T31496—2015/ISO/IEC270032010
:
设计信息安全的最终组织结构
9.2.1………………25
设计的文件框架
9.2.2ISMS………………………26
设计信息安全方针策略
9.2.3………………………27
制定信息安全标准和规程
9.2.4……………………28
设计安全和物理信息安全
9.3ICT…………………29
设计特定的信息安全
9.4ISMS………………………31
管理评审的计划
9.4.1………………31
设计信息安全意识培训和教育方案
9.4.2、………32
产生最终的项目计划
9.5ISMS………………………33
附录资料性附录检查表的描述
A()……………………34
附录资料性附录信息安全的角色和责任
B()…………37
附录资料性附录有关内部审核的信息
C()……………40
附录资料性附录方针策略的结构
D()…………………41
附录资料性附录监视和测量
E()………………………45
参考文献
……………………49
Ⅱ
GB/T31496—2015/ISO/IEC270032010
:
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本标准使用翻译法等同采用信息技术安全技术信息安全管理体系实施
ISO/IEC27003:2010《
指南
》。
本标准做了以下编辑性修改
:
在引言部分增加了有关信息安全管理体系标准族情况的介绍
———。
本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
。。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位中国电子技术标准化研究院上海三零卫士信息安全有限公司山东省计算中心
:、、、
黑龙江省电子信息产品监督检验院北京信息安全测评中心中电长城网际系统应用有限公司
、、。
本标准主要起草人上官晓丽许玉娜董火民闵京华赵章界周鸣乐方舟李刚
:、、、、、、、。
Ⅲ
GB/T31496—2015/ISO/IEC270032010
:
引言
信息安全管理体系标准族简称标准族是国际
(InformationSecurityManagementSystem,ISMS)
信息安全技术标准化组织制定的信息安全管理体系系列国际标准标准
(ISO/IECJTC1SC27)。ISMS
族旨在帮助各种类型和规模的组织开发和实施管理其信息资产安全的框架并为保护组织信息诸如
,,(,
财务信息知识产权员工详细资料或者受客户或第三方委托的信息的的独立评估做准备
、、,)ISMS。
标准族包括的标准定义了的要求及其认证机构的要求提供了对整个规划实施检
ISMS:a)ISMS;b)“--
查处置过程和要求的直接支持详细指南和或解释阐述了特定行业的指南阐
-”(PDCA)、();c)ISMS;d)
述了的一致性评估
ISMS。
目前标准族由下列标准组成
,ISMS:
信息技术安全技术信息安全管理体系概述
———GB/T29246—2012/ISO/IEC27000:2009
和词汇
信息技术安全技术信息安全管理体系要求
———GB/T22080—2008/ISO/IEC27001:2005
信息技术安全技术信息安全管理实用规则
———GB/T22081—2008/ISO/IEC27002:2005
信息技术安全技术信息安全管理体系实施
———GB/T31496—2015/ISO/IEC27003:2010
指南
信息技术安全技术信息安全管理测量
———GB/T31497—2015/ISO/IEC27004:2009
信息技术安全技术信息安全风险管理
———GB/T31722—2015/ISO/IEC27005:2008
信息技术安全技术信息安全管理体系审核认
———GB/T25067—2010/ISO/IEC27006:2007
证机构的要求
信息技术安全技术信息安全管理体系审核指南
———ISO/IEC27007
信息技术安全技术基于的电信行业组织的信息
———ISO/IEC27011:2008ISO/IEC27002
安全管理指南
信息技术安全技术和集成实施指南
———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1
信息技术安全技术信息安全治理
———ISO/IEC27014:2013
信息技术安全技术金融服务信息安全管理指南
———ISO/IECTR27015:2012
本标准作为标准族之一其目的是为组织按照制定信息安全管理体系
ISMS,GB/T22080—2008
的实施计划提供实用指导实际情况下的实施通常作为一个项目来执行
(ISMS),。,ISMS。
本标准所描述的过程旨在为实施提供支持第章第章和第章所包含的
GB/T22080—2008;4、57
相关部分和文件可用于
:
准备启动组织的实施计划定义该项目的组织结构及获得管理者的批准
a)ISMS、,;
该项目的关键活动
b)ISMS;
实现要求的示例
c)GB/T22080—2008。
通过使用本标准组织将能够制定信息安全管理的过程并向利益相关方保证信息资产的风险可
,,,
持续保持在组织定义的可接受的信息安全边界内
。
本标准不涉及运行活动和其他活动但涉及了如何设计这些活动的概念这些活动是在开始
ISMS,,
运行后所产生的这些概念导致了最终的项目实施计划项目的组织特定部分的
ISMS。ISMS。ISMS
实际执行不在本标准范围内
。
项目的实施宜使用标准的项目管理方法学来执行更多信息请参见和有关项
ISMS(ISOISO/IEC
目管理的标准
)。
Ⅳ
GB/T31496—2015/ISO/IEC270032010
:
信息技术安全技术
信息安全管理体系实施指南
1范围
本标准依据关注设计和实施一个成功的信息安全管理体系所需要的
GB/T22080—2008,(ISMS)
关键方面本标准描述了规范及其设计的过程从开始到产生实施计划本标准为实施
。ISMS,。ISMS
描述了获得管理者批准的过程为实施定义了一个项目本标准称作项目并就如何规划
,ISMS(ISMS),
该项目提供了相应的指导产生最终的项目实施计划
ISMS,ISMS。
本标准可供实施一个的组织使用适用于各种规模和类型的组织例如商业企业政府机
ISMS,(,、
构非赢利组织每个组织的复杂性和风险都是独特的并且其特定的要求将驱动的实施小
、)。,ISMS。
型组织将发现本标准中所提及的活动可适用于他们并可进行简化大型组织或复杂的组织可能会发
,,。
现为了有效地管理本标准中的活动需要层次化的组织架构或管理体系然而无论是大型组织还是
,,。,
小型组织都可应用本标准来规划相关的活动
,
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 部审人教版七年级数学下册听评课记录《5.2.1 平行线》2
- 人教版地理七年级上册第二节《地球的运动》听课评课记录3
- 湘教版数学八年级上册4.1《不等式》听评课记录
- 人教版地理八年级下册7.2《鱼米之乡-长江三角洲地区》听课评课记录2
- 用户体验设计服务协议书(2篇)
- 环境整治用功协议书(2篇)
- 人教部编版八年级道德与法治上册:8.1《国家好 大家才会好-国家利益的含义》听课评课记录
- 【人教版】河南省八年级地理上册3.2土地资源听课评课记录1新版新人教版
- 新版华东师大版八年级数学下册《17.3.2一次函数的图象2》听评课记录22
- 北京课改版历史八年级上册第3课《第二次鸦片战争》听课评课记录
- 预防艾滋病、梅毒和乙肝母婴传播服务流程图
- 钢铁是怎样炼成的手抄报
- 防火墙漏洞扫描基础知识
- 供应链网络安全解决方案
- NPI管理流程文档
- 运动技能学习PPT
- 岭南版三年级美术下册教学工作计划
- 应急装备、应急物资台账(较详细)
- 运动技能学习与控制
- 大学物理光学答案
- 关于教材编写的统一格式的规定
评论
0/150
提交评论