标准解读

《GB/T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南》是一份国家标准,旨在为组织建立、实施、维护和持续改进信息安全管理体系(ISMS)提供指导。该标准基于ISO/IEC 27001国际标准框架下制定,并结合了中国国情的特点。它适用于各种规模和类型的组织,帮助它们保护信息资产免受威胁,确保业务连续性。

在内容上,《GB/T 31496-2015》首先介绍了信息安全管理体系的基本概念、原则以及与之相关的术语定义,为读者理解后续章节奠定基础。接着,详细描述了如何规划ISMS的过程,包括确定ISMS范围、进行风险评估的方法论、设定风险管理策略等关键步骤。此外,还强调了高层管理者对于ISMS成功实施的重要性,指出需要获得他们的承诺和支持。

文件进一步阐述了ISMS的设计阶段,涵盖了选择控制措施以应对已识别的风险、准备必要的文档记录等方面。之后是关于如何运行ISMS的具体说明,如执行选定的安全控制、监控系统性能、定期审核等操作指南。同时,也提到了当发生安全事故时应采取的响应措施及事后恢复流程。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 被代替
  • 已被新标准代替,建议下载现行标准GB/T 31496-2023
  • 2015-05-15 颁布
  • 2016-01-01 实施
©正版授权
GB/T 31496-2015信息技术安全技术信息安全管理体系实施指南_第1页
GB/T 31496-2015信息技术安全技术信息安全管理体系实施指南_第2页
GB/T 31496-2015信息技术安全技术信息安全管理体系实施指南_第3页
GB/T 31496-2015信息技术安全技术信息安全管理体系实施指南_第4页
GB/T 31496-2015信息技术安全技术信息安全管理体系实施指南_第5页
已阅读5页,还剩51页未读 继续免费阅读

下载本文档

免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T31496—2015/ISO/IEC270032010

:

信息技术安全技术

信息安全管理体系实施指南

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystemimplementationguidance

(ISO/IEC27003:2010,IDT)

2015-05-15发布2016-01-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

中华人民共和国

国家标准

信息技术安全技术

信息安全管理体系实施指南

GB/T31496—2015/ISO/IEC27003:2010

*

中国标准出版社出版发行

北京市朝阳区和平里西街甲号

2(100029)

北京市西城区三里河北街号

16(100045)

网址

:

服务热线

:400-168-0010

年月第一版

20156

*

书号

:155066·1-51118

版权专有侵权必究

GB/T31496—2015/ISO/IEC270032010

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

本标准的结构

4……………1

章条的总结构

4.1………………………1

每章的一般结构

4.2……………………2

图表

4.3…………………3

获得管理者对启动项目的批准

5ISMS…………………4

获得管理者对启动项目的批准的概要

5.1ISMS……………………4

阐明组织开发的优先级

5.2ISMS……………………5

定义初步的范围

5.3ISMS……………7

制定初步的范围

5.3.1ISMS…………7

定义初步的范围内的角色和责任

5.3.2ISMS………8

为了管理者的批准而创建业务案例和项目计划

5.4…………………8

定义范围边界和方针策略

6ISMS、ISMS……………10

定义范围边界和方针策略的概述

6.1ISMS、ISMS………………10

定义组织的范围和边界

6.2……………11

定义信息通信技术的范围和边界

6.3(ICT)…………12

定义物理范围和边界

6.4………………13

集成每一个范围和边界以获得的范围和边界

6.5ISMS……………14

制定方针策略和获得管理者的批准

6.6ISMS………14

进行信息安全要求分析

7…………………15

进行信息安全要求分析的概述

7.1……………………15

定义过程的信息安全要求

7.2ISMS…………………17

标识范围内的资产

7.3ISMS…………17

进行信息安全评估

7.4…………………18

进行风险评估和规划风险处置

8…………19

进行风险评估和规划风险处置的概述

8.1……………19

进行风险评估

8.2………………………21

选择控制目标和控制措施

8.3…………21

获得管理者对实施和运行的授权

8.4ISMS…………22

设计

9ISMS………………23

设计的概述

9.1ISMS…………………23

设计组织的信息安全

9.2………………25

GB/T31496—2015/ISO/IEC270032010

:

设计信息安全的最终组织结构

9.2.1………………25

设计的文件框架

9.2.2ISMS………………………26

设计信息安全方针策略

9.2.3………………………27

制定信息安全标准和规程

9.2.4……………………28

设计安全和物理信息安全

9.3ICT…………………29

设计特定的信息安全

9.4ISMS………………………31

管理评审的计划

9.4.1………………31

设计信息安全意识培训和教育方案

9.4.2、………32

产生最终的项目计划

9.5ISMS………………………33

附录资料性附录检查表的描述

A()……………………34

附录资料性附录信息安全的角色和责任

B()…………37

附录资料性附录有关内部审核的信息

C()……………40

附录资料性附录方针策略的结构

D()…………………41

附录资料性附录监视和测量

E()………………………45

参考文献

……………………49

GB/T31496—2015/ISO/IEC270032010

:

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准使用翻译法等同采用信息技术安全技术信息安全管理体系实施

ISO/IEC27003:2010《

指南

》。

本标准做了以下编辑性修改

:

在引言部分增加了有关信息安全管理体系标准族情况的介绍

———。

本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国电子技术标准化研究院上海三零卫士信息安全有限公司山东省计算中心

:、、、

黑龙江省电子信息产品监督检验院北京信息安全测评中心中电长城网际系统应用有限公司

、、。

本标准主要起草人上官晓丽许玉娜董火民闵京华赵章界周鸣乐方舟李刚

:、、、、、、、。

GB/T31496—2015/ISO/IEC270032010

:

引言

信息安全管理体系标准族简称标准族是国际

(InformationSecurityManagementSystem,ISMS)

信息安全技术标准化组织制定的信息安全管理体系系列国际标准标准

(ISO/IECJTC1SC27)。ISMS

族旨在帮助各种类型和规模的组织开发和实施管理其信息资产安全的框架并为保护组织信息诸如

,,(,

财务信息知识产权员工详细资料或者受客户或第三方委托的信息的的独立评估做准备

、、,)ISMS。

标准族包括的标准定义了的要求及其认证机构的要求提供了对整个规划实施检

ISMS:a)ISMS;b)“--

查处置过程和要求的直接支持详细指南和或解释阐述了特定行业的指南阐

-”(PDCA)、();c)ISMS;d)

述了的一致性评估

ISMS。

目前标准族由下列标准组成

,ISMS:

信息技术安全技术信息安全管理体系概述

———GB/T29246—2012/ISO/IEC27000:2009

和词汇

信息技术安全技术信息安全管理体系要求

———GB/T22080—2008/ISO/IEC27001:2005

信息技术安全技术信息安全管理实用规则

———GB/T22081—2008/ISO/IEC27002:2005

信息技术安全技术信息安全管理体系实施

———GB/T31496—2015/ISO/IEC27003:2010

指南

信息技术安全技术信息安全管理测量

———GB/T31497—2015/ISO/IEC27004:2009

信息技术安全技术信息安全风险管理

———GB/T31722—2015/ISO/IEC27005:2008

信息技术安全技术信息安全管理体系审核认

———GB/T25067—2010/ISO/IEC27006:2007

证机构的要求

信息技术安全技术信息安全管理体系审核指南

———ISO/IEC27007

信息技术安全技术基于的电信行业组织的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

信息技术安全技术和集成实施指南

———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1

信息技术安全技术信息安全治理

———ISO/IEC27014:2013

信息技术安全技术金融服务信息安全管理指南

———ISO/IECTR27015:2012

本标准作为标准族之一其目的是为组织按照制定信息安全管理体系

ISMS,GB/T22080—2008

的实施计划提供实用指导实际情况下的实施通常作为一个项目来执行

(ISMS),。,ISMS。

本标准所描述的过程旨在为实施提供支持第章第章和第章所包含的

GB/T22080—2008;4、57

相关部分和文件可用于

:

准备启动组织的实施计划定义该项目的组织结构及获得管理者的批准

a)ISMS、,;

该项目的关键活动

b)ISMS;

实现要求的示例

c)GB/T22080—2008。

通过使用本标准组织将能够制定信息安全管理的过程并向利益相关方保证信息资产的风险可

,,,

持续保持在组织定义的可接受的信息安全边界内

本标准不涉及运行活动和其他活动但涉及了如何设计这些活动的概念这些活动是在开始

ISMS,,

运行后所产生的这些概念导致了最终的项目实施计划项目的组织特定部分的

ISMS。ISMS。ISMS

实际执行不在本标准范围内

项目的实施宜使用标准的项目管理方法学来执行更多信息请参见和有关项

ISMS(ISOISO/IEC

目管理的标准

)。

GB/T31496—2015/ISO/IEC270032010

:

信息技术安全技术

信息安全管理体系实施指南

1范围

本标准依据关注设计和实施一个成功的信息安全管理体系所需要的

GB/T22080—2008,(ISMS)

关键方面本标准描述了规范及其设计的过程从开始到产生实施计划本标准为实施

。ISMS,。ISMS

描述了获得管理者批准的过程为实施定义了一个项目本标准称作项目并就如何规划

,ISMS(ISMS),

该项目提供了相应的指导产生最终的项目实施计划

ISMS,ISMS。

本标准可供实施一个的组织使用适用于各种规模和类型的组织例如商业企业政府机

ISMS,(,、

构非赢利组织每个组织的复杂性和风险都是独特的并且其特定的要求将驱动的实施小

、)。,ISMS。

型组织将发现本标准中所提及的活动可适用于他们并可进行简化大型组织或复杂的组织可能会发

,,。

现为了有效地管理本标准中的活动需要层次化的组织架构或管理体系然而无论是大型组织还是

,,。,

小型组织都可应用本标准来规划相关的活动

,

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论