- 现行
- 正在执行有效
- 2015-05-15 颁布
- 2016-01-01 实施
![GB/T 31497-2015信息技术安全技术信息安全管理测量_第1页](http://file4.renrendoc.com/view/dac623f5574d74868e4fc73e6fcb88a6/dac623f5574d74868e4fc73e6fcb88a61.gif)
![GB/T 31497-2015信息技术安全技术信息安全管理测量_第2页](http://file4.renrendoc.com/view/dac623f5574d74868e4fc73e6fcb88a6/dac623f5574d74868e4fc73e6fcb88a62.gif)
![GB/T 31497-2015信息技术安全技术信息安全管理测量_第3页](http://file4.renrendoc.com/view/dac623f5574d74868e4fc73e6fcb88a6/dac623f5574d74868e4fc73e6fcb88a63.gif)
![GB/T 31497-2015信息技术安全技术信息安全管理测量_第4页](http://file4.renrendoc.com/view/dac623f5574d74868e4fc73e6fcb88a6/dac623f5574d74868e4fc73e6fcb88a64.gif)
![GB/T 31497-2015信息技术安全技术信息安全管理测量_第5页](http://file4.renrendoc.com/view/dac623f5574d74868e4fc73e6fcb88a6/dac623f5574d74868e4fc73e6fcb88a65.gif)
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T31497—2015/ISO/IEC270042009
:
信息技术安全技术
信息安全管理测量
Informationtechnology—Securitytechniques—
Informationsecuritymanagement—Measurement
(ISO/IEC27004:2009,IDT)
2015-05-15发布2016-01-01实施
中华人民共和国国家质量监督检验检疫总局发布
中国国家标准化管理委员会
GB/T31497—2015/ISO/IEC270042009
:
目次
前言
…………………………Ⅰ
引言
…………………………Ⅱ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
本标准的结构
4……………3
信息安全测量概述
5………………………3
管理职责
6…………………10
测度和测量的制定
7………………………11
测量运行
8…………………16
数据分析和测量结果报告
9………………16
信息安全测量方案的评价和改进
10……………………18
附录资料性附录信息安全测量构造模板
A()…………20
附录资料性附录测量构造示例
B()……………………22
参考文献
……………………52
GB/T31497—2015/ISO/IEC270042009
:
前言
本标准按照给出的规则起草
GB/T1.1—2009。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
。。
本标准使用翻译法等同采用信息技术安全技术信息安全管理测量
ISO/IEC27004:2009《》
英文版
()。
本标准做了以下编辑性修改
:
引言部分增加了有关信息安全管理体系标准族情况的介绍
———。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位中国电子技术标准化研究院山东省计算中心上海三零卫士信息安全有限公司
:、、、
中电长城网际系统应用有限公司北京信息安全测评中心
、。
本标准主要起草人上官晓丽周鸣乐李刚许玉娜顾卫东闵京华赵章界董火民李旺
:、、、、、、、、、
史艳华李敏张建成韩庆良
、、、。
Ⅰ
GB/T31497—2015/ISO/IEC270042009
:
引言
01总则
.
信息安全管理体系标准族简称标准族是国际
(InformationSecurityManagementSystem,ISMS)
信息安全技术标准化组织制定的信息安全管理体系系列国际标准标准
(ISO/IECJTC1SC27)。ISMS
族旨在帮助各种类型和规模的组织开发和实施管理其信息资产安全的框架并为保护组织信息诸如
,,(,
财务信息知识产权员工详细资料或者受客户或第三方委托的信息的的独立评估做准备
、、,)ISMS。
标准族包括的标准定义了的要求及其认证机构的要求提供了对整个规划实施检
ISMS:a)ISMS;b)“--
查处置过程和要求的直接支持详细指南和或解释阐述了特定行业的指南阐
-”(PDCA)、();c)ISMS;d)
述了的一致性评估
ISMS。
目前标准族由下列标准组成
,ISMS:
信息技术安全技术信息安全管理体系概述和词汇
———GB/T29246—2012(ISO/IEC
27000:2009)
信息技术安全技术信息安全管理体系要求
———GB/T22080—2008(ISO/IEC27001:
2005)
信息技术安全技术信息安全管理实用规则
———GB/T22081—2008(ISO/IEC27002:2005)
信息技术安全技术信息安全管理体系实施指南
———GB/T31496—2015(ISO/IEC27003:
2010)
本标准信息技术安全技术信息安全管理测量
———()(ISO/IEC27004:2009)
信息技术安全技术信息安全风险管理
———GB/T31722—2015(ISO/IEC27005:2008)
信息技术安全技术信息安全管理体系审核认证机构的要求
———GB/T25067—2010(ISO/
IEC27006:2007)
信息技术安全技术信息安全管理体系审核指南
———ISO/IEC27007:2011
信息技术安全技术信息安全控制措施审核员指南
———ISO/IECTR27008:2011
信息技术安全技术行业间及组织间通信的信息安全管理
———ISO/IEC27010:2012
信息技术安全技术基于的电信行业组织的信息
———ISO/IEC27011:2008ISO/IEC27002
安全管理指南
信息技术安全技术和集成实施
———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1
指南
信息技术安全技术信息安全治理
———ISO/IEC27014:2013
信息技术安全技术金融服务信息安全管理指南
———ISO/IECTR27015:2012
为了评估按照规定的已实施的信息安全管理体系
GB/T22080—2008(InformationSecurityMan-
简称和控制措施或控制措施组的有效性本标准提供了如何编制测度和测量
agementSystem,ISMS),
以及如何使用的指南
。
为了有助于决定过程或控制措施是否需要改变或改进本标准涉及方针策略信息安全风险
ISMS,、
管理控制目标控制措施过程和规程并且支持其校验过程切记任何控制措施的测量都不能保证绝
、、、,。
对安全
。
本标准的实施形成了信息安全测量方案信息安全测量方案将有助于管理者识别和评价不相容
。
Ⅱ
GB/T31497—2015/ISO/IEC270042009
:
的无效的过程和控制措施并优化改进或改变这些过程和或控制的活动它也可有助于组织
、ISMS,()。
证明的符合性并提供管理评审和信息安全风险管理过程的额外证据
GB/T22080—2008,。
本标准假设制定测度和测量的出发点是按照要求充分掌握了组织所面临的
:GB/T22080—2008
信息安全风险并假设已经正确实施了组织的风险评估活动即基于信息安全
,(GB/T31722—2015)。
测量方案将鼓励组织向利益相关者提供可靠的关于信息安全风险和管理这些风险已实施的的状
ISMS
况的信息
。
通过有效地实施信息安全测量方案将提高利益相关者对测量结果的信任并能使其利用这些测度
,,
实现对信息安全和的持续改进
ISMS。
累积的测量结果将允许把一段时间内实现信息安全目标的进展当作组织的持续改进过程的
ISMS
一部分
。
02管理概述
.
要求组织在考虑有效性测量结果的基础上进行有效性的定期评审
GB/T22080—2008“,ISMS”,
并且测量控制措施的有效性以验证安全要求是否得到满足也要求组织确定
“,”。GB/T22080—2008“
如何测量已选控制措施或控制措施组的有效性并指明如何用这些测量措施来评估控制措施的有效性
,,
以产生可比较的和可再现的结果
。”
组织用以满足规定的测量要求所采用的方法将基于一些重要因素而变化包
GB/T22080—2008,,
括组织所面临的信息安全风险组织规模可用的资源适用的法律法规规章和合同要求为了防止过
、、、、。
多的资源被用于的一些活动而损害其他活动慎重选择和证明用于满足测量要求的方法是非常
ISMS,
重要的理想情况下持续的测量活动将把组织的正常运作和最小的额外资源需求结合在一起
。,。
为满足规定的测量要求本标准建议基于以下活动
GB/T22080—2008,:
制定测度即基本测度导出测度和指标
a)(、);
实施和运行信息安全测量方案
b);
收集和分析数据
c);
产生测量结果
d);
与利益相关者沟通产生的测量结果
e);
将测量结果作为相关决策的有利因素
f)ISMS;
用测量结果识别已实施的的改进需要包括的范围策略目标控制措施过程
g)ISMS,ISMS、、、、
和规程
;
促进信息安全测量方案的持续改进
h)。
组织规模是影响组织完成测量的能力的因素之一一般来说业务的规模和复杂性以及信息安全
。,
的重要性都会影响需要的测量程度其中测量程度是针对已选的测度数量以及收集和分析数据的频率
,,
来说的对于中小型企业来说一个不太全面的信息安全测量方案就足够了而对大型企业则需要实
。,。,
施和运行多个信息安全测量方案
。
单个信息安全测量方案可满足小型组织而大型企业可能需要多个信息安全测量方案
,。
本标准产生的文件有助于证明正在被测量和评估的控制措施的有效性
,。
Ⅲ
GB/T31497—2015/ISO/IEC270042009
:
信息技术安全技术
信息安全管理测量
1范围
为了评估按照规定实施的信息安全管理体系
GB/T22080—2008(InformationSecurityManage-
简称和控制措施或控制措施组的有效性本标准提供了如何编制测度和测量以及
mentSystem,ISMS),
如何使用的指南
。
本标准适用于各种类型和规模的组织
。
2规范性引用文件
下列文件对于本文件的应用是必不可少的
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 2024-2030年中国雨靴行业市场供需态势及发展趋向研判报告
- 五年级上英语教案-Unit13 I brush my teeth every day.-湘少版
- 2024-2030年中国采血器行业市场运营现状及投资规划研究建议报告
- 2024-2030年中国车险行业市场全景评估及发展趋势研究预测报告
- 2024-2030年中国车载储氢瓶行业发展潜力预测及投资战略规划报告
- 2024-2030年中国车用发动机市场评估分析及发展前景调研战略研究报告
- 2024-2030年中国超导限流器市场运行态势及投资策略报告
- 2024-2030年中国被动元件市场评估分析及发展前景调研战略研究报告
- 2024-2030年中国茶提取物行业发展运行现状及投资潜力预测报告
- 2024-2030年中国船舶修理行业市场调查研究及投资前景预测报告
- GB/T 10781.4-2024白酒质量要求第4部分:酱香型白酒
- 生态农场管理智慧树知到期末考试答案章节答案2024年安徽农业大学
- 国开2024春季《形势与政策》大作业:试分析新征程上推进生态文明建设需要处理好哪五个“重大关系”?(一)
- 中外古典园林史-南京林业大学中国大学mooc课后章节答案期末考试题库2023年
- 游泳馆前台员工培训
- 加多宝集团员工手册
- 关于河道管理范围内建设项目防洪影响咨询服务费计列的指导意见
- 园林工程学(北京林业大学)
- (完整版)省级课题结题报告范本.docx
- 数学专业英语课后答案
- 工期保证措施和施工进度网络计划图(完整版)
评论
0/150
提交评论