标准解读

《GB/Z 32916-2016 信息技术 安全技术 信息安全控制措施审核员指南》是针对信息安全控制措施审核过程中的指导性文件,主要面向的是从事或准备从事信息安全控制措施审核的专业人员。该标准提供了详细的步骤、方法和工具建议,旨在帮助审核员有效地规划、执行并报告信息安全控制措施的审核工作。

标准中首先定义了信息安全控制措施审核的基本概念,包括审核的目的、范围以及重要性。它强调了审核作为评估组织是否达到其既定的信息安全目标的一种手段的价值。此外,还介绍了不同类型的信息安全控制措施,比如物理安全、网络安全等,并说明了如何根据具体情境选择合适的控制措施进行审核。

对于审核过程本身,《GB/Z 32916-2016》给出了一个从准备阶段到最终报告编制的全流程框架。准备阶段涉及到确定审核目的、识别相关方需求、组建审核团队等内容;而实施阶段则详细描述了如何开展现场检查、收集证据材料、与被审核方沟通交流的过程;最后,在报告阶段,标准指导了如何基于所获得的信息撰写清晰准确的审核报告,并提出改进建议。

此外,这份文档还特别提到了关于持续改进的重要性,鼓励通过定期重复审核来不断提升组织的信息安全管理水平。同时,也强调了在进行信息安全控制措施审核时需要遵守的职业道德准则,如保持客观公正的态度、保护客户信息的机密性等。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 被代替
  • 已被新标准代替,建议下载现行标准GB/T 32916-2023
  • 2016-08-29 颁布
  • 2017-03-01 实施
©正版授权
GB/Z 32916-2016信息技术安全技术信息安全控制措施审核员指南_第1页
GB/Z 32916-2016信息技术安全技术信息安全控制措施审核员指南_第2页
GB/Z 32916-2016信息技术安全技术信息安全控制措施审核员指南_第3页
GB/Z 32916-2016信息技术安全技术信息安全控制措施审核员指南_第4页
GB/Z 32916-2016信息技术安全技术信息安全控制措施审核员指南_第5页
已阅读5页,还剩31页未读 继续免费阅读

下载本文档

GB/Z 32916-2016信息技术安全技术信息安全控制措施审核员指南-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准化指导性技术文件

GB/Z32916—2016/ISO/IECTR270082011

:

信息技术安全技术

信息安全控制措施审核员指南

Informationtechnology—Securitytechniques—

Guidelinesforauditorsoninformationsecuritycontrols

(ISO/IECTR27008:2011,IDT)

2016-08-29发布2017-03-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/Z32916—2016/ISO/IECTR270082011

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

本指导性技术文件的结构

4………………1

背景

5………………………1

信息安全控制措施评审概述

6……………2

评审过程

6.1……………2

资源配备

6.2……………4

评审方法

7…………………4

概述

7.1…………………4

评审方法检查

7.2:………………………5

概要

7.2.1……………5

属性

7.2.2……………5

评审方法访谈

7.3:………………………6

概要

7.3.1……………6

深度属性

7.3.2………………………7

广度属性

7.3.3………………………7

评审方法测试

7.4:………………………7

概要

7.4.1……………7

测试类型

7.4.2………………………8

扩展的评审规程

7.4.3………………9

活动

8………………………9

准备

8.1…………………9

制定计划

8.2……………10

概述

8.2.1……………10

范围

8.2.2……………11

评审规程

8.2.3………………………11

与对象有关的考虑

8.2.4……………11

以往的发现

8.2.5……………………12

工作分配

8.2.6………………………13

外部系统

8.2.7………………………13

信息资产和组织

8.2.8………………13

扩展的评审规程

8.2.9………………13

优化

8.2.10…………………………13

GB/Z32916—2016/ISO/IECTR270082011

:

定稿

8.2.11…………………………14

实施评审

8.3……………14

分析并报告结果

8.4……………………14

附录资料性附录技术符合性检查实践指南

A()………16

附录资料性附录初始信息收集除信息技术以外

B()()………………26

参考文献

……………………29

GB/Z32916—2016/ISO/IECTR270082011

:

前言

本指导性技术文件按照给出的规则起草

GB/T1.1—2009。

本指导性技术文件使用翻译法等同采用国际技术报告信息技术安全

ISO/IECTR27008:2011《

技术审核员信息安全控制措施审核指南英文版根据我国国情和的规定做以下编辑

》()。GB/T1.1,

性修改

:

盲测又称黑盒测试加了标注黑盒测试

———,“()”;

透明盒测试又称白盒测试加了标注白盒测试

———,“()”。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本指导性技术文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本指导性技术文件起草单位中国电子技术标准化研究院中国合格评定国家认可中心工业和信

:、、

息化部电子第五研究所北京赛西认证有限责任公司北京时代新威信息技术有限公司

、、。

本指导性技术文件主要起草人倪文静董涛刘健张杰刘晓红韩硕祥付志高段淼刘小茵

:、、、、、、、、、

王新杰黄俊梅魏军

、、。

GB/Z32916—2016/ISO/IECTR270082011

:

引言

本指导性技术文件支持和中定义的信息安全管理体系风险

GB/T22080ISO/IEC27005(ISMS)

管理过程以及中包含的控制措施

,GB/T22081。

本指导性技术文件提供对组织信息安全控制措施进行评审的指南例如在组织业务过程和系统

,,、

环境下进行技术符合性检查等

有关管理体系要素的审核请参考有关认证目的的符合性评审请参考

,ISO/IEC27007。ISMS,

GB/T25067。

GB/Z32916—2016/ISO/IECTR270082011

:

信息技术安全技术

信息安全控制措施审核员指南

1范围

本指导性技术文件为评审控制措施的实现和运行提供指南包括对信息系统控制措施的技术符合

,

性检查以符合组织所建立的信息安全标准

,。

本指导性技术文件适用于所有类型和规模的组织包括公有和私营公司政府机构非营利组织开

,、、

展信息安全评审和技术符合性检查本指导性技术文件不适用于管理体系审核

。。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息安全管理体系概述和词汇

GB/T29246—2012(ISO/IEC27000:

2009,IDT)

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T29246—2012。

31

.

评审对象reviewobject

要评审的指定项

32

.

评审目的reviewobjective

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论