GB/T 31496-2023信息技术安全技术信息安全管理体系指南

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T31496—2023/ISO/IEC270032017

:

代替GB/T31496—2015

信息技术安全技术

信息安全管理体系指南

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystems—Guidance

ISO/IEC270032017IDT

(:,)

2023-05-23发布2023-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T31496—2023/ISO/IEC270032017

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

组织语境

4…………………1

理解组织及其语境

4.1…………………1

理解利益相关方的需求和期望

4.2……………………3

确定信息安全管理体系范围

4.3………………………4

信息安全管理体系

4.4…………………5

领导

5………………………5

领导和承诺

5.1…………………………5

方针

5.2…………………6

组织的角色责任和权限

5.3、……………7

规划

6………………………8

应对风险和机会的措施

6.1……………8

信息安全目标及其实现规划

6.2………………………14

支持

7………………………16

资源

7.1…………………16

胜任力

7.2………………17

意识

7.3…………………17

沟通

7.4…………………18

文件化信息

7.5…………………………19

运行

8………………………22

运行规划和控制

8.1……………………22

信息安全风险评估

8.2…………………23

信息安全风险处置

8.3…………………23

绩效评价

9…………………24

监视测量分析和评价

9.1、、……………24

内部审核

9.2……………25

管理评审

9.3……………27

改进

10……………………28

不符合项及纠正措施

10.1……………28

Ⅰ

GB/T31496—2023/ISO/IEC270032017

:

持续改进

10.2…………………………30

附录资料性策略框架

A()………………32

参考文献

……………………34

Ⅱ

GB/T31496—2023/ISO/IEC270032017

:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技术安全技术信息安全管理体系实施指南与

GB/T31496—2015《》,

相比除结构调整和编辑性改动外主要技术变化如下

GB/T31496—2015,,:

更改了范围按照的要求进行解释并提供指南

———,GB/T22080—2016;

上一版采用了项目的方法每个项目包含一系列活动在修订版中不再采用项目的方法而是

———,。,

提供了针对每个要求的指南不需要考虑这些要求的实现顺序

,。

本文件等同采用信息技术安全技术信息安全管理体系指南

ISO/IEC27003:2017《》。

本文件做了下列最小限度的编辑性改动

:

增加了的注

———4.2。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院中国网络安全审查技术与认证中心中国合格评定

:、、

国家认可中心杭州安恒信息技术股份有限公司中国石油天然气股份有限公司长庆石化分公司腾讯

、、、

云计算北京有限责任公司中电长城网际系统应用有限公司上海三零卫士信息安全有限公司北京

()、、、

赛西认证有限责任公司西安电子科技大学黑龙江省网络空间研究中心北京信息安全测评中心中国

、、、、

科学院软件研究所重庆邮电大学安徽科技学院北京神州绿盟科技有限公司中通服咨询设计研究院

、、、、

有限公司北京中科微澜科技有限公司

、。

本文件主要起草人王惠莅上官晓丽许玉娜付志高任泽君尤其周亚超赵丽华范博

:、、、、、、、、、

闵京华张东举马文平干露李媛方舟张立武梁伟黄永洪张恒曹浩尹晓鹏宋雪高丽芬

、、、、、、、、、、、、、、

陈洪杨牧天裴心平

、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2015GB/T31496—2015;

本次为第一次修订

———。

Ⅲ

GB/T31496—2023/ISO/IEC270032017

:

引言

本文件提供了关于中规定的信息安全管理体系要求的指南并提供了与之相

GB/T22080(ISMS),

关的建议宜可能性可能和允许可本文件的目的不是提供信息安全的所有方面的一般

(“”)、(“”)(“”)。

指南

。

本文件第章第章反映了的结构

4~10GB/T22080—2016。

本文件没有增加对的任何新要求及其相关术语和定义组织宜参照的要求和

ISMS。GB/T22080

的定义实施的组织没有义务遵守本文件中的指南

GB/T29246。ISMS。

强调了以下几个阶段的重要性

ISMS:

理解组织的需求及建立信息安全方针和信息安全目标的必要性

———;

评估组织与信息安全相关的风险

———;

实施和运行信息安全过程控制和其他风险处理措施

———、;

监视和评审的绩效和有效性

———ISMS;

进行持续改进

———。

与其他类型的管理体系相似包括以下关键组成要素

,ISMS。

方针

a)。

有明确责任的人员

b)。

相关的管理过程

c):

方针建立

1);

意识和能力的提供

2);

规划

3);

实现

4);

运行

5);

绩效评估

6);

管理评审

7);

改进

8)。

文件化信息

d)。

还有其他关键组成要素诸如

ISMS,:

信息安全风险评估

e);

信息安全风险处置包括控制的确定和实现

f),。

本文件是通用的旨在适用于所有组织无论其类型规模或性质组织宜根据其特定的组织环境

,,、。

识别本文件对其适用的部分见中第章

(GB/T22080—20164)。

例如一些指南可能更适合大型组织但对于非常小的组织例如少于人这些指南中的一些内

,,(10),

容可能是不必要的或不适合的

。

第章第章的描述结构如下

4~10:

所需活动提出相应条款所要求的关键活动

———:GB/T22080;

解释解释要求的含义

———:GB/T22080;

指南提供更详细或支持性的信息来实现所要求活动包括实施的示例

———:“”,;

其他信息提供了可能进一步考虑的信息

———:。

和形成了一套文件支持并提供指

GB/T31496、GB/T31497GB/T31722,GB/T22080—2016

Ⅳ

GB/T31496—2023/ISO/IEC270032017

:

南其中是对的所有要求提供指南的一个基本的和全面的文件但其没有

。,GB/T31496GB/T22080,

关于监视测量分析和评价和信息安全风险管理的详细描述和侧重于

“、、”。GB/T31497GB/T31722

特定内容并分别对监视测量分析和评价和信息安全风险管理提供了更详细的指南

,“、、”。

在中有多处明确地提及了文件化信息尽管如此组织仍可能确定持有对其管理体

GB/T22080。,

系有效性所需的附加文件化信息并作为响应中的部分在这些情况

,GB/T22080—20167.5.1b)。

下本文件使用仅在组织确定对其管理体系有效性所需的形式和范围内有关该活动及其结果的文件

,“,

化信息是强制性的见中的表述

[GB/T22080—20167.5.1b)]”。

Ⅴ

GB/T31496—2023/ISO/IEC270032017

:

信息技术安全技术

信息安全管理体系指南

1范围

本文件为提供了解释说明和指南

GB/T22080—2016。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息技术安全技术信息安全管理体系要求

GB/T22080—2016(ISO/IEC27001:2013,

IDT)