信息技术 安全技术 信息安全管理 监视、测量、分析和评价-编制说明

国家标准（征求意见稿）编制说明

一、工作简况

1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息技

术安全技术信息安全管理监视、测量、分析和评价》由中国电子技术标准化

研究院负责承办，计划号：20230261-T-469。本标准由全国信息安全标准化技术

委员会归口管理。

2主要起草单位和工作组成员

本项目由中国电子技术标准化研究院牵头，参与起草单位包括中国合格评

定国家认可中心、北京赛西认证有限责任公司、杭州安恒信息技术股份有限公司、

北京邮电大学、上海三零卫士信息安全有限公司、山东道普测评技术有限公司、

中电长城网际系统应用有限公司、华为技术有限公司、中国科学院信息工程研究

所、西安电子科技大学、重庆邮电大学、中国网络安全审查技术与认证中心、国

家信息安全工业发展研究中心、北京中关村实验室、上海观安信息技术股份有限

公司、北京天融信网络安全技术有限公司、国家计算机网络应急技术处理协调中

心、公安部第三研究所、山东正中信息技术股份有限公司、启明星辰信息技术集

团股份有限公司、西安交大捷普网络技术有限公司、国网新疆电力有限公司电力

科学研究院、广东省信息安全测评中心、长扬科技（北京）有限公司等。

主要起草人中，上官晓丽、王惠莅负责标准总体编制、修改和推进，付志

高、许玉娜、王东滨、周亚超、赵丽华、闵京华、史文征、张东举、干露、邵萌、

刘俊荣、谢江、马文平、黄永洪、魏立茹、陈雪鸿、杨光、张静、崔牧凡、郭峰、

吕明、陈长松、何建锋、邹振婉、叶劲宏、赵华等人负责标准具体章节的编写。

3主要工作过程

标准制定的主要工作过程如下：

1）立项申请

2020年11月至2021年4月，标准编制团队启动标准修订工作。编制组

1

国家标准（征求意见稿）编制说明

对国内实施信息安全管理体系的机构的现状进行调研，收集国内外相关领域的文

件资料，跟踪研究国内行业对信息安全管理体系实施标准的要求以及相关文件，

并初步翻译形成标准草案。按照信安标委2021年国家标准项目申报要求提交了

2021年立项国家标准制定项目立项申请。

2021年5月，标准编制组在信安标委WG7会议周上进行立项汇报并通

过。会后，根据工作组成员单位专家意见组织编制组讨论并继续完善草案内容。

2）草案完善

2021年8月，根据《全国信息安全标准化技术委员会关于2021年网络安

全标准项目立项的通知》（信安字[2021]14号）发布的通知，本标准正式获批

为2021年网络安全标准制定项目。

2021年8月至10月，征集标准编制单位，共收集21家单位提交的申请材

料并对申请的参编单位进行了遴选。同期征求责任专家意见，并进行了修改。10

月下旬召开标准编制启动会，11月初召开编制组工作会，对标准草案进行进一

步修改完善。11月中旬，标准编制组参加了全国信安标委WG7标准周活动，并

在会上汇报了标准内容和进展，经投票建议转为征求意见稿。

3）形成征求意见稿

2021年12月至2022年9月，标准编制组进一步讨论修改后形成征求意见

稿。期间，国际标准化组织ISO/IECJTC1SC27对标准采标的ISO/IEC27004：

2016进行复审，并在8月份得出继续有效的结论。

2022年10月上中旬，责任专家和责任编辑对标准提出了修改意见，编制组

进一步修改完善。2022年10月31日，编制组参加了信安标委秘书处组织的专

家审查会，通过审查并根据专家意见进一步修改完善。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1编制原则

本标准为修订项目，在编制过程中遵循了标准采标所采用的信达雅的原则，

并注重同我国的认证实际相结合。

2

国家标准（征求意见稿）编制说明

2确定主要内容的论据及解决的主要问题

本标准项目旨在帮助组织评价信息安全绩效和信息安全管理体系的有效

性，以满足GB/T22080:2016中9.1监视、测量、分析和评价的要求。

信息安全管理体系(ISMS)的监视和测量结果可以为与ISMS的治理、管理、

有效运行和持续改进有关的决策提供支持。

信息安全管理体系标准族（InformationSecurityManagementSystem，简称

ISMS）是国际信息安全技术标准化组织（ISO/IECJTC1SC27）制定的信息安全

管理体系系列国际标准。ISMS已成为世界各国、各种类型、各种规模的组织解

决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证

明其信息安全水平和能力的一种有效途径。信息安全管理体系理念已被我国广泛

采用，相关标准也已被我国采标推广使用，本标准主要在于与我国已采标的信息

安全管理体系相关标准保持一致，并在翻译过程中注意文字要准确表达英文原文

意思。目前ISMS已经成为国内外各组织加强自身信息安全管理的重要手段，尤

其是随着云计算、大数据、人工智能等新技术新应用的发展，如何指导组织自身

ISMS的建设，尤其是在电力、交通、水利等关键信息基础设施行业和领域，也

可指导运营者构建较为完善的信息安全管理体系。

本标准项目为对GB/T31497—2015《信息技术安全技术信息安全管理体

系测量》的修订项目，等同采用国际标准ISO/IEC27004：2016《信息技术安

全技术信息安全管理体系监视、测量、分析和评价》。

ISO/IEC27004为ISO/IEC27001《信息技术安全技术信息安全管理体系

要求》的配套标准，对其中测量的部分进一步细化。ISO/IEC27001在2013年修

订后，ISO/IEC27004也随之修订，并根据其9.1的要求进行了更新。因此，本

标准项目也需按照ISO/IEC27004的更新对GB/T31497—2015进行修订。标准

作为ISMS标准族中的重要标准，在国际国外和国内得到广泛应用。

修订的主要内容：

——根据GB/T22080—2016的9.1修改了本标准的标题和范围；

——根据GB/T22080—2016的9.1调整了本标准的结构；

——根据GB/T22080—2016的正文修改了附录B。

3

国家标准（征求意见稿）编制说明

三、主要试验[或验证]情况分析

本标准为采标国际标准，未进行试点。编制组内部编制成员研究验证，最终

形成现行版本。

四、知识产权情况说明

本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果

标准可有利于信息安全管理体系在我国国内的进一步推广，有利于提高各种

类型组织的信息安全管理能力。

六、采用国际标准和国外先进标准情况

标准等同采用国际标准ISO/IEC27004:2016《信息技术安全技术信息安

全管理体系监视、测量、分析和评价》。

七、与现行法律法规、法规、规章及相关标准的协调性

本标准符合现有法律法规的要求，并与现有相关标准协调一致。本标准中引

用的部分标准已被等同采用为国家标准，包括：

GB/T22080—2016信息技术安全技术信息安全管理体系要求

（ISO/IEC27001:2013，IDT）

GB/T28450—2020，信息技术安全技术信息安全管理体系审核指南

（ISO/IEC27007:2017）

GB/T29246—2017信息技术安全技术信息安全管理体系概述和词汇

（ISO/IEC27000:2016，IDT）

GB/T31497—2015信息技术安全技术信息安全管理测量（ISO/IEC

4

国家标准（征求意见稿）编制说明

27004:2009）

GB/T31722—2015，信息技术安全技术信息安全风险管理（ISO/IEC

27005:2008）

GB/Z32916—2016信息技术安全技术信息安全控制措施审核员指南

（ISO/IECTR27008:2011，IDT）

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

建议本标准作为推荐性国家标准发布实施。

十、贯彻标准的要求和措施建议

在正式执行本标准前，需要对标准中的条款进行宣贯，以在利益相关方之间

达成对标准条款理解上的一致性。

十一、替代或废止现行相关标准的建议

无。

十二、其他应予说明的事项

无。

标准编制组

2023年3月

5

国家标准（征求意见稿）编制说明

一、工作简况

1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息技

术安全技术信息安全管理监视、测量、分析和评价》由中国电子技术标准化

研究院负责承办，计划号：20230261-T-469。本标准由全国信息安全标准化技术

委员会归口管理。

2主要起草单位和工作组成员

本项目由中国电子技术标准化研究院牵头，参与起草单位包括中国合格评

定国家认可中心、北京赛西认证有限责任公司、杭州安恒信息技术股份有限公司、

北京邮电大学、上海三零卫士信息安全有限公司、山东道普测评技术有限公司、

中电长城网际系统应用有限公司、华为技术有限公司、中国科学院信息工程研究

所、西安电子科技大学、重庆邮电大学、中国网络安全审查技术与认证中心、国

家信息安全工业发展研究中心、北京中关村实验室、上海观安信息技术股份有限

公司、北京天融信网络安全技术有限公司、国家计算机网络应急技术处理协调中

心、公安部第三研究所、山东正中信息技术股份有限公司、启明星辰信息技术集

团股份有限公司、西安交大捷普网络技术有限公司、国网新疆电力有限公司电力

科学研究院、广东省信息安全测评中心、长扬科技（北京）有限公司等。

主要起草人中，上官晓丽、王惠莅负责标准总体编制、修改和推进，付志

高、许玉娜、王东滨、周亚超、赵丽华、闵京华、史文征、张东举、干露、邵萌、

刘俊荣、谢江、马文平、黄永洪、魏立茹、陈雪鸿、杨光、张静、崔牧凡、郭峰、

吕明、陈长松、何建锋、邹振婉、叶劲宏、赵华等人负责标准具体章节的编写。

3主要工作过程

标准制定的主要工作过程如下：

1）立项申请

2020年11月至2021年4月，标准编制团队启动标准修订工作。编制组

1

国家标准（征求意见稿）编制说明

对国内实施信息安全管理体系的机构的现状进行调研，收集国内外相关领域的文

件资料，跟踪研究国内行业对信息安全管理体系实施标准的要求以及相关文件，

并初步翻译形成标准草案。按照信安标委2021年国家标准项目申报要求提交了

2021年立项国家标准制定项目立项申请。

2021年5月，标准编制组在信安标委WG7会议周上进行立项汇报并通

过。会后，根据工作组成员单位专家意见组织编制组讨论并继续完善草案内容。

2）草案完善

2021年8月，根据《全国信息安全标准化技术委员会关于2021年网络安

全标准项目立项的通知》（信安字[2021]14号）发布的通知，本标准正式获批

为2021年网络安全标准制定项目。

2021年8月至10月，征集标准编制单位，共收集21家单位提交的申请材

料并对申请的参编单位进行了遴选。同期征求责任专家意见，并进行了修改。10

月下旬召开标准编制启动会，11月初召开编制组工作会，对标准草案进行进一

步修改完善。11月中旬，标准编制组参加了全国信安标委WG7标准周活动，并

在会上汇报了标准内容和进展，经投票建议转为征求意见稿。

3）形成征求意见稿

2021年12月至2022年9月，标准编制组进一步讨论修改后形成征求意见

稿。期间，国际标准化组织ISO/IECJTC1SC27对标准采标的ISO/IEC27004：

2016进行复审，并在8月份得出继续有效的结论。

2022年10月上中旬，责任专家和责任编辑对标准提出了修改意见，编制组

进一步修改完善。2022年10月31日，编制组参加了信安标委秘书处组织的专

家审查会，通过审查并根据专家意见进一步修改完善。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1编制原则

本标准为修订项目，在编制过程中遵循了标准采标所采用的信达雅的原则，

并注重同我国的认证实际相结合。

2

国家标准（征求意见稿）编制说明

2确定主要内容的论据及解决的主要问题

本标准项目旨在帮助组织评价信息安全绩效和信息安全管理体系的有效

性，以满足GB/T22080:2016中9.1监视、测量、分析和评价的要求。

信息安全管理体系(ISMS)的监视和测量结果可以为与ISMS的治理、管理、

有效运行和持续改进有关的决策提供支持。

信息安全管理体系标准族（InformationSecurityManagementSystem，简称

ISMS）是国际信息安全技术标准化组织（ISO/IECJTC1SC27）制定的信息安全

管理体系系列国际标准。ISMS已成为世界各国、各种类型、各种规模的组织解

决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证

明其信息安全水平和能力的一种有效途径。信息安全管理体系理念已被我国广泛

采用，相关标准也已被我国采标推广使用，本标准主要在于与我国已采标的信息

安全管理体系相关标准保持一致，并在翻译过