信息技术 安全技术 信息安全管理体系审核指南-编制说明

国家标准报批稿资料一、工作简况1、任务来源根据国家标准化管理委员会2018年下达的国家标准制修订计划：《信息技术安全技术信息安全管理体系审核指南》，该标准由北京时代新威信息技术有限公司负责承办，计划号：2018BZXD-WG7-001。该标准由全国信息安全标准化技术委员会归口管理。2、主要起草单位和工作组成员该标准由北京时代新威信息技术有限公司主要负责起草，协作起草单位为中国网络安全审查技术与认证中心、中国电子技术标准化研究院、全国组织机构统一社会信用代码数据服务中心，主要起草人：王新杰、王连强、郑玮、陈剑博、张剑、程瑜琦、上官晓丽、王姣、孙镇、赵捷、孙泰、李晟飞。其中，王新杰、王连强、张剑、上官晓丽、孙镇、赵捷负责编制过程总体领导，标准前言的编写，以及全文校对；郑玮、陈剑博、程瑜琦、王姣、孙泰、李晟飞负责标准正文编写以及相关背景资料的调研。3、主要工作过程标准制定的主要工作过程如下：成立编制组。2018年8月，接到全国信息安全标准化技术委员会关于标准制定任务之后，课题组负责人随即召集标准编制组的相关成员开会，具体讨论和分配了小组的任务、标准修订的重要事项以及需注意的事项。形成标准草案。2018年8月-9月，标准编制组开展信息安全管理体系审核指南的研究。标准编制组分析梳理了国内外信息安全管理体系审核指南的应用情况，对ISO/IEC27007标准等文档进行了深入研究，据此编制完成《信息技术安全技术信息安全管理体系审核指南》标准草案。2018年10月18日，召开专家评审会，就标准草案征求部分专家意见，并根据意见对草案进行了修改完善。形成标准征求意见稿。2018年10月24日-26日，WG7工作组面向全体工作组成员单位进行草案标准投票，表决通过，工作组建议形成征求意见稿。标准编制组根据意见进行修改完善，形成征求意见稿第一稿。2018年11月28日，WG7开展工作组标准审查，编制组根据审查意见对标准征求意见稿进行了修改完善。二、标准编制原则和确定主要内容的论据及解决的主要问题1、标准编制原则本标准在编制过程中遵循了等同采用、准确理解和语言通畅的原则。等同采用：基于目前国内对国际ISMS标准族相关标准的研究和转化情况，以及我国整体信息安全管理理论和技术发展现状，决定等同采用国际标准ISO/IEC27007《信息技术安全技术信息安全管理体系审核指南》最新版本。准确理解：在充分理解国际标准原文的基础上进行等同翻译，做到准确表达原意。语言通畅：在等同翻译时，尽量符合中文的语言习惯，做到表述通畅。2、标准解决的问题及主要内容国家标准《信息安全技术信息安全管理体系审核指南》（GB/T28450-2012）所引用的《质量和（或）环境管理体系审核指南》（GB/T19011-2003）和《信息安全安全技术信息安全管理体系要求》（GB/T22080-2008）均已修订，管理体系审核的基本流程、思路和方法已调整，且审核对象的内容也随着GB/T22080的修订发生了变化，因此亟需制定并发布新版国家标准《信息安全管理体系审核指南》。国际标准化组织也于2017年10月发布了新版标准《信息技术安全技术信息安全管理体系审核指南》（ISO/IEC27007:2017）。因此，为给我国ISMS审核认证机构及审核人员实施ISMS体系审核提供更加成熟的方法论和指导，有必要等同采纳国际标准，重新修订GB/T28450-2012，为ISMS相关技术和应用提供最新的基础标准支撑。该标准在GB/T19011—2013的基础上，为信息安全管理体系（InformationSecurityManagementSystem，以下简称ISMS）审核方案管理、审核实施提供了指南，并对ISMS审核员能力提供了评价指南。该标准适用于需要理解或实施ISMS的内部或外部审核，或需要管理ISMS审核方案的所有组织。三、主要试验[或验证]情况分析标准编制组已请中国网络安全审查技术与认证中心等认证机构对《信息技术安全技术信息安全管理体系审核指南》进行了试用，标准试用效果良好。四、知识产权情况说明本标准不涉及专利。五、产业化情况、推广应用论证和预期达到的经济效果该标准作为实施指南，可为ISMS审核认证机构或内部审核组织的审核人员提供ISMS审核（包括外部审核和内部审核）的指南，帮助其完成审核方案管理、审核启动、审核活动准备、审核活动实施、审核报告编制和分发、审核完成、审核后续活动实施等相关工作，此外，该标准还可为ISMS审核认证机构或内部审核组织提供审核员管理指南，帮助其对ISMS审核员实施有效管理，对ISMS审核员的能力进行定期评价，以督促审核员能力的不断提升。六、采用国际标准和国外先进标准情况该标准等同采用国际标准ISO/IEC27007:2017《信息技术安全技术信息安全管理体系审核指南》。该标准宜与ISO19011:2011中包含的指南一起使用。该标准遵循ISO19011:2011的结构，在ISMS审核中应用GB/T19011—2013实施的ISMS特定指南，用字母“IS”加以标识。七、与现行相关法律、法规、规章及相关标准的协调性该标准符合现有法律法规的要求。该标准与现有国家标准不矛盾、不冲突，也不重复。八、重大分歧意见的处理经过和依据无。九、标准性质的建议根据该标准的性质，建议该标准为推荐性标准。十、贯彻标准的要求和措施建议该标准是信息安全管理体系的基础性标准，是ISMS审核人员开展ISMS审核工作的基本工具，因此建议在所有ISMS审核人员（包括内部审核人员和外部审核人员）中进行宣贯和培训。十一、替代或废止现行相关标准的建议建议该标准替代《信息安全技术信息安全管理体系审核指南》（GB/T28450-2012）。十二、其它应予说明的事项无。国家标准《信息技术安全技术信息安全管理体系审核指南》（征求意见稿）编制说明国家标准《信息技术安全技术信息安全管理体系审核指南》（征求意见稿）编制说明国家标准《信息技术安全技术信息安全管理体系审