《信息技术 安全技术 信息安全管理测量》编制说明

一、工作简况

1.1任务来源

《信息技术安全技术信息安全管理测量》是全国信息安全标准化技术委

员会2010年下达的信息安全国家标准制定项目，国标计划号为：

20100382-T-469。由中国电子技术标准化研究院主要负责起草。山东计算中心、

上海三零卫士有限公司、北京信息安全测评中心等单位共同参与了该标准的起草

工作。

1.2主要工作过程

1、2010年，承担全国信息安全标准化技术委员会信息安全专项项目《信息

技术安全技术信息安全管理测量》。

2、2011年3月，山东省计算中心、中国电子技术标准化研究院、上海三零

卫士有限公司和北京信息安全测评中心组成标准编制组，对标准编制的组织形式

及任务分工进行了安排。

3、2011年3月至5月，标准编制组对ISO/IEC27004:2009进行了翻译和

校对工作，形成ISO/IEC27004:2009翻译稿。

4、2011年5月，标准编制组召开会议对翻译稿进行了讨论，各参编单位提

出修改意见。

5、2011年6月-10月，根据修改意见对翻译稿进行了修改完善，形成《信

息技术安全技术信息安全管理测量》（初稿）。

6、2011年11月，标准编制组召开工作会议，针对已形成的标准初稿和存

在的问题进行讨论，提出修改建议。

7、2011年12月-2012年2月，根据修改建议对标准初稿进行了修改完善，

形成《信息技术安全技术信息安全管理测量》（草案）。

8、2012年3月，北京大学王立福教授对标准草案进行了审核，提出了修改

意见和建议。

9、2012年4月，根据王立福教授的意见和建议，对标准草案进行了修改完

善，形成第二版标准草案。

10、2012年8月28日，编制组就第二版标准草案召开了专家征求意见会，

征求了专家意见。会后根据专家意见，进一步修改完善标准草案，形成第三版

标准草案。

11、2012年11月27日，编制组就第三版标准草案召开了工作组专家评审

会，征求了专家意见，通过了专家评审。会后根据评审会专家意见，对标准草

案进行了修改。2013年1月15日，通过了WG7组的全体成员投票工作会议，

会后对文本进行了修改完善，形成了征求意见稿。

二、编制原则和主要内容

2.1编制原则

（一）等同采用国际标准ISO/IEC27004:2009。《信息技术安全技术信息

安全管理测量》是信息安全管理体系标准族中的标准之一。目前，我国在参考

借鉴国际信息安全管理体系标准族（ISO/IEC27000系列）的基础上，等同转化

了ISO/IEC27001:2005《信息技术安全技术信息安全管理体系要求》（对应

国家标准GB/T22080:2008）、ISO/IEC27002:2005《信息技术安全技术信息

安全管理使用规则》（对应国家标准GB/T22081:2008）、ISO/IEC27006:2007《信

息技术安全技术信息安全管理体系审核认证机构的要求》（对应国家标准GB/T

25067:2010）和ISO/IEC27000:2009《信息技术安全技术信息安全管理体系概

述和词汇》。本标准编制过程中，考虑到本标准提供了如何测度和测量信息安全

管理体系以及如何使用的指南，并用以验证已实施的信息安全管理体系和控制措

施的有效性，以及推进信息安全管理体系过程或控制措施的改进，具有十分重要

的作用。结合我国信息安全管理体系相关标准的研制现状，从国际信息安全管理

体系系列标准转化的完整性上讲，应为国内标准用户提供一份标准前后内容一致

的参考指南。鉴于此，编制组决定本标准等同采用国际标准ISO/IEC27004:2009

《信息技术安全技术信息安全管理测量》。

（二）准确理解国际标准内容。本标准是对国际标准ISO/IEC27004:2009

的等同转化，因此，本标准翻译过程中，坚持以准确理解国际标准原文及含义为

准绳，同时采用中文语言习惯进行表述，使文本语言的描述尽可能顺利、通畅。

（三）遵从已有的术语和定义。由于本标准与已有ISMS国家标准有密切相

关性，因此，本标准在术语和定义的使用上，采用了如下原则：已有信息安全术

语定义的，遵从其定义；在其他ISMS标准中已经定义过的术语，遵从其定义。

2.2主要内容

本标准提供了如何开发测度和测量以及如何使用的指南，以评估按照GB/T

22080-2008规定的已实施的信息安全管理体系和控制措施或控制措施集的有效

性，包括方针、信息安全风险管理、控制目标、控制措施、过程和规程，并且支

持其校验过程，以助于决定信息安全管理体系过程或控制措施是否需要改变或改

进。

本标准主要框架如下：

前言

引言

1范围

2规范性引用文件

3术语和定义

4本标准的结构

5信息安全测量概述

5.1信息安全测量目标

5.2信息安全测量方案

5.3成功因素

5.4信息安全测量模型

6管理职责

6.1概述

6.2资源管理

6.3测量培训、意识和能力

7测度和测量的开发

7.1概述

7.2测量范围的定义

7.3信息需要的识别

7.4对象和属性的选择

7.5测量构造的开发

7.6测量构造

7.7数据收集、分析和报告

7.8测量实施和文件编制

8测量运行

8.1概述

8.2规程整合

8.3数据收集、存储和验证

9数据分析和测量结果报告

9.1概述

9.2分析数据和产生测量结果

9.3沟通测量结果

10信息安全测量方案的评价和改进

10.1概述

10.2信息安全测量方案的评价准则识别

10.3监视、评审和评价信息安全测量方案

10.4实施改进

附录A（资料性附录）信息安全测量构造模板

附录B（资料性附录）测量构造示例

三、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

本标准提供了如何开发测度和测量以及如何使用的指南，以评估按照GB/T

22080-2008规定的已实施的信息安全管理体系和控制措施或控制措施集的有效

性。通过本标准的实施将形成信息安全测量方案，主要包括方针、信息安全风险

管理、控制目标、控制措施、过程和规程，并且支持其校验过程，以助于决定信

息安全管理体系过程或控制措施是否需要改变或改进。本标准将协助管理者识别

和评价不相容的、无效的信息安全管理体系过程和控制措施，优化、改进或改变

这些过程和控制的活动，并协助组织证明GB/T22080-2008的符合性。因此，本

标准不产生直接的经济效益，通过本标准的有效实施，将提高相关人员对测量结

果的信任，并使其利用这些测量结果实现对信息安全和信息安全管理体系的持续

改进。

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的

对比情况，或与测试的国外样品、样机的有关数据对比情况

本标准等同采用国际标准ISO/IEC27004:2009。

五、与相关法律法规及国家有关规定、国内相关标准的关系

本标准与现有国家标准GB/T22080:2008《信息技术安全技术信息安全管

理体系要求》、GB/T22081:2008《信息技术安全技术信息安全管理实用规则》、

GB/T25067:2010《信息技术安全技术信息安全管理体系审核认证机构的要

求》和ISO/IEC27000:2009《信息技术安全技术信息安全管理体系概述和词

汇》都属于信息安全管理体系标准族标准。本标准提供了如何开发测度和测量以

及如何使用的指南，以评估按照GB/T22080-2008规定的已实施的信息安全管理

体系和控制措施或控制措施集的有效性，包括方针、信息安全风险管理、控制目

标、控制措施、过程和规程，并且支持其校验过程，以助于决定信息安全管理体

系过程或控制措施是否需要改变或改进。本标准可以协助组织证明GB/T

22080-2008的符合性，并提供管理评审和信息安全风险管理过程的额外证据。

GB/T22080:2008提供了建立信息安全管理体系的模型及每个过程的具体活动，

可供用户建立和实施满足自身业务需求和安全需要的信息安全管理体系。GB/T

22081:2008提供了一套通用的安全控制目标和最佳实践控制措施，可指导用户

选择和实施控制措施以实现信息安全。GB/T25067:2010为依据GB/T22080:2008

提供审核和ISMS认证的机构规定了要求并提供相关指导。ISO/IEC27000:2009

《信息技术安全技术信息安全管理体系概述和词汇》提供了信息安全管理体

系标准族的概述，定义了信息安全管理体标准族所用的术语和定义。

六、重大分歧意见的处理经过和依据

详见意见汇总处理表。

七、国家标准作为强制性国家标准或推荐性国家标准的建议

建议本标准作为推荐性国家标准发布实施。

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等

内容）

本标准主要用于支撑国家标准GB/T22080:2008《信息技术安全技术信息

安全管理体系要求》和GB/T22081:2008《信息技术安全技术信息安全管理

实用规则》的实施，提供如何测度和测量信息安全管理体系以及如何使用的指南，

验证已实施的信息安全管理体系和控制措施的有效性，推进信息安全管理体系过

程或控制措施的改进。因此，本标准贯彻实施时，应与上述两个标准结合在一起

进行。

九、其他事项说明

本标准与国家标准GB/TAAAAA-AAAA《信息技术安全技术信息安全管理体

系概述和词汇》（待发布）、GB/TBBBBB-BBBB《信息技术安全技术信息安全管

理体系实施指南》（待发布）和GB/TDDDDD-DDDD《信息技术安全技术信息安

全风险管理》（待发布）均属于信息安全管理体系标准族，标准内容相关性强，

且在标准文本中存在相互引用、相互参考的关系。因此，为了方便区分，本标准

中对其余几个标准的引用之处进行采用