《信息技术 安全技术 信息安全管理体系审核指南-编制说明》由会员分享,可在线阅读,更多相关《信息技术 安全技术 信息安全管理体系审核指南-编制说明(5页珍藏版)》请在金锄头文库上搜索。
1、国家标准征求意见稿资料国家标准信息技术 安全技术 信息安全管理体系审核指南(报批稿)编制说明一、工作简况1、任务来源根据国家标准化管理委员会2018年下达的国家标准制修订计划:信息技术 安全技术 信息安全管理体系审核指南,该标准由北京时代新威信息技术有限公司负责承办,计划号为20190913-T-469。该标准由全国信息安全标准化技术委员会归口管理。2、主要起草单位和工作组成员该标准由北京时代新威信息技术有限公司主要负责起草,协作起草单位为中国网络安全审查技术与认证中心、中国电子技术标准化研究院、全国组织机构统一社会信用代码数据服务中心,主要起草人:王新杰、王连强、郑玮、陈剑博、郭乐宇、汪洋、
2、曹宇、张剑、程瑜琦、上官晓丽、王姣、孙镇、赵捷、孙泰、李晟飞。其中,王新杰、王连强、张剑、上官晓丽、孙镇、赵捷负责编制过程总体领导,标准前言的编写,以及全文校对;郑玮、陈剑博、郭乐宇、汪洋、曹宇、程瑜琦、王姣、孙泰、李晟飞负责标准正文编写以及相关背景资料的调研。3、主要工作过程标准制定的主要工作过程如下:a) 成立编制组。2018年8月,接到全国信息安全标准化技术委员会关于标准制定任务之后,课题组负责人随即召集标准编制组的相关成员开会,具体讨论和分配了小组的任务、标准修订的重要事项以及需注意的事项。b) 形成标准草案。2018年8月-9月,标准编制组开展信息安全管理体系审核指南的研究。标准编制
3、组分析梳理了国内外信息安全管理体系审核指南的应用情况,对ISO/IEC 27007标准等文档进行了深入研究,据此编制完成信息技术 安全技术 信息安全管理体系审核指南标准草案。2018年10月18日,召开专家评审会,就标准草案征求部分专家意见,并根据意见对草案进行了修改完善。c) 形成标准征求意见稿。2018年10月24日-26日,WG7工作组面向全体工作组成员单位进行草案标准投票,表决通过,工作组建议形成征求意见稿。标准编制组根据意见进行修改完善,形成征求意见稿第一稿。2018年11月28日,WG7开展工作组标准审查,编制组根据审查意见对标准征求意见稿进行了修改完善。二、标准编制原则和确定主要
4、内容的论据及解决的主要问题1、标准编制原则本标准在编制过程中遵循了等同采用、准确理解和语言通畅的原则。等同采用:基于目前国内对国际ISMS标准族相关标准的研究和转化情况,以及我国整体信息安全管理理论和技术发展现状,决定等同采用国际标准ISO/IEC 27007信息技术安全技术信息安全管理体系审核指南最新版本。准确理解:在充分理解国际标准原文的基础上进行等同翻译,做到准确表达原意。语言通畅:在等同翻译时,尽量符合中文的语言习惯,做到表述通畅。2、标准解决的问题及主要内容国家标准信息安全技术 信息安全管理体系审核指南(GB/T 28450-2012)所引用的质量和(或)环境管理体系审核指南(GB/
5、T 19011-2003)和信息安全 安全技术 信息安全管理体系要求(GB/T 22080-2008)均已修订,管理体系审核的基本流程、思路和方法已调整,且审核对象的内容也随着 GB/T 22080的修订发生了变化,因此亟需制定并发布新版国家标准信息安全管理体系审核指南。国际标准化组织也于2017年10月发布了新版标准信息技术 安全技术 信息安全管理体系审核指南(ISO/IEC 27007:2017)。因此,为给我国ISMS审核认证机构及审核人员实施ISMS体系审核提供更加成熟的方法论和指导,有必要等同采纳国际标准,重新修订GB/T 28450-2012,为ISMS相关技术和应用提供最新的基础
6、标准支撑。该标准在GB/T 190112013的基础上,为信息安全管理体系(Information Security Management System,以下简称ISMS)审核方案管理、审核实施提供了指南,并对ISMS审核员能力提供了评价指南。该标准适用于需要理解或实施ISMS的内部或外部审核,或需要管理ISMS审核方案的所有组织。该标准的主要内容包括:1)审核原则;2)审核方案的管理,包括确立审核方案的目标、建立审核方案、实施审核方案、监视审核方案以及评审和改进审核方案等内容;3)实施审核,包括审核的启动、审核活动的准备、审核活动的实施、审核报告的编制和分发、审核的完成、审核后续活动的实施等
7、内容;4)审核员的能力和评价,包括确定满足审核方案需求的审核人员能力、审核员评价准则的建立、选择适当的审核员评价方法、进行审核员评价、保持并提高审核员能力等内容;5)ISMS审核实践指南,该部分内容主要针对GB/T 22080-2016正文各条款的内容提供了审核证据、审核实践指南以及相关的支持性文件等内容。三、主要试验或验证情况分析标准编制组已请中国网络安全审查技术与认证中心等认证机构对信息技术安全技术 信息安全管理体系审核指南进行了试用,标准试用效果良好。四、知识产权情况说明本标准不涉及专利。五、产业化情况、推广应用论证和预期达到的经济效果该标准作为实施指南,可为ISMS审核认证机构或内部审
8、核组织的审核人员提供ISMS审核(包括外部审核和内部审核)的指南,帮助其完成审核方案管理、审核启动、审核活动准备、审核活动实施、审核报告编制和分发、审核完成、审核后续活动实施等相关工作,此外,该标准还可为ISMS审核认证机构或内部审核组织提供审核员管理指南,帮助其对ISMS审核员实施有效管理,对ISMS审核员的能力进行定期评价,以督促审核员能力的不断提升。六、采用国际标准和国外先进标准情况国家标准信息安全管理体系审核指南(GB/T 28450-2012)为我国自主制定标准,但在此次标准修订时,建议等同采纳国际标准,主要考虑如下;1)信息安全管理体系审核指南的主要内容为管理信息安全管理体系(IS
9、MS)审核方案、实施审核、ISMS审核员能力提供了指南,适用于需要理解或实施ISMS内部或外部审核,或管理ISMS审核方案的所有组织。其主体内容所涉及的“信息安全管理体系”以及“管理体系审核”均来自于国际标准所提方法概念和流程,“信息安全管理体系”以及“管理体系审核”均为全球适用的方法、流程和机制;2)信息安全管理体系审核指南中所引用的两个国家标准:管理体系审核指南(GB/T 19011-2013) (ISO 19011:2011,IDT)、信息安全管理体系要求(GB/T 22080-2008)(ISO/IEC 27001:2013,IDT)均等同采纳了相应的国际标准;3)ISO/IEC 27
10、007作为ISMS标准家族的成员之一,我国已采用等同采纳方式转化了10项ISMS标准族中的国际标准,包括ISO/IEC 27000、ISO/IEC 27001、ISO/IEC 27002、ISO/IEC 27003、ISO/IEC 27004、ISO/IEC 27005、ISO/IEC 27006、ISO/IEC 27008、ISO/IEC 27010、ISO/IEC 27014。我国在ISO/IEC 27007的制定过程中,做出了积极贡献。2007年我国提出了信息安全管理体系审核指南国际标准提案,经国家标准化管理委员会批准后正式提交ISO/IEC JTC1 SC27,并被SC27批准立项为I
11、SO/IEC27007 Guidelines for Information Security Management System Auditing,其标准于2011年正式发布为ISO/IEC 27007:2011,该国际标准于2017年发布了更新版本。七、与现行相关法律、法规、规章及相关标准的协调性该标准符合现有法律法规的要求。该标准与现有国家标准不矛盾、不冲突,也不重复。八、重大分歧意见的处理经过和依据无。九、标准性质的建议根据该标准的性质,建议该标准为推荐性标准。十、贯彻标准的要求和措施建议该标准是信息安全管理体系的基础性标准,是ISMS审核人员开展ISMS审核工作的基本工具,因此建议在所有ISMS审核人员(包括内部审核人员和外部审核人员)中进行宣贯和培训。十一、替代或废止现行相关标准的建议建议该标准替代信息安全技术 信息安全管理体系审核指南(GB/T 28450-2012)。十二、其它应予说明的事项无。 信息技术安全技术信息安全管理体系审核指南编制工作组 2019-10-14
