GB/T 28450-2012信息安全技術(shù)信息安全管理體系審核指南

ICS35040

L80.

中華人民共和國國家標準

GB/T28450—2012

信息安全技術(shù)

信息安全管理體系審核指南

Informationsecuritytechnology—

Guidelinesforinformationsecuritymanagementsystemauditing

2012-06-29發(fā)布2012-10-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T28450—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

審核原則…………………

41

通用的審核原則……………………

4.11

審核原則……………………

4.2IS4.11

審核方案的管理…………………………

51

總則…………………

5.11

審核方案的目的和內(nèi)容……………

5.23

審核方案的職責資源和程序………………………

5.3、4

審核方案的實施……………………

5.44

審核方案的記錄……………………

5.54

審核方案的監(jiān)視和評審……………

5.65

審核活動…………………

65

總則…………………

6.15

審核的啟動…………………………

6.25

文件評審的實施……………………

6.35

現(xiàn)場審核的準備……………………

6.46

現(xiàn)場審核的實施……………………

6.56

審核報告的編制批準和分發(fā)………………………

6.6、7

審核的完成…………………………

6.78

審核后續(xù)活動的實施………………

6.88

審核員的能力與評價……………………

78

總則…………………

7.18

個人素質(zhì)……………

7.28

知識和技能…………………………

7.39

教育工作經(jīng)歷審核員培訓和審核經(jīng)歷…………

7.4、、11

能力的保持和提高…………………

7.511

審核員的評價………………………

7.611

附錄資料性附錄各應用領(lǐng)域的典型應用系統(tǒng)示例………………

A()12

附錄資料性附錄的過程審核示例…………

B()ISMS14

附錄資料性附錄控制措施的審核示例……………

C()19

附錄資料性附錄本標準與的對照…………

D()GB/T19011—200321

Ⅰ

GB/T28450—2012

附錄資料性附錄審核組審核員的選擇……………

E()24

參考文獻……………………

27

圖審核方案管理流程圖…………………

12

圖能力的概念……………

28

表典型應用系統(tǒng)舉例…………

A.1IT12

表體系文件建立發(fā)布與宣貫過程審核示例………

B.1、14

表風險評估與處理過程審核示例…………………

B.215

表業(yè)務連續(xù)性的信息安全管理方面過程審核示例………………

B.316

表法律法規(guī)符合性判定過程審核示例……………

B.417

表信息處理設施的授權(quán)過程審核示例……………

C.119

表處理第三方協(xié)議中的安全問題審核示例………

C.219

表信息的標記與處理審核示例……………………

C.320

表本標準與對照表…………

D.1GB/T19011—200321

表審核組審核員的選擇知識能力考慮點示例……………………

E.124

Ⅱ

GB/T28450—2012

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

,。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國信息安全認證中心中國電子技術(shù)標準化研究所北京知識安全工程中心

:、、。

本標準主要起草人張劍上官曉麗許玉娜王新杰閔京華陳珍成

:、、、、、。

Ⅲ

GB/T28450—2012

引言

本標準旨在為信息安全管理體系簡稱審核員包括內(nèi)部審核員和外部審核員執(zhí)行

(ISMS)()ISMS

審核提供指導以確保審核

,ISMS:

既符合的要求又與質(zhì)量和或環(huán)境管理體系審核

———GB/T22080—2008,GB/T19011—2003《()

指南和信息技術(shù)安全技術(shù)信息安全管理

》(ISO19011:2002,IDT)ISO/IEC27006:2007《

體系審核認證機構(gòu)要求標準保持一致

》;

成為幫助受審核的組織持續(xù)改進的一項有效活動

———。

本標準在的基礎(chǔ)上為信息安全管理體系的審核原則審核方案管理和審核實

GB/T19011—2003、

施提供了指導并對審核員的能力及其評價提供了指導本標準旨在適用于廣泛的潛在使用者包括審

,。,

核員實施的組織因合同原因需要對實施審核的組織以及合格評定領(lǐng)域中與審核員注冊

、ISMS,ISMS

或培訓管理體系認證注冊認可或標準化有關(guān)的組織

、、。

當與其他管理體系一起實施時由本標準使用者決定這些管理體系審核是分別進行還是一

ISMS,

起進行

。

本標準采納質(zhì)量和或環(huán)境管理體系審核指南的標

GB/T19011—2003《()》(ISO19011:2002,IDT)

準正文的格式與內(nèi)容在此基礎(chǔ)上針對的特點增加了相關(guān)內(nèi)容用加以標識另外第章

,ISMS,“IS”。,7

針對提出了專門要求還增加了個資料性附錄見附錄

ISMS,5(D)。

此外在監(jiān)視與要求如產(chǎn)品規(guī)范或法律法規(guī)的符合性方面感興趣的任何其他個人或組織可以發(fā)

,(),

現(xiàn)本標準中的指南是有用的

。

Ⅳ

GB/T28450—2012

信息安全技術(shù)

信息安全管理體系審核指南

1范圍

本標準在的基礎(chǔ)上為信息安全管理體系簡稱的審核原則審核方案管

GB/T19011—2003(ISMS)、

理和審核實施提供了指導并對審核員的能力及其評價提供了指導

,。

本標準適用于需要實施內(nèi)部審核外部審核或?qū)徍诉M行管理的所有組織

ISMS、。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

質(zhì)量管理體系基礎(chǔ)和術(shù)語

GB/T19000—2008(ISO9000:2005,IDT)

質(zhì)量和或環(huán)境管理體系審核指南

GB/T19011—2003()(ISO19011:2002,IDT)

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2008(ISO/IEC27001:2005,IDT)

信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則

GB/T22081—2008(ISO/IEC27002:2005,IDT)

3