GB/T 28450-2012信息安全技術(shù)信息安全管理體系審核指南

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T28450—2012

信息安全技術(shù)

信息安全管理體系審核指南

Informationsecuritytechnology—

Guidelinesforinformationsecuritymanagementsystemauditing

2012-06-29發(fā)布2012-10-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T28450—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語(yǔ)和定義………………

31

審核原則…………………

41

通用的審核原則……………………

4.11

審核原則……………………

4.2IS4.11

審核方案的管理…………………………

51

總則…………………

5.11

審核方案的目的和內(nèi)容……………

5.23

審核方案的職責(zé)資源和程序………………………

5.3、4

審核方案的實(shí)施……………………

5.44

審核方案的記錄……………………

5.54

審核方案的監(jiān)視和評(píng)審……………

5.65

審核活動(dòng)…………………

65

總則…………………

6.15

審核的啟動(dòng)…………………………

6.25

文件評(píng)審的實(shí)施……………………

6.35

現(xiàn)場(chǎng)審核的準(zhǔn)備……………………

6.46

現(xiàn)場(chǎng)審核的實(shí)施……………………

6.56

審核報(bào)告的編制批準(zhǔn)和分發(fā)………………………

6.6、7

審核的完成…………………………

6.78

審核后續(xù)活動(dòng)的實(shí)施………………

6.88

審核員的能力與評(píng)價(jià)……………………

78

總則…………………

7.18

個(gè)人素質(zhì)……………

7.28

知識(shí)和技能…………………………

7.39

教育工作經(jīng)歷審核員培訓(xùn)和審核經(jīng)歷…………

7.4、、11

能力的保持和提高…………………

7.511

審核員的評(píng)價(jià)………………………

7.611

附錄資料性附錄各應(yīng)用領(lǐng)域的典型應(yīng)用系統(tǒng)示例………………

A()12

附錄資料性附錄的過(guò)程審核示例…………

B()ISMS14

附錄資料性附錄控制措施的審核示例……………

C()19

附錄資料性附錄本標(biāo)準(zhǔn)與的對(duì)照…………

D()GB/T19011—200321

Ⅰ

GB/T28450—2012

附錄資料性附錄審核組審核員的選擇……………

E()24

參考文獻(xiàn)……………………

27

圖審核方案管理流程圖…………………

12

圖能力的概念……………

28

表典型應(yīng)用系統(tǒng)舉例…………

A.1IT12

表體系文件建立發(fā)布與宣貫過(guò)程審核示例………

B.1、14

表風(fēng)險(xiǎn)評(píng)估與處理過(guò)程審核示例…………………

B.215

表業(yè)務(wù)連續(xù)性的信息安全管理方面過(guò)程審核示例………………

B.316

表法律法規(guī)符合性判定過(guò)程審核示例……………

B.417

表信息處理設(shè)施的授權(quán)過(guò)程審核示例……………

C.119

表處理第三方協(xié)議中的安全問題審核示例………

C.219

表信息的標(biāo)記與處理審核示例……………………

C.320

表本標(biāo)準(zhǔn)與對(duì)照表…………

D.1GB/T19011—200321

表審核組審核員的選擇知識(shí)能力考慮點(diǎn)示例……………………

E.124

Ⅱ

GB/T28450—2012

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

,。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)信息安全認(rèn)證中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所北京知識(shí)安全工程中心

:、、。

本標(biāo)準(zhǔn)主要起草人張劍上官曉麗許玉娜王新杰閔京華陳珍成

:、、、、、。

Ⅲ

GB/T28450—2012

引言

本標(biāo)準(zhǔn)旨在為信息安全管理體系簡(jiǎn)稱審核員包括內(nèi)部審核員和外部審核員執(zhí)行

(ISMS)()ISMS

審核提供指導(dǎo)以確保審核

,ISMS:

既符合的要求又與質(zhì)量和或環(huán)境管理體系審核

———GB/T22080—2008,GB/T19011—2003《()

指南和信息技術(shù)安全技術(shù)信息安全管理

》(ISO19011:2002,IDT)ISO/IEC27006:2007《

體系審核認(rèn)證機(jī)構(gòu)要求標(biāo)準(zhǔn)保持一致

》;

成為幫助受審核的組織持續(xù)改進(jìn)的一項(xiàng)有效活動(dòng)

———。

本標(biāo)準(zhǔn)在的基礎(chǔ)上為信息安全管理體系的審核原則審核方案管理和審核實(shí)

GB/T19011—2003、

施提供了指導(dǎo)并對(duì)審核員的能力及其評(píng)價(jià)提供了指導(dǎo)本標(biāo)準(zhǔn)旨在適用于廣泛的潛在使用者包括審

,。,

核員實(shí)施的組織因合同原因需要對(duì)實(shí)施審核的組織以及合格評(píng)定領(lǐng)域中與審核員注冊(cè)

、ISMS,ISMS

或培訓(xùn)管理體系認(rèn)證注冊(cè)認(rèn)可或標(biāo)準(zhǔn)化有關(guān)的組織

、、。

當(dāng)與其他管理體系一起實(shí)施時(shí)由本標(biāo)準(zhǔn)使用者決定這些管理體系審核是分別進(jìn)行還是一

ISMS,

起進(jìn)行

。

本標(biāo)準(zhǔn)采納質(zhì)量和或環(huán)境管理體系審核指南的標(biāo)

GB/T19011—2003《()》(ISO19011:2002,IDT)

準(zhǔn)正文的格式與內(nèi)容在此基礎(chǔ)上針對(duì)的特點(diǎn)增加了相關(guān)內(nèi)容用加以標(biāo)識(shí)另外第章

,ISMS,“IS”。,7

針對(duì)提出了專門要求還增加了個(gè)資料性附錄見附錄

ISMS,5(D)。

此外在監(jiān)視與要求如產(chǎn)品規(guī)范或法律法規(guī)的符合性方面感興趣的任何其他個(gè)人或組織可以發(fā)

,(),

現(xiàn)本標(biāo)準(zhǔn)中的指南是有用的

。

Ⅳ

GB/T28450—2012

信息安全技術(shù)

信息安全管理體系審核指南

1范圍

本標(biāo)準(zhǔn)在的基礎(chǔ)上為信息安全管理體系簡(jiǎn)稱的審核原則審核方案管

GB/T19011—2003(ISMS)、

理和審核實(shí)施提供了指導(dǎo)并對(duì)審核員的能力及其評(píng)價(jià)提供了指導(dǎo)

,。

本標(biāo)準(zhǔn)適用于需要實(shí)施內(nèi)部審核外部審核或?qū)徍诉M(jìn)行管理的所有組織

ISMS、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

質(zhì)量管理體系基礎(chǔ)和術(shù)語(yǔ)

GB/T19000—2008(ISO9000:2005,IDT)

質(zhì)量和或環(huán)境管理體系審核指南

GB/T19011—2003()(ISO19011:2002,IDT)

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2008(ISO/IEC27001:2005,IDT)

信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則

GB/T22081—2008(ISO/IEC27002:2005,IDT)

3