GB/T 28450-2020信息技術(shù)安全技術(shù)信息安全管理體系審核指南

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T28450—2020/ISO/IEC270072017

代替:

GB/T28450—2012

信息技術(shù)安全技術(shù)

信息安全管理體系審核指南

Informationtechnology—Securitytechniques—Guidelinesfor

informationsecuritymanagementsystemsauditing

(ISO/IEC27007:2017,IDT)

2020-12-14發(fā)布2021-07-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T28450—2020/ISO/IEC270072017

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

審核原則

4…………………1

審核方案的管理

5…………………………1

總則

5.1…………………1

確立審核方案的目標(biāo)

5.2………………1

建立審核方案

5.3………………………2

實施審核方案

5.4………………………3

監(jiān)視審核方案

5.5………………………4

評審和改進(jìn)審核方案

5.6………………4

實施審核

6…………………4

總則

6.1…………………4

審核的啟動

6.2…………………………4

審核活動的準(zhǔn)備

6.3……………………5

審核活動的實施

6.4……………………5

審核報告的編制和分發(fā)

6.5……………6

審核的完成

6.6…………………………7

審核后續(xù)活動的實施

6.7………………7

審核員的能力和評價

7……………………7

總則

7.1…………………7

確定滿足審核方案需求的審核人員能力

7.2…………7

審核員評價準(zhǔn)則的建立

7.3……………8

選擇適當(dāng)?shù)膶徍藛T評價方法

7.4………………………8

進(jìn)行審核員評價

7.5……………………8

保持并提高審核員能力

7.6……………8

附錄資料性附錄審核實踐指南

A()ISMS………………9

參考文獻(xiàn)

……………………34

Ⅰ

GB/T28450—2020/ISO/IEC270072017

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息安全管理體系審核指南與

GB/T28450—2012《》,GB/T28450—

相比主要技術(shù)性變化如下

2012,:

刪除了特定審核原則的內(nèi)容見年版的

———ISMS(20124.2);

刪除了審核方案管理流程圖見年版的

———(20125.1);

刪除了審核方案內(nèi)容見年版的

———(20125.2.2);

增加了審核方案管理人員能力的內(nèi)容見

———(5.3.2);

增加了審核方案范圍和詳略程度確定的內(nèi)容見

———(5.3.3);

增加了審核方案風(fēng)險識別和評估的內(nèi)容見

———(5.3.4);

修改了審核方案實施的內(nèi)容見年版的

———(5.4,20125.4);

刪除了審核方案記錄的內(nèi)容見年版的

———(20125.5);

刪除了審核組長指定的內(nèi)容見年版的

———(20126.2.1);

刪除了實用幫助信息收集注意事項見年版的

——————(20126.5.4.1);

刪除了審核報告批準(zhǔn)的內(nèi)容見年版的

———(20126.6.2);

刪除了能力概念圖見年版的

———(20127.1.1);

刪除了個人素質(zhì)的內(nèi)容見年版的

———(20127.2);

增加了個人行為的內(nèi)容見

———(7.2.2);

刪除了特定及相關(guān)專業(yè)知識和技能的內(nèi)容見年版的

———ISMS(20127.3.3);

增加了管理體系審核員特定領(lǐng)域與專業(yè)知識和技能的內(nèi)容見

———(7.2.3.3);

增加了多領(lǐng)域管理體系審核知識和技能的內(nèi)容見

———(7.2.3.5);

刪除了教育工作經(jīng)歷審核員培訓(xùn)和審核經(jīng)歷的內(nèi)容見年版的

———、、(20127.4);

增加了審核員能力獲得的內(nèi)容見

———(7.2.4);

修改了審核員評價的內(nèi)容見年版的

———(7.3、7.4、7.5,20127.6);

重新組織了附錄的內(nèi)容刪除了原標(biāo)準(zhǔn)的五個附錄增加了附錄審核實踐指南與

———,,A:ISMS,

附錄保持一致

ISO/IEC27007:2017A。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系審核指

ISO/IEC27007:2017《

南

》。

與本標(biāo)準(zhǔn)中規(guī)范性引用的國際文件有一致性對應(yīng)關(guān)系的我國文件如下

:

管理體系審核指南

———GB/T19011—2013(ISO19011:2011,IDT)

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2016(ISO/IEC27001:

2013,IDT)

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2017(ISO/IEC27000:

2016,IDT)

本標(biāo)準(zhǔn)做了下列編輯性修改

:

在引言中對本標(biāo)準(zhǔn)中涉及的部分術(shù)語和定義與其他標(biāo)準(zhǔn)相關(guān)內(nèi)容的關(guān)系進(jìn)行了說明

———,;

在參考文獻(xiàn)中增加了國際文件

———ISO/IEC27017。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

Ⅲ

GB/T28450—2020/ISO/IEC270072017

:

本標(biāo)準(zhǔn)起草單位北京時代新威信息技術(shù)有限公司中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心中國電子

:、、

技術(shù)標(biāo)準(zhǔn)化研究院全國組織機(jī)構(gòu)統(tǒng)一社會信用代碼數(shù)據(jù)服務(wù)中心

、。

本標(biāo)準(zhǔn)主要起草人王新杰王連強(qiáng)張劍上官曉麗孫鎮(zhèn)趙捷鄭瑋陳劍博郭樂宇汪洋曹宇

:、、、、、、、、、、、

程瑜琦王姣孫泰李晟飛

、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T28450—2012。

Ⅳ

GB/T28450—2020/ISO/IEC270072017

:

引言

本標(biāo)準(zhǔn)提供了下列指南

:

信息安全管理體系審核方案的管理

———(ISMS);

遵循實施內(nèi)部和外部審核

———GB/T22080—2016;

審核員的能力和評價

———ISMS。

本標(biāo)準(zhǔn)宜與中包含的指南一起使用

GB/T19011—2013。

本標(biāo)準(zhǔn)遵循的結(jié)構(gòu)審核所需的特定指南用字母進(jìn)行標(biāo)識

GB/T19011—2013,ISMSISMS,“IS”。

開展審核時本標(biāo)準(zhǔn)新增的特定指南宜與配合使用用字母

ISMS,ISMSGB/T19011—2013,“IS”

進(jìn)行標(biāo)識

”。

提供了關(guān)于審核方案管理管理體系內(nèi)部或外部審核實施以及管理體系審核

GB/T19011—2013、

員能力和評價的指南

。

本標(biāo)準(zhǔn)未聲明組織規(guī)模要求可適用于所有用戶包括中小型組織

,,。

本標(biāo)準(zhǔn)中涉及的部分術(shù)語和定義與其他標(biāo)準(zhǔn)相關(guān)內(nèi)容的關(guān)系說明如下

,;

國際標(biāo)準(zhǔn)中的在中翻譯為程序而在

———“Procedure”,GB/T19011—2013“”,GB/T22080—2016

中翻譯為規(guī)程因本標(biāo)準(zhǔn)同時引用了這兩個標(biāo)準(zhǔn)的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語的地方均采

“”,,

用其原標(biāo)準(zhǔn)中的定義

;

國際標(biāo)準(zhǔn)中的在中翻譯為實施而在

———“Implement”,GB/T19011—2013“”,GB/T22080—2016

中翻譯為實現(xiàn)因本標(biāo)準(zhǔn)同時引用了這兩個標(biāo)準(zhǔn)的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語的地方均采

“”,,

用其原標(biāo)準(zhǔn)中的定義

;

國際標(biāo)準(zhǔn)中的在中翻譯為保持而在

———“Maintain”,GB/T19011—2013“”,GB/T22080—2016

中翻譯為維護(hù)因本標(biāo)準(zhǔn)同時引用了這兩個標(biāo)準(zhǔn)的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語的地方均采

“”,,

用其原標(biāo)準(zhǔn)中的定義

;

國際標(biāo)準(zhǔn)中的在中翻譯為文檔化信息而

———“Documentedinformation”,GB/T29246—2017“”,

在中翻譯為文件化信息因本標(biāo)準(zhǔn)引用了的原文

GB/T22080—2016“”,GB/T22080—2016,

故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語的地方均采用中的定義

GB/T22080—2016;

國際標(biāo)準(zhǔn)中的在中翻譯為語境而在中

———“Context”,GB/T29246—2017“”,GB/T22080—2016

翻譯為環(huán)境因本標(biāo)準(zhǔn)引用了的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語的地方均

“”,GB/T22080—2016,

采用中的定義

GB/T22080—2016;

國際標(biāo)準(zhǔn)中的在中翻譯為持續(xù)性而在

———“Continuity”,GB/T29246—2017“”,GB/T22080—

中翻譯為連續(xù)性因本標(biāo)準(zhǔn)引用了的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)

2016“”,GB/T22080—2016,

語的地方均采用中的定義

GB/T22080—2016。

Ⅴ

GB/T28450—2020/ISO/IEC270072017

:

信息技術(shù)安全技術(shù)

信息安全管理體系審核指南

1范圍

本標(biāo)準(zhǔn)在的基礎(chǔ)上為信息安全管理體系以下簡稱審核方案管理和審

GB/T19011—2013,(ISMS)

核實施提供了指南并對審核員能力提供了評價指南

,ISMS。

本標(biāo)準(zhǔn)適用于需要理解或?qū)嵤┑膬?nèi)部或外部審核或需要管理審核方案的所有組織

ISMS,ISMS。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文