文檔簡介
ICS35040
L80.
中華人民共和國國家標準
GB/T31496—2015/ISO/IEC270032010
:
信息技術安全技術
信息安全管理體系實施指南
Informationtechnology—Securitytechniques—
Informationsecuritymanagementsystemimplementationguidance
(ISO/IEC27003:2010,IDT)
2015-05-15發(fā)布2016-01-01實施
中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布
中國國家標準化管理委員會
中華人民共和國
國家標準
信息技術安全技術
信息安全管理體系實施指南
GB/T31496—2015/ISO/IEC27003:2010
*
中國標準出版社出版發(fā)行
北京市朝陽區(qū)和平里西街甲號
2(100029)
北京市西城區(qū)三里河北街號
16(100045)
網址
:
服務熱線
:400-168-0010
年月第一版
20156
*
書號
:155066·1-51118
版權專有侵權必究
GB/T31496—2015/ISO/IEC270032010
:
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范圍
1………………………1
規(guī)范性引用文件
2…………………………1
術語和定義
3………………1
本標準的結構
4……………1
章條的總結構
4.1………………………1
每章的一般結構
4.2……………………2
圖表
4.3…………………3
獲得管理者對啟動項目的批準
5ISMS…………………4
獲得管理者對啟動項目的批準的概要
5.1ISMS……………………4
闡明組織開發(fā)的優(yōu)先級
5.2ISMS……………………5
定義初步的范圍
5.3ISMS……………7
制定初步的范圍
5.3.1ISMS…………7
定義初步的范圍內的角色和責任
5.3.2ISMS………8
為了管理者的批準而創(chuàng)建業(yè)務案例和項目計劃
5.4…………………8
定義范圍邊界和方針策略
6ISMS、ISMS……………10
定義范圍邊界和方針策略的概述
6.1ISMS、ISMS………………10
定義組織的范圍和邊界
6.2……………11
定義信息通信技術的范圍和邊界
6.3(ICT)…………12
定義物理范圍和邊界
6.4………………13
集成每一個范圍和邊界以獲得的范圍和邊界
6.5ISMS……………14
制定方針策略和獲得管理者的批準
6.6ISMS………14
進行信息安全要求分析
7…………………15
進行信息安全要求分析的概述
7.1……………………15
定義過程的信息安全要求
7.2ISMS…………………17
標識范圍內的資產
7.3ISMS…………17
進行信息安全評估
7.4…………………18
進行風險評估和規(guī)劃風險處置
8…………19
進行風險評估和規(guī)劃風險處置的概述
8.1……………19
進行風險評估
8.2………………………21
選擇控制目標和控制措施
8.3…………21
獲得管理者對實施和運行的授權
8.4ISMS…………22
設計
9ISMS………………23
設計的概述
9.1ISMS…………………23
設計組織的信息安全
9.2………………25
Ⅰ
GB/T31496—2015/ISO/IEC270032010
:
設計信息安全的最終組織結構
9.2.1………………25
設計的文件框架
9.2.2ISMS………………………26
設計信息安全方針策略
9.2.3………………………27
制定信息安全標準和規(guī)程
9.2.4……………………28
設計安全和物理信息安全
9.3ICT…………………29
設計特定的信息安全
9.4ISMS………………………31
管理評審的計劃
9.4.1………………31
設計信息安全意識培訓和教育方案
9.4.2、………32
產生最終的項目計劃
9.5ISMS………………………33
附錄資料性附錄檢查表的描述
A()……………………34
附錄資料性附錄信息安全的角色和責任
B()…………37
附錄資料性附錄有關內部審核的信息
C()……………40
附錄資料性附錄方針策略的結構
D()…………………41
附錄資料性附錄監(jiān)視和測量
E()………………………45
參考文獻
……………………49
Ⅱ
GB/T31496—2015/ISO/IEC270032010
:
前言
本標準按照給出的規(guī)則起草
GB/T1.1—2009。
本標準使用翻譯法等同采用信息技術安全技術信息安全管理體系實施
ISO/IEC27003:2010《
指南
》。
本標準做了以下編輯性修改
:
在引言部分增加了有關信息安全管理體系標準族情況的介紹
———。
本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任
。。
本標準由全國信息安全標準化技術委員會提出并歸口
(SAC/TC260)。
本標準起草單位中國電子技術標準化研究院上海三零衛(wèi)士信息安全有限公司山東省計算中心
:、、、
黑龍江省電子信息產品監(jiān)督檢驗院北京信息安全測評中心中電長城網際系統(tǒng)應用有限公司
、、。
本標準主要起草人上官曉麗許玉娜董火民閔京華趙章界周鳴樂方舟李剛
:、、、、、、、。
Ⅲ
GB/T31496—2015/ISO/IEC270032010
:
引言
信息安全管理體系標準族簡稱標準族是國際
(InformationSecurityManagementSystem,ISMS)
信息安全技術標準化組織制定的信息安全管理體系系列國際標準標準
(ISO/IECJTC1SC27)。ISMS
族旨在幫助各種類型和規(guī)模的組織開發(fā)和實施管理其信息資產安全的框架并為保護組織信息諸如
,,(,
財務信息知識產權員工詳細資料或者受客戶或第三方委托的信息的的獨立評估做準備
、、,)ISMS。
標準族包括的標準定義了的要求及其認證機構的要求提供了對整個規(guī)劃實施檢
ISMS:a)ISMS;b)“--
查處置過程和要求的直接支持詳細指南和或解釋闡述了特定行業(yè)的指南闡
-”(PDCA)、();c)ISMS;d)
述了的一致性評估
ISMS。
目前標準族由下列標準組成
,ISMS:
信息技術安全技術信息安全管理體系概述
———GB/T29246—2012/ISO/IEC27000:2009
和詞匯
信息技術安全技術信息安全管理體系要求
———GB/T22080—2008/ISO/IEC27001:2005
信息技術安全技術信息安全管理實用規(guī)則
———GB/T22081—2008/ISO/IEC27002:2005
信息技術安全技術信息安全管理體系實施
———GB/T31496—2015/ISO/IEC27003:2010
指南
信息技術安全技術信息安全管理測量
———GB/T31497—2015/ISO/IEC27004:2009
信息技術安全技術信息安全風險管理
———GB/T31722—2015/ISO/IEC27005:2008
信息技術安全技術信息安全管理體系審核認
———GB/T25067—2010/ISO/IEC27006:2007
證機構的要求
信息技術安全技術信息安全管理體系審核指南
———ISO/IEC27007
信息技術安全技術基于的電信行業(yè)組織的信息
———ISO/IEC27011:2008ISO/IEC27002
安全管理指南
信息技術安全技術和集成實施指南
———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1
信息技術安全技術信息安全治理
———ISO/IEC27014:2013
信息技術安全技術金融服務信息安全管理指南
———ISO/IECTR27015:2012
本標準作為標準族之一其目的是為組織按照制定信息安全管理體系
ISMS,GB/T22080—2008
的實施計劃提供實用指導實際情況下的實施通常作為一個項目來執(zhí)行
(ISMS),。,ISMS。
本標準所描述的過程旨在為實施提供支持第章第章和第章所包含的
GB/T22080—2008;4、57
相關部分和文件可用于
:
準備啟動組織的實施計劃定義該項目的組織結構及獲得管理者的批準
a)ISMS、,;
該項目的關鍵活動
b)ISMS;
實現要求的示例
c)GB/T22080—2008。
通過使用本標準組織將能夠制定信息安全管理的過程并向利益相關方保證信息資產的風險可
,,,
持續(xù)保持在組織定義的可接受的信息安全邊界內
。
本標準不涉及運行活動和其他活動但涉及了如何設計這些活動的概念這些活動是在開始
ISMS,,
運行后所產生的這些概念導致了最終的項目實施計劃項目的組織特定部分的
ISMS。ISMS。ISMS
實際執(zhí)行不在本標準范圍內
。
項目的實施宜使用標準的項目管理方法學來執(zhí)行更多信息請參見和有關項
ISMS(ISOISO/IEC
目管理的標準
)。
Ⅳ
GB/T31496—2015/ISO/IEC270032010
:
信息技術安全技術
信息安全管理體系實施指南
1范圍
本標準依據關注設計和實施一個成功的信息安全管理體系所需要的
GB/T22080—2008,(ISMS)
關鍵方面本標準描述了規(guī)范及其設計的過程從開始到產生實施計劃本標準為實施
。ISMS,。ISMS
描述了獲得管理者批準的過程為實施定義了一個項目本標準稱作項目并就如何規(guī)劃
,ISMS(ISMS),
該項目提供了相應的指導產生最終的項目實施計劃
ISMS,ISMS。
本標準可供實施一個的組織使用適用于各種規(guī)模和類型的組織例如商業(yè)企業(yè)政府機
ISMS,(,、
構非贏利組織每個組織的復雜性和風險都是獨特的并且其特定的要求將驅動的實施小
、)。,ISMS。
型組織將發(fā)現本標準中所提及的活動可適用于他們并可進行簡化大型組織或復雜的組織可能會發(fā)
,,。
現為了有效地管理本標準中的活動需要層次化的組織架構或管理體系然而無論是大型組織還是
,,。,
小型組織都可應用本標準來規(guī)劃相關的活動
,
溫馨提示
- 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發(fā)行、匯編、翻譯或網絡傳播等,侵權必究。
- 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
- 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。
最新文檔
- 新能源汽車電池及管理系統(tǒng)檢修 課件 項目六 新能源汽車動力蓄電池廢棄處理
- 混凝土蜂窩、麻面、孔洞等問題分析處理方案
- 五年級下冊數學全冊教案
- XX五年級數學下冊第六單元圓教案(新版蘇教版)
- 大學英語六級改革適用(閱讀)模擬試卷50(共210題)
- 記賬實操-草料加工廠的賬務處理分錄
- 2024-2025學年八年級物理上冊第一章《聲現象》單元測試卷(蘇科版2024新教材)
- 《小小發(fā)明家》創(chuàng)新思維教案
- 《草船借箭》智謀與勇氣教案
- 專升本高等數學二(填空題)模擬試卷1(共140題)
- PE保護膜513#檢測報告
- 冬奧會網絡安全保障工作方案
- 《鄉(xiāng)土中國》整本書閱讀-學生研讀成果匯報-無為政治-課件-(共21張)
- 第九套廣播體操動作要領圖解及教案
- (新版)辭退勞務派遣人員通知書
- 石膏抹灰課件
- 小學數學三年級上冊 多位數乘一位數歸一問題
- CNAS-CL01-A003:2022年(電氣)-核查表
- 體育與健康人教六年級全一冊開學第一課課件(共16張PPT)
- 中小學校崗位安全工作指導手冊1
- TIFFANY陶醉在那一抹懾人心魄的粉藍
評論
0/150
提交評論