標(biāo)準(zhǔn)解讀

《GB/T 31496-2015 信息技術(shù) 安全技術(shù) 信息安全管理體系實(shí)施指南》是一份國家標(biāo)準(zhǔn),旨在為組織建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)信息安全管理體系(ISMS)提供指導(dǎo)。該標(biāo)準(zhǔn)基于ISO/IEC 27001國際標(biāo)準(zhǔn)框架下制定,并結(jié)合了中國國情的特點(diǎn)。它適用于各種規(guī)模和類型的組織,幫助它們保護(hù)信息資產(chǎn)免受威脅,確保業(yè)務(wù)連續(xù)性。

在內(nèi)容上,《GB/T 31496-2015》首先介紹了信息安全管理體系的基本概念、原則以及與之相關(guān)的術(shù)語定義,為讀者理解后續(xù)章節(jié)奠定基礎(chǔ)。接著,詳細(xì)描述了如何規(guī)劃ISMS的過程,包括確定ISMS范圍、進(jìn)行風(fēng)險評估的方法論、設(shè)定風(fēng)險管理策略等關(guān)鍵步驟。此外,還強(qiáng)調(diào)了高層管理者對于ISMS成功實(shí)施的重要性,指出需要獲得他們的承諾和支持。

文件進(jìn)一步闡述了ISMS的設(shè)計階段,涵蓋了選擇控制措施以應(yīng)對已識別的風(fēng)險、準(zhǔn)備必要的文檔記錄等方面。之后是關(guān)于如何運(yùn)行ISMS的具體說明,如執(zhí)行選定的安全控制、監(jiān)控系統(tǒng)性能、定期審核等操作指南。同時,也提到了當(dāng)發(fā)生安全事故時應(yīng)采取的響應(yīng)措施及事后恢復(fù)流程。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 31496-2023
  • 2015-05-15 頒布
  • 2016-01-01 實(shí)施
?正版授權(quán)
GB/T 31496-2015信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南_第1頁
GB/T 31496-2015信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南_第2頁
GB/T 31496-2015信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南_第3頁
GB/T 31496-2015信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南_第4頁
GB/T 31496-2015信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南_第5頁
已閱讀5頁,還剩51頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 31496-2015信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南-免費(fèi)下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T31496—2015/ISO/IEC270032010

:

信息技術(shù)安全技術(shù)

信息安全管理體系實(shí)施指南

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystemimplementationguidance

(ISO/IEC27003:2010,IDT)

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

中華人民共和國

國家標(biāo)準(zhǔn)

信息技術(shù)安全技術(shù)

信息安全管理體系實(shí)施指南

GB/T31496—2015/ISO/IEC27003:2010

*

中國標(biāo)準(zhǔn)出版社出版發(fā)行

北京市朝陽區(qū)和平里西街甲號

2(100029)

北京市西城區(qū)三里河北街號

16(100045)

網(wǎng)址

:

服務(wù)熱線

:400-168-0010

年月第一版

20156

*

書號

:155066·1-51118

版權(quán)專有侵權(quán)必究

GB/T31496—2015/ISO/IEC270032010

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

本標(biāo)準(zhǔn)的結(jié)構(gòu)

4……………1

章條的總結(jié)構(gòu)

4.1………………………1

每章的一般結(jié)構(gòu)

4.2……………………2

圖表

4.3…………………3

獲得管理者對啟動項(xiàng)目的批準(zhǔn)

5ISMS…………………4

獲得管理者對啟動項(xiàng)目的批準(zhǔn)的概要

5.1ISMS……………………4

闡明組織開發(fā)的優(yōu)先級

5.2ISMS……………………5

定義初步的范圍

5.3ISMS……………7

制定初步的范圍

5.3.1ISMS…………7

定義初步的范圍內(nèi)的角色和責(zé)任

5.3.2ISMS………8

為了管理者的批準(zhǔn)而創(chuàng)建業(yè)務(wù)案例和項(xiàng)目計劃

5.4…………………8

定義范圍邊界和方針策略

6ISMS、ISMS……………10

定義范圍邊界和方針策略的概述

6.1ISMS、ISMS………………10

定義組織的范圍和邊界

6.2……………11

定義信息通信技術(shù)的范圍和邊界

6.3(ICT)…………12

定義物理范圍和邊界

6.4………………13

集成每一個范圍和邊界以獲得的范圍和邊界

6.5ISMS……………14

制定方針策略和獲得管理者的批準(zhǔn)

6.6ISMS………14

進(jìn)行信息安全要求分析

7…………………15

進(jìn)行信息安全要求分析的概述

7.1……………………15

定義過程的信息安全要求

7.2ISMS…………………17

標(biāo)識范圍內(nèi)的資產(chǎn)

7.3ISMS…………17

進(jìn)行信息安全評估

7.4…………………18

進(jìn)行風(fēng)險評估和規(guī)劃風(fēng)險處置

8…………19

進(jìn)行風(fēng)險評估和規(guī)劃風(fēng)險處置的概述

8.1……………19

進(jìn)行風(fēng)險評估

8.2………………………21

選擇控制目標(biāo)和控制措施

8.3…………21

獲得管理者對實(shí)施和運(yùn)行的授權(quán)

8.4ISMS…………22

設(shè)計

9ISMS………………23

設(shè)計的概述

9.1ISMS…………………23

設(shè)計組織的信息安全

9.2………………25

GB/T31496—2015/ISO/IEC270032010

:

設(shè)計信息安全的最終組織結(jié)構(gòu)

9.2.1………………25

設(shè)計的文件框架

9.2.2ISMS………………………26

設(shè)計信息安全方針策略

9.2.3………………………27

制定信息安全標(biāo)準(zhǔn)和規(guī)程

9.2.4……………………28

設(shè)計安全和物理信息安全

9.3ICT…………………29

設(shè)計特定的信息安全

9.4ISMS………………………31

管理評審的計劃

9.4.1………………31

設(shè)計信息安全意識培訓(xùn)和教育方案

9.4.2、………32

產(chǎn)生最終的項(xiàng)目計劃

9.5ISMS………………………33

附錄資料性附錄檢查表的描述

A()……………………34

附錄資料性附錄信息安全的角色和責(zé)任

B()…………37

附錄資料性附錄有關(guān)內(nèi)部審核的信息

C()……………40

附錄資料性附錄方針策略的結(jié)構(gòu)

D()…………………41

附錄資料性附錄監(jiān)視和測量

E()………………………45

參考文獻(xiàn)

……………………49

GB/T31496—2015/ISO/IEC270032010

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施

ISO/IEC27003:2010《

指南

》。

本標(biāo)準(zhǔn)做了以下編輯性修改

:

在引言部分增加了有關(guān)信息安全管理體系標(biāo)準(zhǔn)族情況的介紹

———。

本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院上海三零衛(wèi)士信息安全有限公司山東省計算中心

:、、、

黑龍江省電子信息產(chǎn)品監(jiān)督檢驗(yàn)院北京信息安全測評中心中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司

、、。

本標(biāo)準(zhǔn)主要起草人上官曉麗許玉娜董火民閔京華趙章界周鳴樂方舟李剛

:、、、、、、、。

GB/T31496—2015/ISO/IEC270032010

:

引言

信息安全管理體系標(biāo)準(zhǔn)族簡稱標(biāo)準(zhǔn)族是國際

(InformationSecurityManagementSystem,ISMS)

信息安全技術(shù)標(biāo)準(zhǔn)化組織制定的信息安全管理體系系列國際標(biāo)準(zhǔn)標(biāo)準(zhǔn)

(ISO/IECJTC1SC27)。ISMS

族旨在幫助各種類型和規(guī)模的組織開發(fā)和實(shí)施管理其信息資產(chǎn)安全的框架并為保護(hù)組織信息諸如

,,(,

財務(wù)信息知識產(chǎn)權(quán)員工詳細(xì)資料或者受客戶或第三方委托的信息的的獨(dú)立評估做準(zhǔn)備

、、,)ISMS。

標(biāo)準(zhǔn)族包括的標(biāo)準(zhǔn)定義了的要求及其認(rèn)證機(jī)構(gòu)的要求提供了對整個規(guī)劃實(shí)施檢

ISMS:a)ISMS;b)“--

查處置過程和要求的直接支持詳細(xì)指南和或解釋闡述了特定行業(yè)的指南闡

-”(PDCA)、();c)ISMS;d)

述了的一致性評估

ISMS。

目前標(biāo)準(zhǔn)族由下列標(biāo)準(zhǔn)組成

,ISMS:

信息技術(shù)安全技術(shù)信息安全管理體系概述

———GB/T29246—2012/ISO/IEC27000:2009

和詞匯

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2008/ISO/IEC27001:2005

信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則

———GB/T22081—2008/ISO/IEC27002:2005

信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施

———GB/T31496—2015/ISO/IEC27003:2010

指南

信息技術(shù)安全技術(shù)信息安全管理測量

———GB/T31497—2015/ISO/IEC27004:2009

信息技術(shù)安全技術(shù)信息安全風(fēng)險管理

———GB/T31722—2015/ISO/IEC27005:2008

信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)

———GB/T25067—2010/ISO/IEC27006:2007

證機(jī)構(gòu)的要求

信息技術(shù)安全技術(shù)信息安全管理體系審核指南

———ISO/IEC27007

信息技術(shù)安全技術(shù)基于的電信行業(yè)組織的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

信息技術(shù)安全技術(shù)和集成實(shí)施指南

———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1

信息技術(shù)安全技術(shù)信息安全治理

———ISO/IEC27014:2013

信息技術(shù)安全技術(shù)金融服務(wù)信息安全管理指南

———ISO/IECTR27015:2012

本標(biāo)準(zhǔn)作為標(biāo)準(zhǔn)族之一其目的是為組織按照制定信息安全管理體系

ISMS,GB/T22080—2008

的實(shí)施計劃提供實(shí)用指導(dǎo)實(shí)際情況下的實(shí)施通常作為一個項(xiàng)目來執(zhí)行

(ISMS),。,ISMS。

本標(biāo)準(zhǔn)所描述的過程旨在為實(shí)施提供支持第章第章和第章所包含的

GB/T22080—2008;4、57

相關(guān)部分和文件可用于

:

準(zhǔn)備啟動組織的實(shí)施計劃定義該項(xiàng)目的組織結(jié)構(gòu)及獲得管理者的批準(zhǔn)

a)ISMS、,;

該項(xiàng)目的關(guān)鍵活動

b)ISMS;

實(shí)現(xiàn)要求的示例

c)GB/T22080—2008。

通過使用本標(biāo)準(zhǔn)組織將能夠制定信息安全管理的過程并向利益相關(guān)方保證信息資產(chǎn)的風(fēng)險可

,,,

持續(xù)保持在組織定義的可接受的信息安全邊界內(nèi)

。

本標(biāo)準(zhǔn)不涉及運(yùn)行活動和其他活動但涉及了如何設(shè)計這些活動的概念這些活動是在開始

ISMS,,

運(yùn)行后所產(chǎn)生的這些概念導(dǎo)致了最終的項(xiàng)目實(shí)施計劃項(xiàng)目的組織特定部分的

ISMS。ISMS。ISMS

實(shí)際執(zhí)行不在本標(biāo)準(zhǔn)范圍內(nèi)

。

項(xiàng)目的實(shí)施宜使用標(biāo)準(zhǔn)的項(xiàng)目管理方法學(xué)來執(zhí)行更多信息請參見和有關(guān)項(xiàng)

ISMS(ISOISO/IEC

目管理的標(biāo)準(zhǔn)

)。

GB/T31496—2015/ISO/IEC270032010

:

信息技術(shù)安全技術(shù)

信息安全管理體系實(shí)施指南

1范圍

本標(biāo)準(zhǔn)依據(jù)關(guān)注設(shè)計和實(shí)施一個成功的信息安全管理體系所需要的

GB/T22080—2008,(ISMS)

關(guān)鍵方面本標(biāo)準(zhǔn)描述了規(guī)范及其設(shè)計的過程從開始到產(chǎn)生實(shí)施計劃本標(biāo)準(zhǔn)為實(shí)施

。ISMS,。ISMS

描述了獲得管理者批準(zhǔn)的過程為實(shí)施定義了一個項(xiàng)目本標(biāo)準(zhǔn)稱作項(xiàng)目并就如何規(guī)劃

,ISMS(ISMS),

該項(xiàng)目提供了相應(yīng)的指導(dǎo)產(chǎn)生最終的項(xiàng)目實(shí)施計劃

ISMS,ISMS。

本標(biāo)準(zhǔn)可供實(shí)施一個的組織使用適用于各種規(guī)模和類型的組織例如商業(yè)企業(yè)政府機(jī)

ISMS,(,、

構(gòu)非贏利組織每個組織的復(fù)雜性和風(fēng)險都是獨(dú)特的并且其特定的要求將驅(qū)動的實(shí)施小

、)。,ISMS。

型組織將發(fā)現(xiàn)本標(biāo)準(zhǔn)中所提及的活動可適用于他們并可進(jìn)行簡化大型組織或復(fù)雜的組織可能會發(fā)

,,。

現(xiàn)為了有效地管理本標(biāo)準(zhǔn)中的活動需要層次化的組織架構(gòu)或管理體系然而無論是大型組織還是

,,。,

小型組織都可應(yīng)用本標(biāo)準(zhǔn)來規(guī)劃相關(guān)的活動

,

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論