GB/T 31496-2015信息技術安全技術信息安全管理體系實施指南

ICS35040

L80.

中華人民共和國國家標準

GB/T31496—2015/ISO/IEC270032010

:

信息技術安全技術

信息安全管理體系實施指南

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystemimplementationguidance

(ISO/IEC27003:2010,IDT)

2015-05-15發(fā)布2016-01-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

中華人民共和國

國家標準

信息技術安全技術

信息安全管理體系實施指南

GB/T31496—2015/ISO/IEC27003:2010

*

中國標準出版社出版發(fā)行

北京市朝陽區(qū)和平里西街甲號

2(100029)

北京市西城區(qū)三里河北街號

16(100045)

網址

:

服務熱線

:400-168-0010

年月第一版

20156

*

書號

:155066·1-51118

版權專有侵權必究

GB/T31496—2015/ISO/IEC270032010

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

本標準的結構

4……………1

章條的總結構

4.1………………………1

每章的一般結構

4.2……………………2

圖表

4.3…………………3

獲得管理者對啟動項目的批準

5ISMS…………………4

獲得管理者對啟動項目的批準的概要

5.1ISMS……………………4

闡明組織開發(fā)的優(yōu)先級

5.2ISMS……………………5

定義初步的范圍

5.3ISMS……………7

制定初步的范圍

5.3.1ISMS…………7

定義初步的范圍內的角色和責任

5.3.2ISMS………8

為了管理者的批準而創(chuàng)建業(yè)務案例和項目計劃

5.4…………………8

定義范圍邊界和方針策略

6ISMS、ISMS……………10

定義范圍邊界和方針策略的概述

6.1ISMS、ISMS………………10

定義組織的范圍和邊界

6.2……………11

定義信息通信技術的范圍和邊界

6.3(ICT)…………12

定義物理范圍和邊界

6.4………………13

集成每一個范圍和邊界以獲得的范圍和邊界

6.5ISMS……………14

制定方針策略和獲得管理者的批準

6.6ISMS………14

進行信息安全要求分析

7…………………15

進行信息安全要求分析的概述

7.1……………………15

定義過程的信息安全要求

7.2ISMS…………………17

標識范圍內的資產

7.3ISMS…………17

進行信息安全評估

7.4…………………18

進行風險評估和規(guī)劃風險處置

8…………19

進行風險評估和規(guī)劃風險處置的概述

8.1……………19

進行風險評估

8.2………………………21

選擇控制目標和控制措施

8.3…………21

獲得管理者對實施和運行的授權

8.4ISMS…………22

設計

9ISMS………………23

設計的概述

9.1ISMS…………………23

設計組織的信息安全

9.2………………25

Ⅰ

GB/T31496—2015/ISO/IEC270032010

:

設計信息安全的最終組織結構

9.2.1………………25

設計的文件框架

9.2.2ISMS………………………26

設計信息安全方針策略

9.2.3………………………27

制定信息安全標準和規(guī)程

9.2.4……………………28

設計安全和物理信息安全

9.3ICT…………………29

設計特定的信息安全

9.4ISMS………………………31

管理評審的計劃

9.4.1………………31

設計信息安全意識培訓和教育方案

9.4.2、………32

產生最終的項目計劃

9.5ISMS………………………33

附錄資料性附錄檢查表的描述

A()……………………34

附錄資料性附錄信息安全的角色和責任

B()…………37

附錄資料性附錄有關內部審核的信息

C()……………40

附錄資料性附錄方針策略的結構

D()…………………41

附錄資料性附錄監(jiān)視和測量

E()………………………45

參考文獻

……………………49

Ⅱ

GB/T31496—2015/ISO/IEC270032010

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準使用翻譯法等同采用信息技術安全技術信息安全管理體系實施

ISO/IEC27003:2010《

指南

》。

本標準做了以下編輯性修改

:

在引言部分增加了有關信息安全管理體系標準族情況的介紹

———。

本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術標準化研究院上海三零衛(wèi)士信息安全有限公司山東省計算中心

:、、、

黑龍江省電子信息產品監(jiān)督檢驗院北京信息安全測評中心中電長城網際系統(tǒng)應用有限公司

、、。

本標準主要起草人上官曉麗許玉娜董火民閔京華趙章界周鳴樂方舟李剛

:、、、、、、、。

Ⅲ

GB/T31496—2015/ISO/IEC270032010

:

引言

信息安全管理體系標準族簡稱標準族是國際

(InformationSecurityManagementSystem,ISMS)

信息安全技術標準化組織制定的信息安全管理體系系列國際標準標準

(ISO/IECJTC1SC27)。ISMS

族旨在幫助各種類型和規(guī)模的組織開發(fā)和實施管理其信息資產安全的框架并為保護組織信息諸如

,,(,

財務信息知識產權員工詳細資料或者受客戶或第三方委托的信息的的獨立評估做準備

、、,)ISMS。

標準族包括的標準定義了的要求及其認證機構的要求提供了對整個規(guī)劃實施檢

ISMS:a)ISMS;b)“--

查處置過程和要求的直接支持詳細指南和或解釋闡述了特定行業(yè)的指南闡

-”(PDCA)、();c)ISMS;d)

述了的一致性評估

ISMS。

目前標準族由下列標準組成

,ISMS:

信息技術安全技術信息安全管理體系概述

———GB/T29246—2012/ISO/IEC27000:2009

和詞匯

信息技術安全技術信息安全管理體系要求

———GB/T22080—2008/ISO/IEC27001:2005

信息技術安全技術信息安全管理實用規(guī)則

———GB/T22081—2008/ISO/IEC27002:2005

信息技術安全技術信息安全管理體系實施

———GB/T31496—2015/ISO/IEC27003:2010

指南

信息技術安全技術信息安全管理測量

———GB/T31497—2015/ISO/IEC27004:2009

信息技術安全技術信息安全風險管理

———GB/T31722—2015/ISO/IEC27005:2008

信息技術安全技術信息安全管理體系審核認

———GB/T25067—2010/ISO/IEC27006:2007

證機構的要求

信息技術安全技術信息安全管理體系審核指南

———ISO/IEC27007

信息技術安全技術基于的電信行業(yè)組織的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

信息技術安全技術和集成實施指南

———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1

信息技術安全技術信息安全治理

———ISO/IEC27014:2013

信息技術安全技術金融服務信息安全管理指南

———ISO/IECTR27015:2012

本標準作為標準族之一其目的是為組織按照制定信息安全管理體系

ISMS,GB/T22080—2008

的實施計劃提供實用指導實際情況下的實施通常作為一個項目來執(zhí)行

(ISMS),。,ISMS。

本標準所描述的過程旨在為實施提供支持第章第章和第章所包含的

GB/T22080—2008;4、57

相關部分和文件可用于

:

準備啟動組織的實施計劃定義該項目的組織結構及獲得管理者的批準

a)ISMS、,;

該項目的關鍵活動

b)ISMS;

實現要求的示例

c)GB/T22080—2008。

通過使用本標準組織將能夠制定信息安全管理的過程并向利益相關方保證信息資產的風險可

,,,

持續(xù)保持在組織定義的可接受的信息安全邊界內

。

本標準不涉及運行活動和其他活動但涉及了如何設計這些活動的概念這些活動是在開始

ISMS,,

運行后所產生的這些概念導致了最終的項目實施計劃項目的組織特定部分的

ISMS。ISMS。ISMS

實際執(zhí)行不在本標準范圍內

。

項目的實施宜使用標準的項目管理方法學來執(zhí)行更多信息請參見和有關項

ISMS(ISOISO/IEC

目管理的標準

)。

Ⅳ

GB/T31496—2015/ISO/IEC270032010

:

信息技術安全技術

信息安全管理體系實施指南

1范圍

本標準依據關注設計和實施一個成功的信息安全管理體系所需要的

GB/T22080—2008,(ISMS)

關鍵方面本標準描述了規(guī)范及其設計的過程從開始到產生實施計劃本標準為實施

。ISMS,。ISMS

描述了獲得管理者批準的過程為實施定義了一個項目本標準稱作項目并就如何規(guī)劃

,ISMS(ISMS),

該項目提供了相應的指導產生最終的項目實施計劃

ISMS,ISMS。

本標準可供實施一個的組織使用適用于各種規(guī)模和類型的組織例如商業(yè)企業(yè)政府機

ISMS,(,、

構非贏利組織每個組織的復雜性和風險都是獨特的并且其特定的要求將驅動的實施小

、)。,ISMS。

型組織將發(fā)現本標準中所提及的活動可適用于他們并可進行簡化大型組織或復雜的組織可能會發(fā)

,,。

現為了有效地管理本標準中的活動需要層次化的組織架構或管理體系然而無論是大型組織還是

,,。,

小型組織都可應用本標準來規(guī)劃相關的活動

,