標準解讀

《GB/T 31497-2015 信息技術 安全技術 信息安全管理 測量》是一項國家標準,主要針對組織如何在信息安全管理體系(ISMS)中實施有效的測量活動提供了指導。該標準旨在幫助組織通過定義、選擇和使用適當?shù)闹笜藖碓u估其信息安全狀況及管理措施的有效性,從而持續(xù)改進信息安全性能。

根據(jù)此標準,組織首先需要明確測量的目的與范圍,這一步驟是基于對自身業(yè)務環(huán)境的理解以及面臨的安全威脅和風險進行的。接著,組織應確定關鍵的信息安全目標,并據(jù)此開發(fā)出能夠反映這些目標實現(xiàn)程度的具體度量指標。這些指標應當具備可量化的特點,以便于收集數(shù)據(jù)并進行分析。

此外,《GB/T 31497-2015》還強調(diào)了建立一個系統(tǒng)化的過程來執(zhí)行測量活動的重要性,包括但不限于:設定合理的測量周期、采用科學的方法收集所需的數(shù)據(jù)、確保數(shù)據(jù)質(zhì)量以及對結(jié)果進行分析與報告等環(huán)節(jié)。通過這樣一個閉環(huán)過程,不僅可以讓管理層及時了解當前的信息安全狀態(tài),也為制定未來的安全策略提供了依據(jù)。

最后,標準指出,在整個測量活動中,組織應該考慮到法律法規(guī)的要求以及其他相關方的需求和期望,以保證所采取的措施既符合外部規(guī)定又能滿足內(nèi)部管理需求。同時,隨著技術和業(yè)務環(huán)境的變化,定期審查并調(diào)整測量方案也是十分必要的,這樣才能保持其相關性和有效性。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現(xiàn)行標準GB/T 31497-2024
  • 2015-05-15 頒布
  • 2016-01-01 實施
?正版授權
GB/T 31497-2015信息技術安全技術信息安全管理測量_第1頁
GB/T 31497-2015信息技術安全技術信息安全管理測量_第2頁
GB/T 31497-2015信息技術安全技術信息安全管理測量_第3頁
GB/T 31497-2015信息技術安全技術信息安全管理測量_第4頁
GB/T 31497-2015信息技術安全技術信息安全管理測量_第5頁
已閱讀5頁,還剩55頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 31497-2015信息技術安全技術信息安全管理測量-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T31497—2015/ISO/IEC270042009

:

信息技術安全技術

信息安全管理測量

Informationtechnology—Securitytechniques—

Informationsecuritymanagement—Measurement

(ISO/IEC27004:2009,IDT)

2015-05-15發(fā)布2016-01-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T31497—2015/ISO/IEC270042009

:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

本標準的結(jié)構(gòu)

4……………3

信息安全測量概述

5………………………3

管理職責

6…………………10

測度和測量的制定

7………………………11

測量運行

8…………………16

數(shù)據(jù)分析和測量結(jié)果報告

9………………16

信息安全測量方案的評價和改進

10……………………18

附錄資料性附錄信息安全測量構(gòu)造模板

A()…………20

附錄資料性附錄測量構(gòu)造示例

B()……………………22

參考文獻

……………………52

GB/T31497—2015/ISO/IEC270042009

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準使用翻譯法等同采用信息技術安全技術信息安全管理測量

ISO/IEC27004:2009《》

英文版

()。

本標準做了以下編輯性修改

:

引言部分增加了有關信息安全管理體系標準族情況的介紹

———。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術標準化研究院山東省計算中心上海三零衛(wèi)士信息安全有限公司

:、、、

中電長城網(wǎng)際系統(tǒng)應用有限公司北京信息安全測評中心

、。

本標準主要起草人上官曉麗周鳴樂李剛許玉娜顧衛(wèi)東閔京華趙章界董火民李旺

:、、、、、、、、、

史艷華李敏張建成韓慶良

、、、。

GB/T31497—2015/ISO/IEC270042009

:

引言

01總則

.

信息安全管理體系標準族簡稱標準族是國際

(InformationSecurityManagementSystem,ISMS)

信息安全技術標準化組織制定的信息安全管理體系系列國際標準標準

(ISO/IECJTC1SC27)。ISMS

族旨在幫助各種類型和規(guī)模的組織開發(fā)和實施管理其信息資產(chǎn)安全的框架并為保護組織信息諸如

,,(,

財務信息知識產(chǎn)權員工詳細資料或者受客戶或第三方委托的信息的的獨立評估做準備

、、,)ISMS。

標準族包括的標準定義了的要求及其認證機構(gòu)的要求提供了對整個規(guī)劃實施檢

ISMS:a)ISMS;b)“--

查處置過程和要求的直接支持詳細指南和或解釋闡述了特定行業(yè)的指南闡

-”(PDCA)、();c)ISMS;d)

述了的一致性評估

ISMS。

目前標準族由下列標準組成

,ISMS:

信息技術安全技術信息安全管理體系概述和詞匯

———GB/T29246—2012(ISO/IEC

27000:2009)

信息技術安全技術信息安全管理體系要求

———GB/T22080—2008(ISO/IEC27001:

2005)

信息技術安全技術信息安全管理實用規(guī)則

———GB/T22081—2008(ISO/IEC27002:2005)

信息技術安全技術信息安全管理體系實施指南

———GB/T31496—2015(ISO/IEC27003:

2010)

本標準信息技術安全技術信息安全管理測量

———()(ISO/IEC27004:2009)

信息技術安全技術信息安全風險管理

———GB/T31722—2015(ISO/IEC27005:2008)

信息技術安全技術信息安全管理體系審核認證機構(gòu)的要求

———GB/T25067—2010(ISO/

IEC27006:2007)

信息技術安全技術信息安全管理體系審核指南

———ISO/IEC27007:2011

信息技術安全技術信息安全控制措施審核員指南

———ISO/IECTR27008:2011

信息技術安全技術行業(yè)間及組織間通信的信息安全管理

———ISO/IEC27010:2012

信息技術安全技術基于的電信行業(yè)組織的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

信息技術安全技術和集成實施

———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1

指南

信息技術安全技術信息安全治理

———ISO/IEC27014:2013

信息技術安全技術金融服務信息安全管理指南

———ISO/IECTR27015:2012

為了評估按照規(guī)定的已實施的信息安全管理體系

GB/T22080—2008(InformationSecurityMan-

簡稱和控制措施或控制措施組的有效性本標準提供了如何編制測度和測量

agementSystem,ISMS),

以及如何使用的指南

。

為了有助于決定過程或控制措施是否需要改變或改進本標準涉及方針策略信息安全風險

ISMS,、

管理控制目標控制措施過程和規(guī)程并且支持其校驗過程切記任何控制措施的測量都不能保證絕

、、、,。

對安全

。

本標準的實施形成了信息安全測量方案信息安全測量方案將有助于管理者識別和評價不相容

GB/T31497—2015/ISO/IEC270042009

:

的無效的過程和控制措施并優(yōu)化改進或改變這些過程和或控制的活動它也可有助于組織

、ISMS,()。

證明的符合性并提供管理評審和信息安全風險管理過程的額外證據(jù)

GB/T22080—2008,。

本標準假設制定測度和測量的出發(fā)點是按照要求充分掌握了組織所面臨的

:GB/T22080—2008

信息安全風險并假設已經(jīng)正確實施了組織的風險評估活動即基于信息安全

,(GB/T31722—2015)。

測量方案將鼓勵組織向利益相關者提供可靠的關于信息安全風險和管理這些風險已實施的的狀

ISMS

況的信息

通過有效地實施信息安全測量方案將提高利益相關者對測量結(jié)果的信任并能使其利用這些測度

,,

實現(xiàn)對信息安全和的持續(xù)改進

ISMS。

累積的測量結(jié)果將允許把一段時間內(nèi)實現(xiàn)信息安全目標的進展當作組織的持續(xù)改進過程的

ISMS

一部分

02管理概述

.

要求組織在考慮有效性測量結(jié)果的基礎上進行有效性的定期評審

GB/T22080—2008“,ISMS”,

并且測量控制措施的有效性以驗證安全要求是否得到滿足也要求組織確定

“,”。GB/T22080—2008“

如何測量已選控制措施或控制措施組的有效性并指明如何用這些測量措施來評估控制措施的有效性

,,

以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果

?!?/p>

組織用以滿足規(guī)定的測量要求所采用的方法將基于一些重要因素而變化包

GB/T22080—2008,,

括組織所面臨的信息安全風險組織規(guī)模可用的資源適用的法律法規(guī)規(guī)章和合同要求為了防止過

、、、、。

多的資源被用于的一些活動而損害其他活動慎重選擇和證明用于滿足測量要求的方法是非常

ISMS,

重要的理想情況下持續(xù)的測量活動將把組織的正常運作和最小的額外資源需求結(jié)合在一起

。,。

為滿足規(guī)定的測量要求本標準建議基于以下活動

GB/T22080—2008,:

制定測度即基本測度導出測度和指標

a)(、);

實施和運行信息安全測量方案

b);

收集和分析數(shù)據(jù)

c);

產(chǎn)生測量結(jié)果

d);

與利益相關者溝通產(chǎn)生的測量結(jié)果

e);

將測量結(jié)果作為相關決策的有利因素

f)ISMS;

用測量結(jié)果識別已實施的的改進需要包括的范圍策略目標控制措施過程

g)ISMS,ISMS、、、、

和規(guī)程

;

促進信息安全測量方案的持續(xù)改進

h)。

組織規(guī)模是影響組織完成測量的能力的因素之一一般來說業(yè)務的規(guī)模和復雜性以及信息安全

。,

的重要性都會影響需要的測量程度其中測量程度是針對已選的測度數(shù)量以及收集和分析數(shù)據(jù)的頻率

,,

來說的對于中小型企業(yè)來說一個不太全面的信息安全測量方案就足夠了而對大型企業(yè)則需要實

。,。,

施和運行多個信息安全測量方案

單個信息安全測量方案可滿足小型組織而大型企業(yè)可能需要多個信息安全測量方案

,。

本標準產(chǎn)生的文件有助于證明正在被測量和評估的控制措施的有效性

,。

GB/T31497—2015/ISO/IEC270042009

:

信息技術安全技術

信息安全管理測量

1范圍

為了評估按照規(guī)定實施的信息安全管理體系

GB/T22080—2008(InformationSecurityManage-

簡稱和控制措施或控制措施組的有效性本標準提供了如何編制測度和測量以及

mentSystem,ISMS),

如何使用的指南

。

本標準適用于各種類型和規(guī)模的組織

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論