標(biāo)準(zhǔn)解讀

《GB/Z 32916-2016 信息技術(shù) 安全技術(shù) 信息安全控制措施審核員指南》是針對信息安全控制措施審核過程中的指導(dǎo)性文件,主要面向的是從事或準(zhǔn)備從事信息安全控制措施審核的專業(yè)人員。該標(biāo)準(zhǔn)提供了詳細(xì)的步驟、方法和工具建議,旨在幫助審核員有效地規(guī)劃、執(zhí)行并報告信息安全控制措施的審核工作。

標(biāo)準(zhǔn)中首先定義了信息安全控制措施審核的基本概念,包括審核的目的、范圍以及重要性。它強(qiáng)調(diào)了審核作為評估組織是否達(dá)到其既定的信息安全目標(biāo)的一種手段的價值。此外,還介紹了不同類型的信息安全控制措施,比如物理安全、網(wǎng)絡(luò)安全等,并說明了如何根據(jù)具體情境選擇合適的控制措施進(jìn)行審核。

對于審核過程本身,《GB/Z 32916-2016》給出了一個從準(zhǔn)備階段到最終報告編制的全流程框架。準(zhǔn)備階段涉及到確定審核目的、識別相關(guān)方需求、組建審核團(tuán)隊等內(nèi)容;而實施階段則詳細(xì)描述了如何開展現(xiàn)場檢查、收集證據(jù)材料、與被審核方溝通交流的過程;最后,在報告階段,標(biāo)準(zhǔn)指導(dǎo)了如何基于所獲得的信息撰寫清晰準(zhǔn)確的審核報告,并提出改進(jìn)建議。

此外,這份文檔還特別提到了關(guān)于持續(xù)改進(jìn)的重要性,鼓勵通過定期重復(fù)審核來不斷提升組織的信息安全管理水平。同時,也強(qiáng)調(diào)了在進(jìn)行信息安全控制措施審核時需要遵守的職業(yè)道德準(zhǔn)則,如保持客觀公正的態(tài)度、保護(hù)客戶信息的機(jī)密性等。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 32916-2023
  • 2016-08-29 頒布
  • 2017-03-01 實施
?正版授權(quán)
GB/Z 32916-2016信息技術(shù)安全技術(shù)信息安全控制措施審核員指南_第1頁
GB/Z 32916-2016信息技術(shù)安全技術(shù)信息安全控制措施審核員指南_第2頁
GB/Z 32916-2016信息技術(shù)安全技術(shù)信息安全控制措施審核員指南_第3頁
GB/Z 32916-2016信息技術(shù)安全技術(shù)信息安全控制措施審核員指南_第4頁
GB/Z 32916-2016信息技術(shù)安全技術(shù)信息安全控制措施審核員指南_第5頁
已閱讀5頁,還剩31頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/Z 32916-2016信息技術(shù)安全技術(shù)信息安全控制措施審核員指南-免費(fèi)下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

GB/Z32916—2016/ISO/IECTR270082011

:

信息技術(shù)安全技術(shù)

信息安全控制措施審核員指南

Informationtechnology—Securitytechniques—

Guidelinesforauditorsoninformationsecuritycontrols

(ISO/IECTR27008:2011,IDT)

2016-08-29發(fā)布2017-03-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/Z32916—2016/ISO/IECTR270082011

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

本指導(dǎo)性技術(shù)文件的結(jié)構(gòu)

4………………1

背景

5………………………1

信息安全控制措施評審概述

6……………2

評審過程

6.1……………2

資源配備

6.2……………4

評審方法

7…………………4

概述

7.1…………………4

評審方法檢查

7.2:………………………5

概要

7.2.1……………5

屬性

7.2.2……………5

評審方法訪談

7.3:………………………6

概要

7.3.1……………6

深度屬性

7.3.2………………………7

廣度屬性

7.3.3………………………7

評審方法測試

7.4:………………………7

概要

7.4.1……………7

測試類型

7.4.2………………………8

擴(kuò)展的評審規(guī)程

7.4.3………………9

活動

8………………………9

準(zhǔn)備

8.1…………………9

制定計劃

8.2……………10

概述

8.2.1……………10

范圍

8.2.2……………11

評審規(guī)程

8.2.3………………………11

與對象有關(guān)的考慮

8.2.4……………11

以往的發(fā)現(xiàn)

8.2.5……………………12

工作分配

8.2.6………………………13

外部系統(tǒng)

8.2.7………………………13

信息資產(chǎn)和組織

8.2.8………………13

擴(kuò)展的評審規(guī)程

8.2.9………………13

優(yōu)化

8.2.10…………………………13

GB/Z32916—2016/ISO/IECTR270082011

:

定稿

8.2.11…………………………14

實施評審

8.3……………14

分析并報告結(jié)果

8.4……………………14

附錄資料性附錄技術(shù)符合性檢查實踐指南

A()………16

附錄資料性附錄初始信息收集除信息技術(shù)以外

B()()………………26

參考文獻(xiàn)

……………………29

GB/Z32916—2016/ISO/IECTR270082011

:

前言

本指導(dǎo)性技術(shù)文件按照給出的規(guī)則起草

GB/T1.1—2009。

本指導(dǎo)性技術(shù)文件使用翻譯法等同采用國際技術(shù)報告信息技術(shù)安全

ISO/IECTR27008:2011《

技術(shù)審核員信息安全控制措施審核指南英文版根據(jù)我國國情和的規(guī)定做以下編輯

》()。GB/T1.1,

性修改

:

盲測又稱黑盒測試加了標(biāo)注黑盒測試

———,“()”;

透明盒測試又稱白盒測試加了標(biāo)注白盒測試

———,“()”。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本指導(dǎo)性技術(shù)文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本指導(dǎo)性技術(shù)文件起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院中國合格評定國家認(rèn)可中心工業(yè)和信

:、、

息化部電子第五研究所北京賽西認(rèn)證有限責(zé)任公司北京時代新威信息技術(shù)有限公司

、、。

本指導(dǎo)性技術(shù)文件主要起草人倪文靜董濤劉健張杰劉曉紅韓碩祥付志高段淼劉小茵

:、、、、、、、、、

王新杰黃俊梅魏軍

、、。

GB/Z32916—2016/ISO/IECTR270082011

:

引言

本指導(dǎo)性技術(shù)文件支持和中定義的信息安全管理體系風(fēng)險

GB/T22080ISO/IEC27005(ISMS)

管理過程以及中包含的控制措施

,GB/T22081。

本指導(dǎo)性技術(shù)文件提供對組織信息安全控制措施進(jìn)行評審的指南例如在組織業(yè)務(wù)過程和系統(tǒng)

,,、

環(huán)境下進(jìn)行技術(shù)符合性檢查等

。

有關(guān)管理體系要素的審核請參考有關(guān)認(rèn)證目的的符合性評審請參考

,ISO/IEC27007。ISMS,

GB/T25067。

GB/Z32916—2016/ISO/IECTR270082011

:

信息技術(shù)安全技術(shù)

信息安全控制措施審核員指南

1范圍

本指導(dǎo)性技術(shù)文件為評審控制措施的實現(xiàn)和運(yùn)行提供指南包括對信息系統(tǒng)控制措施的技術(shù)符合

,

性檢查以符合組織所建立的信息安全標(biāo)準(zhǔn)

,。

本指導(dǎo)性技術(shù)文件適用于所有類型和規(guī)模的組織包括公有和私營公司政府機(jī)構(gòu)非營利組織開

,、、

展信息安全評審和技術(shù)符合性檢查本指導(dǎo)性技術(shù)文件不適用于管理體系審核

。。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T29246—2012(ISO/IEC27000:

2009,IDT)

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T29246—2012。

31

.

評審對象reviewobject

要評審的指定項

。

32

.

評審目的reviewobjective

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論