GB/Z 32916-2016信息技術(shù)安全技術(shù)信息安全控制措施審核員指南

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

GB/Z32916—2016/ISO/IECTR270082011

:

信息技術(shù)安全技術(shù)

信息安全控制措施審核員指南

Informationtechnology—Securitytechniques—

Guidelinesforauditorsoninformationsecuritycontrols

(ISO/IECTR27008:2011,IDT)

2016-08-29發(fā)布2017-03-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/Z32916—2016/ISO/IECTR270082011

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

本指導(dǎo)性技術(shù)文件的結(jié)構(gòu)

4………………1

背景

5………………………1

信息安全控制措施評(píng)審概述

6……………2

評(píng)審過程

6.1……………2

資源配備

6.2……………4

評(píng)審方法

7…………………4

概述

7.1…………………4

評(píng)審方法檢查

7.2:………………………5

概要

7.2.1……………5

屬性

7.2.2……………5

評(píng)審方法訪談

7.3:………………………6

概要

7.3.1……………6

深度屬性

7.3.2………………………7

廣度屬性

7.3.3………………………7

評(píng)審方法測試

7.4:………………………7

概要

7.4.1……………7

測試類型

7.4.2………………………8

擴(kuò)展的評(píng)審規(guī)程

7.4.3………………9

活動(dòng)

8………………………9

準(zhǔn)備

8.1…………………9

制定計(jì)劃

8.2……………10

概述

8.2.1……………10

范圍

8.2.2……………11

評(píng)審規(guī)程

8.2.3………………………11

與對(duì)象有關(guān)的考慮

8.2.4……………11

以往的發(fā)現(xiàn)

8.2.5……………………12

工作分配

8.2.6………………………13

外部系統(tǒng)

8.2.7………………………13

信息資產(chǎn)和組織

8.2.8………………13

擴(kuò)展的評(píng)審規(guī)程

8.2.9………………13

優(yōu)化

8.2.10…………………………13

Ⅰ

GB/Z32916—2016/ISO/IECTR270082011

:

定稿

8.2.11…………………………14

實(shí)施評(píng)審

8.3……………14

分析并報(bào)告結(jié)果

8.4……………………14

附錄資料性附錄技術(shù)符合性檢查實(shí)踐指南

A()………16

附錄資料性附錄初始信息收集除信息技術(shù)以外

B()()………………26

參考文獻(xiàn)

……………………29

Ⅱ

GB/Z32916—2016/ISO/IECTR270082011

:

前言

本指導(dǎo)性技術(shù)文件按照給出的規(guī)則起草

GB/T1.1—2009。

本指導(dǎo)性技術(shù)文件使用翻譯法等同采用國際技術(shù)報(bào)告信息技術(shù)安全

ISO/IECTR27008:2011《

技術(shù)審核員信息安全控制措施審核指南英文版根據(jù)我國國情和的規(guī)定做以下編輯

》()。GB/T1.1,

性修改

:

盲測又稱黑盒測試加了標(biāo)注黑盒測試

———,“()”;

透明盒測試又稱白盒測試加了標(biāo)注白盒測試

———,“()”。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本指導(dǎo)性技術(shù)文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本指導(dǎo)性技術(shù)文件起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院中國合格評(píng)定國家認(rèn)可中心工業(yè)和信

:、、

息化部電子第五研究所北京賽西認(rèn)證有限責(zé)任公司北京時(shí)代新威信息技術(shù)有限公司

、、。

本指導(dǎo)性技術(shù)文件主要起草人倪文靜董濤劉健張杰劉曉紅韓碩祥付志高段淼劉小茵

:、、、、、、、、、

王新杰黃俊梅魏軍

、、。

Ⅲ

GB/Z32916—2016/ISO/IECTR270082011

:

引言

本指導(dǎo)性技術(shù)文件支持和中定義的信息安全管理體系風(fēng)險(xiǎn)

GB/T22080ISO/IEC27005(ISMS)

管理過程以及中包含的控制措施

,GB/T22081。

本指導(dǎo)性技術(shù)文件提供對(duì)組織信息安全控制措施進(jìn)行評(píng)審的指南例如在組織業(yè)務(wù)過程和系統(tǒng)

,,、

環(huán)境下進(jìn)行技術(shù)符合性檢查等

。

有關(guān)管理體系要素的審核請(qǐng)參考有關(guān)認(rèn)證目的的符合性評(píng)審請(qǐng)參考

,ISO/IEC27007。ISMS,

GB/T25067。

Ⅳ

GB/Z32916—2016/ISO/IECTR270082011

:

信息技術(shù)安全技術(shù)

信息安全控制措施審核員指南

1范圍

本指導(dǎo)性技術(shù)文件為評(píng)審控制措施的實(shí)現(xiàn)和運(yùn)行提供指南包括對(duì)信息系統(tǒng)控制措施的技術(shù)符合

,

性檢查以符合組織所建立的信息安全標(biāo)準(zhǔn)

,。

本指導(dǎo)性技術(shù)文件適用于所有類型和規(guī)模的組織包括公有和私營公司政府機(jī)構(gòu)非營利組織開

,、、

展信息安全評(píng)審和技術(shù)符合性檢查本指導(dǎo)性技術(shù)文件不適用于管理體系審核

。。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T29246—2012(ISO/IEC27000:

2009,IDT)

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T29246—2012。

31

.

評(píng)審對(duì)象reviewobject

要評(píng)審的指定項(xiàng)

。

32

.

評(píng)審目的reviewobjective