GB/Z 32916-2016信息技術(shù)安全技術(shù)信息安全控制措施審核員指南

ICS35040

L80.

中華人民共和國國家標準化指導(dǎo)性技術(shù)文件

GB/Z32916—2016/ISO/IECTR270082011

:

信息技術(shù)安全技術(shù)

信息安全控制措施審核員指南

Informationtechnology—Securitytechniques—

Guidelinesforauditorsoninformationsecuritycontrols

(ISO/IECTR27008:2011,IDT)

2016-08-29發(fā)布2017-03-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/Z32916—2016/ISO/IECTR270082011

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

本指導(dǎo)性技術(shù)文件的結(jié)構(gòu)

4………………1

背景

5………………………1

信息安全控制措施評審概述

6……………2

評審過程

6.1……………2

資源配備

6.2……………4

評審方法

7…………………4

概述

7.1…………………4

評審方法檢查

7.2:………………………5

概要

7.2.1……………5

屬性

7.2.2……………5

評審方法訪談

7.3:………………………6

概要

7.3.1……………6

深度屬性

7.3.2………………………7

廣度屬性

7.3.3………………………7

評審方法測試

7.4:………………………7

概要

7.4.1……………7

測試類型

7.4.2………………………8

擴展的評審規(guī)程

7.4.3………………9

活動

8………………………9

準備

8.1…………………9

制定計劃

8.2……………10

概述

8.2.1……………10

范圍

8.2.2……………11

評審規(guī)程

8.2.3………………………11

與對象有關(guān)的考慮

8.2.4……………11

以往的發(fā)現(xiàn)

8.2.5……………………12

工作分配

8.2.6………………………13

外部系統(tǒng)

8.2.7………………………13

信息資產(chǎn)和組織

8.2.8………………13

擴展的評審規(guī)程

8.2.9………………13

優(yōu)化

8.2.10…………………………13

Ⅰ

GB/Z32916—2016/ISO/IECTR270082011

:

定稿

8.2.11…………………………14

實施評審

8.3……………14

分析并報告結(jié)果

8.4……………………14

附錄資料性附錄技術(shù)符合性檢查實踐指南

A()………16

附錄資料性附錄初始信息收集除信息技術(shù)以外

B()()………………26

參考文獻

……………………29

Ⅱ

GB/Z32916—2016/ISO/IECTR270082011

:

前言

本指導(dǎo)性技術(shù)文件按照給出的規(guī)則起草

GB/T1.1—2009。

本指導(dǎo)性技術(shù)文件使用翻譯法等同采用國際技術(shù)報告信息技術(shù)安全

ISO/IECTR27008:2011《

技術(shù)審核員信息安全控制措施審核指南英文版根據(jù)我國國情和的規(guī)定做以下編輯

》()。GB/T1.1,

性修改

:

盲測又稱黑盒測試加了標注黑盒測試

———,“()”;

透明盒測試又稱白盒測試加了標注白盒測試

———,“()”。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本指導(dǎo)性技術(shù)文件由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本指導(dǎo)性技術(shù)文件起草單位中國電子技術(shù)標準化研究院中國合格評定國家認可中心工業(yè)和信

:、、

息化部電子第五研究所北京賽西認證有限責任公司北京時代新威信息技術(shù)有限公司

、、。

本指導(dǎo)性技術(shù)文件主要起草人倪文靜董濤劉健張杰劉曉紅韓碩祥付志高段淼劉小茵

:、、、、、、、、、

王新杰黃俊梅魏軍

、、。

Ⅲ

GB/Z32916—2016/ISO/IECTR270082011

:

引言

本指導(dǎo)性技術(shù)文件支持和中定義的信息安全管理體系風險

GB/T22080ISO/IEC27005(ISMS)

管理過程以及中包含的控制措施

,GB/T22081。

本指導(dǎo)性技術(shù)文件提供對組織信息安全控制措施進行評審的指南例如在組織業(yè)務(wù)過程和系統(tǒng)

,,、

環(huán)境下進行技術(shù)符合性檢查等

。

有關(guān)管理體系要素的審核請參考有關(guān)認證目的的符合性評審請參考

,ISO/IEC27007。ISMS,

GB/T25067。

Ⅳ

GB/Z32916—2016/ISO/IECTR270082011

:

信息技術(shù)安全技術(shù)

信息安全控制措施審核員指南

1范圍

本指導(dǎo)性技術(shù)文件為評審控制措施的實現(xiàn)和運行提供指南包括對信息系統(tǒng)控制措施的技術(shù)符合

,

性檢查以符合組織所建立的信息安全標準

,。

本指導(dǎo)性技術(shù)文件適用于所有類型和規(guī)模的組織包括公有和私營公司政府機構(gòu)非營利組織開

,、、

展信息安全評審和技術(shù)符合性檢查本指導(dǎo)性技術(shù)文件不適用于管理體系審核

。。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T29246—2012(ISO/IEC27000:

2009,IDT)

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T29246—2012。

31

.

評審對象reviewobject

要評審的指定項

。

32

.

評審目的reviewobjective