GB/T 32916-2023信息安全技術(shù)信息安全控制評估指南

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T32916—2023/ISO/IECTS270082019

:

代替GB/Z32916—2016

信息安全技術(shù)

信息安全控制評估指南

Informationsecuritytechniques—

Guidelinesfortheassessmentofinformationsecuritycontrols

ISO/IECTS270082019Informationtechnolo—Securittechniues—

(:,gyyq

GuidelinesfortheassessmentofinformationsecuritcontrolsIDT

y,)

2023-09-07發(fā)布2024-04-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T32916—2023/ISO/IECTS270082019

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

本文件的結(jié)構(gòu)

4……………1

背景

5………………………1

信息安全控制措施評估概述

6……………2

評估過程

6.1……………2

資源和能力

6.2…………………………4

評估方法

7…………………5

總則

7.1…………………5

過程分析

7.2……………6

檢查

7.3…………………6

測試與確認(rèn)

7.4…………………………7

抽樣

7.5…………………8

控制措施評估過程

8………………………8

準(zhǔn)備工作

8.1……………8

策劃評估

8.2……………9

實(shí)施評估

8.3……………13

分析和報(bào)告結(jié)果

8.4……………………14

附錄資料性初始信息收集除信息技術(shù)以外

A()()……………………15

附錄資料性技術(shù)性安全評估實(shí)踐指南

B()……………18

附錄資料性云服務(wù)基礎(chǔ)設(shè)施即服務(wù)技術(shù)性評估指南

C()()…………50

附錄資料性與控制措施的對應(yīng)關(guān)系

NA()GB/T22081—2016ISO/IEC27002:2022……………79

參考文獻(xiàn)

……………………84

Ⅰ

GB/T32916—2023/ISO/IECTS270082019

:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術(shù)安全技術(shù)信息安全控制措施審核員指南與

GB/Z32916—2016《》,GB/Z32916—

相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

2016,,:

評估方法中增加了抽樣的介紹見

———(7.5)。

本文件等同采用信息技術(shù)安全技術(shù)信息安全控制評估指南文件

ISO/IECTS27008:2019《》,

類型由的技術(shù)規(guī)范調(diào)整為我國的國家標(biāo)準(zhǔn)

ISO/IEC。

本文件做了下列最小限度的編輯性改動(dòng)

:

為與現(xiàn)有標(biāo)準(zhǔn)協(xié)調(diào)將標(biāo)準(zhǔn)名稱改為信息安全技術(shù)信息安全控制評估指南

a),《》;

增加了附錄

b)NA。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位北京賽西認(rèn)證有限責(zé)任公司中國電子技術(shù)標(biāo)準(zhǔn)化研究院中國合格評定國家認(rèn)

:、、

可中心北京時(shí)代新威信息技術(shù)有限公司華為技術(shù)有限公司長揚(yáng)科技北京股份有限公司北京神州

、、、()、

綠盟科技有限公司深圳紅途科技有限公司美的集團(tuán)股份有限公司中國軟件評測中心工業(yè)和信息化

、、、(

部軟件與集成電路促進(jìn)中心杭州安恒信息技術(shù)股份有限公司國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中

)、、

心國網(wǎng)新疆電力有限公司電力科學(xué)研究院西安交大捷普網(wǎng)絡(luò)科技有限公司北京天地和興科技有限

、、、

公司杭州趣鏈科技有限公司浙江省電子信息產(chǎn)品檢驗(yàn)研究院遠(yuǎn)江盛邦北京網(wǎng)絡(luò)安全科技股份有

、、、()

限公司陜西省網(wǎng)絡(luò)與信息安全測評中心北京金山云網(wǎng)絡(luò)技術(shù)有限公司上海觀安信息技術(shù)股份有限

、、、

公司北京郵電大學(xué)杭州中正檢測技術(shù)有限公司馬上消費(fèi)金融股份有限公司中國科學(xué)院信息工程研

、、、、

究所智網(wǎng)安云武漢信息技術(shù)有限公司啟明星辰信息技術(shù)集團(tuán)股份有限公司西安郵電大學(xué)

、()、、。

本文件主要起草人韓碩祥趙麗華付志高黃俊梅王惠蒞周曉宇劉海軍趙華王凌劉峰松

:、、、、、、、、、、

葉建偉黃鵬程張亮亮李春琦俞政臣李杺恬梁偉張世杰賀創(chuàng)新張杰熊衛(wèi)軍王秉政蔡北方

、、、、、、、、、、、、、

王文磊鄒振婉楊坤何建鋒劉樂農(nóng)魏遵博尹肖棟王晶杭肖于麗芳謝江王東濱曹宇劉志強(qiáng)

、、、、、、、、、、、、、、

韓冬旭王燕青王紅亮朱志祥鄭堃張強(qiáng)高珍禎陸月明田麗丹權(quán)曉文

、、、、、、、、、。

本文件及其所代替的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2016GB/Z32916—2016;

本次為第一次修訂

———。

Ⅲ

GB/T32916—2023/ISO/IECTS270082019

:

引言

本文件支持中所給出的信息安全風(fēng)險(xiǎn)管理過程以及所確定的相關(guān)信息安全

GB/T22080—2016,

控制措施集

。

信息安全控制措施宜適用有效和高效針對緩解信息安全風(fēng)險(xiǎn)和其他目標(biāo)本文件說明了如何評

、。,

估組織的信息安全控制措施以確認(rèn)其確實(shí)適用有效且高效或者確定變更改進(jìn)機(jī)會的需求信息

,、,()。

安全控制措施作為一個(gè)整體最終目的是以合理的成本效益和與業(yè)務(wù)一致的方式充分緩解組織認(rèn)為不

,,

可接受和不可避免的信息安全風(fēng)險(xiǎn)根據(jù)業(yè)務(wù)使命和目標(biāo)組織策略和要求發(fā)現(xiàn)的威脅與脆弱性運(yùn)

。、、、

行考慮信息系統(tǒng)和平臺的依賴性以及組織的風(fēng)險(xiǎn)考量定制必要的評估本文件提供了該評估所需的靈

、,

活性

。

有關(guān)信息安全管理體系審核指南見有關(guān)信息安全管理體系審核和認(rèn)證機(jī)構(gòu)

GB/T28450—2020,

的要求見

GB/T25067—2020。

注本文件中信息安全控制措施和信息安全控制可以互換使用控制的定義見

:“”“”。“”GB/T29246—2017。

Ⅳ

GB/T32916—2023/ISO/IECTS270082019

:

信息安全技術(shù)

信息安全控制評估指南

1范圍

本文件提供了評估信息安全控制措施的實(shí)施與運(yùn)行及評估過程指導(dǎo)包括對信息系統(tǒng)控制措施的

,

技術(shù)性評估該評估基于組織所建立的信息安全要求及技術(shù)性評估準(zhǔn)則

,。

本文件在如何評估由規(guī)定的信息安全管理體系所管理的信息安全控制措施方面

ISO/IEC27001

提供指南

。

本文件適用于各種類型和規(guī)模的組織開展信息安全評估和技術(shù)符合性檢查

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

ISO/IEC27000(Informationtechnolo-

gy—Securitytechniques—Informationsecuri