《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》

GB/T28450—XXXX

信息技術(shù)安全技術(shù)信息安全管理體系審核指南

1范圍

本標(biāo)準(zhǔn)在GB/T19011—2013的基礎(chǔ)上，為信息安全管理體系（InformationSecurityManagement

System，以下簡稱ISMS）審核方案管理、審核實(shí)施提供了指南，并對ISMS審核員能力提供了評價指

南。

本標(biāo)準(zhǔn)適用于需要理解或?qū)嵤㊣SMS的內(nèi)部或外部審核，或需要管理ISMS審核方案的所有組織。

2規(guī)范性引用文件

下列文件對于本標(biāo)準(zhǔn)的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本標(biāo)

準(zhǔn)。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T19011—2013管理體系審核指南

GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體系要求

3術(shù)語和定義

GB/T19011—2013和GB/T29246界定的術(shù)語和定義適用于本標(biāo)準(zhǔn)。

4審核原則

GB/T19011—2013的第4章中的原則適用。

5審核方案的管理

5.1總則

GB/T19011—2013的5.1中的指南適用。并且，以下ISMS特定的指南適用。

5.1.1IS5.1總則

需要實(shí)施審核的組織宜建立審核方案，并考慮規(guī)劃ISMS時所確定的風(fēng)險和機(jī)會。

5.2確立審核方案的目標(biāo)

GB/T19011—2013的5.2中的指南適用。并且，以下ISMS特定的指南適用。

5.2.1IS5.2確立審核方案的目標(biāo)

確立審核方案目標(biāo)時，ISMS還宜考慮下列事項(xiàng)：

a）確定的信息安全要求；

b）GB/T22080的要求；

c）發(fā)生信息安全事態(tài)和事件時所反映出的受審核方的績效水平，以及ISMS的有效性；

d）規(guī)劃ISMS時所確定的風(fēng)險和機(jī)會；

e）相關(guān)方的信息安全風(fēng)險，例如受審核方和審核委托方。

ISMS特定審核方案目標(biāo)的示例可包括：

—相關(guān)法律、合同要求、其他要求及其安全含義的符合性驗(yàn)證；

—獲得并保持對受審核方在風(fēng)險管理能力方面的信心；

—評價應(yīng)對信息安全風(fēng)險和機(jī)會的措施的有效性。

1

GB/T28450—XXXX

5.3建立審核方案

5.3.1審核方案管理人員的作用和職責(zé)

GB/T19011—2013的5.3.1中的指南適用。

5.3.2審核方案管理人員的能力

GB/T19011—2013的5.3.2中的指南適用。

5.3.3確定審核方案的范圍和詳略程度

GB/T19011—2013的5.3.3中的指南適用。并且，以下ISMS特定的指南適用。

5.3.3.1IS5.3.3確定審核方案的范圍和詳略程度

審核方案的范圍和詳略程度會有所不同，并受下列因素影響：

a）ISMS規(guī)模，包括

1）在組織控制下開展工作的人員總數(shù)，以及與ISMS有關(guān)的相關(guān)方和合同方；

2）信息系統(tǒng)的數(shù)量；

3）ISMS覆蓋的場所數(shù)量；

b）ISMS的復(fù)雜程度（包括過程和活動的數(shù)量和關(guān)鍵性），并考慮ISMS范圍內(nèi)場所間的差異；

c）與業(yè)務(wù)有關(guān)的信息安全風(fēng)險的重要性；

d）規(guī)劃ISMS時所確定的風(fēng)險和機(jī)會的重要性；

e）在ISMS范圍內(nèi)保持信息的保密性，完整性和可用性的重要性；

f）將審核的信息系統(tǒng)的復(fù)雜度，包括所部署的信息技術(shù)的復(fù)雜度；

g）相似的辦公場所的數(shù)量。

宜在審核方案中考慮確定優(yōu)先事項(xiàng)，以便根據(jù)信息安全風(fēng)險的重要性和ISMS范圍內(nèi)的業(yè)務(wù)要求

進(jìn)行更詳細(xì)的審核。

5.3.4識別和評估審核方案風(fēng)險

GB/T19011—2013的5.3.4中的指南適用。并且，以下ISMS特定的指南適用。

5.3.4.1IS5.3.4識別和評估審核方案風(fēng)險

審核方案風(fēng)險還可能涉及保密要求相關(guān)的風(fēng)險。

5.3.5建立審核方案的程序

GB/T19011—2013的5.3.5中的指南適用。并且，以下ISMS特定的指南適用。

5.3.5.1IS5.3.5建立審核方案的程序

宜根據(jù)受審核方和其他相關(guān)方的要求確定信息安全和保密的保障措施。其他方要求可包括相關(guān)的

法律和合同要求。

5.3.6識別審核方案資源

GB/T19011—2013的5.3.6中的指南適用。并且，以下ISMS特定的指南適用。

5.3.6.1IS5.3.6識別審核方案資源

ISMS審核員宜分配足夠的時間來評審措施的有效性以應(yīng)對信息安全風(fēng)險以及ISMS相關(guān)風(fēng)險和機(jī)

會，尤其是針對所有適用于受審核方以及與審核方案目標(biāo)相關(guān)的重大風(fēng)險。

5.4實(shí)施審核方案

5.4.1總則

GB/T19011—2013的5.4.1中的指南適用。

5.4.2規(guī)定每次審核的目標(biāo)、范圍和準(zhǔn)則

2

GB/T28450—XXXX

GB/T19011—2013的5.4.2中的指南適用。并且，以下ISMS特定的指南適用。

5.4.2.1IS5.4.2規(guī)定每次審核的目標(biāo)、范圍和準(zhǔn)則

審核目標(biāo)可以包括以下內(nèi)容：

a）評價ISMS是否充分識別并解決信息安全要求；

b）評價持續(xù)改進(jìn)ISMS的過程；

c）確定信息安全控制對ISMS要求和規(guī)程的符合程度。

審核范圍宜考慮到信息安全風(fēng)險，以及相關(guān)方（即審核委托方和受審核方）ISMS帶來的風(fēng)險和機(jī)

會。

如果ISMS處于審核范圍內(nèi)，那么審核組宜根據(jù)內(nèi)部和外部問題以及相關(guān)方的需求和期望，確認(rèn)

受審核方ISMS的范圍和邊界。審核組宜確認(rèn)受審核方在ISMS范圍內(nèi)滿足GB/T22080—20164.3中規(guī)

定的與審核范圍有關(guān)的要求。

下列文件可作為審核準(zhǔn)則，并用作確認(rèn)符合性的參考：

a）受審核方采用的信息安全方針、信息安全目標(biāo)、策略和規(guī)程；

b）法律和合同要求以及與受審核方相關(guān)的其他要求；

c）受審核方的信息安全風(fēng)險準(zhǔn)則、信息安全風(fēng)險評估過程以及風(fēng)險處置過程；

d）適用性聲明，特定部門或其他必要控制的識別以及對包含必要的控制及其選擇的合理性說明（無

論該控制是否已實(shí)現(xiàn)），以及對GB/T22080—2016附錄A控制刪減的合理性說明；

e）適當(dāng)處置風(fēng)險的控制的定義；

f）監(jiān)視、測量、分析和評價信息安全績效及ISMS有效性的方法和準(zhǔn)則；

g）客戶的信息安全要求；

h）供應(yīng)商或外包商應(yīng)用的信息安全要求。

5.4.3選擇審核方法

GB/T19011—2013的5.4.3中的指南適用。并且，以下ISMS特定的指南適用。

5.4.3.1IS5.4.3選擇審核方法

如果進(jìn)行聯(lián)合審核，則宜特別注意有關(guān)各方之間的信息泄露。在開始審核之前，宜與所有有關(guān)各

方達(dá)成協(xié)議。

5.4.4選擇審核組成員

GB/T19011—2013的5.4.4中的指南適用。并且，以下ISMS特定的指南適用。

5.4.4.1IS5.4.4選擇審核組成員

整個審核組的能力宜包括充分具備和理解：

a）信息安全風(fēng)險管理知識，足以支撐其評價受審核方所使用的方法；

b）信息安全及信息安全管理知識，足以支撐其評價控制的確定以及ISMS的規(guī)劃、實(shí)現(xiàn)、維護(hù)和

有效性。

5.4.5為審核組長分配每次的審核職責(zé)

GB/T19011—2013的5.4.5中的指南適用。

5.4.6管理審核方案結(jié)果

GB/T19011—2013的5.4.6中的指南適用。

5.4.7管理和保持審核方案記錄

GB/T19011—2013的5.4.7中的指南適用。

5.5監(jiān)視審核方案

GB/T19011—2013的5.5中的指南適用。

3

GB/T28450—XXXX

5.6評審和改進(jìn)審核方案

GB/T19011—2013的5.6中的指南適用。

6實(shí)施審核

6.1總則

GB/T19011—2013的6.1中的指南適用。

6.2審核的啟動

6.2.1總則

GB/T19011—2013的6.2.1中的指南適用。

6.2.2與受審核方建立初步聯(lián)系

GB/T19011—2013的6.2.2中的指南適用。并且，以下ISMS特定的指南適用。

6.2.2.1IS6.2.2與受審核方建立初步聯(lián)系

必要時，宜注意確保審核員獲得使用文件化信息或?qū)徍嘶顒铀杵渌畔ⅲòǖ幌抻跈C(jī)密或

敏感信息）的必要安全許可。

6.2.3確定審核的可行性

GB/T19011—2013的6.2.3中的指南適用。并且，以下ISMS特定的指南適用。

6.2.3.1IS6.2.3確定審核的可行性

在審核開始之前，審核員宜詢問受審核方是否存在無法提供審核組評審的ISMS審核證據(jù)，例如，

因?yàn)樽C據(jù)中包含了個人身份信息或其他機(jī)密/敏感信息。負(fù)責(zé)管理審核方案的人員宜確定在缺少這部分

審核證據(jù)的情況下是否仍可對ISMS進(jìn)行充分審核。如果得出的結(jié)論為，缺少對這部分審核證據(jù)的評審

將導(dǎo)致無法充分審核ISMS，負(fù)責(zé)管理審核方案的人宜告知受審核方，在獲得適當(dāng)?shù)臏?zhǔn)入安排或向受審

核方提出或?qū)嵤徍说奶娲侄沃?，審核將無法進(jìn)行。如果審核繼續(xù)進(jìn)行，審核計劃宜考慮到所有訪

問限制。

6.3審核活動的準(zhǔn)備

6.3.1審核準(zhǔn)備階段的文件評審

GB/T19011—2013的6.3.1中的指南適用。

6.3.2編制審核計劃

GB/T19011—2013的6.3.2中的指南適用。并且，以下ISMS特定的指南適用。

6.3.2.1IS6.3.2編制審核計劃

審核組長宜意識到審核組成員在現(xiàn)場可能為受審核方造成的風(fēng)險。審核組在現(xiàn)場可能會影響受審

核方的信息安全，產(chǎn)生額外的風(fēng)險源，例如針對保密或敏感記錄或系統(tǒng)基礎(chǔ)設(shè)施的意外刪除、未授權(quán)信

息泄露、無意的信息變更等。

6.3.3審核組工作分配

GB/T19011—2013的6.3.3中的指南適用。

6.3.4準(zhǔn)備工作文件

GB/T19011—2013的6.3.4中的指南適用。并且，以下ISMS特定的指南適用。

6.3.4.1IS6.3.4準(zhǔn)備工作文件

審核組長宜確保所有審核工作文件得以適當(dāng)分類和處理。

4

GB/T28450—XXXX

6.4審核活動的實(shí)施

6.4.1總則

GB/T19011—2013的6.4.1中的指南適用。

6.4.2舉行首次會議

GB/T19011—2013的6.4.2中的指南適用。

6.4.3審核實(shí)施階段的文件評審

GB/T19011—2013的6.4.3中的指南適用。并且，以下ISMS特定的指南適用。

6.4.3.1IS6.4.3審核實(shí)施階段的文件評審

ISMS審核員宜驗(yàn)證審核準(zhǔn)則所要求的以及與審核范圍相關(guān)的文件化信息是否存在，并符合審核準(zhǔn)

則要求。

ISMS審核員宜確認(rèn)審核范圍內(nèi)所確定的控制與風(fēng)險評估及風(fēng)險處置過程結(jié)果相關(guān)，并可追溯到信

息安全方針和目標(biāo)。

注：附件A為ISMS審核實(shí)踐提供指南，包括如何使用相關(guān)文件化信息來審核ISMS。

6.4.4審核中的溝通

GB/T19011—2013的6.4.4中的指南適用。

6.4.5向?qū)Ш陀^察員的作用和責(zé)任

GB/T19011—2013的6.4.5中的指南適用。

6.4.6信息的收集和驗(yàn)證

GB/T19011—2013的6.4.6中的指南適用。并且，以下ISMS特定的指南適用。

6.4.6.1IS6.4.6信息的收集和驗(yàn)證

在審核過程中收集相關(guān)信息的可能方法包括：

a）檢查記錄（包括計算機(jī)日志和配置數(shù)據(jù)）；

b）訪問信息處理設(shè)備；

c）觀察ISMS過程以及已實(shí)現(xiàn)的相關(guān)控制；

d）使用自動審核工具。

注1：附錄A提供了關(guān)于如何審核ISMS過程的指南。

注2：GB/Z32916提供了如何評價信息安全控制的額外指南。

ISMS審核組成員宜根據(jù)審核委托方，審核組和受審核方之間的協(xié)議，確保從受審核方獲取的所有

信息得到適當(dāng)處理。

6.4.7形成審核發(fā)現(xiàn)

GB/T19011—2013的6.4.7中的指南適用。

6.4.8準(zhǔn)備審核結(jié)論

GB/T19011—2013的6.4.8中的指南適用。

6.4.9舉行末次會議

GB/T19011—2013的6.4.9中的指南適用。

6.5審核報告的編制和分發(fā)

6.5.1審核報告的編制

GB/T19011—2013的6.5.1中的指南適用。并且，以下ISMS特定的指南適用。

6.5.1.1IS6.5.1審核報告的編制

5

GB/T28450—XXXX

如果審核組在審核過程中由于信息級別或敏感原因無法獲得審核證據(jù)，則審核組長宜判斷其影響

審核發(fā)現(xiàn)和結(jié)論可信度的程度，并在審核報告中予以反映，不能因證據(jù)敏感性導(dǎo)致其不可用而進(jìn)行妥協(xié)。

6.5.2審核報告的分發(fā)

GB/T19011—2013的6.5.2中的指南適用。并且，以下ISMS特定的指南適用。

6.5.2.1審核報告的分發(fā)

在分發(fā)審核報告時，宜采取適當(dāng)措施確保報告的保密性。

注：當(dāng)使用電子方式進(jìn)行分發(fā)時，可適當(dāng)加密審核報告。

6.6審核的完成

GB/T19011—2013的6.6中的指南適用。

6.7審核后續(xù)活動的實(shí)施

GB/T19011—2013的6.7中的指南適用。

7審核員的能力和評價

7.1總則

GB/T19011—2013的7.1中的指南適用。

7.2確定滿足審核方案需求的審核人員能力

7.2.1總則

7.2.1.1總則

GB/T19011—2013的7.2.1中的指南適用。并且，以下ISMS特定的指南適用。

7.2.1.2IS7.2.1總則

在決定ISMS審核員的適當(dāng)知識和技能時，宜考慮以下內(nèi)容：

a）ISMS的復(fù)雜度（例如ISMS內(nèi)信息系統(tǒng)的重要性，ISMS的風(fēng)險評估結(jié)果）；

b）在ISMS范圍內(nèi)開展的業(yè)務(wù)類型；

c）實(shí)現(xiàn)ISMS各組成部分（例如實(shí)現(xiàn)的控制、文件化信息和/或過程控制、涉及的技術(shù)平臺和解決

方案等）所使用的技術(shù)的范圍和多樣性；

d）之前已證實(shí)的ISMS的績效；

e）與ISMS范圍內(nèi)所用的外包和外部方約定的程度；

f）與審核方案相關(guān)的標(biāo)準(zhǔn)，法律要求和其他要求。

7.2.2個人行為

GB/T19011—2013的7.2.2中的指南適用。

7.2.3知識和技能

7.2.3.1總則

GB/T19011—2013的7.2.3.1中的指南適用。

7.2.3.2管理體系審核員的通用知識和技能

GB/T19011—2013的7.2.3.2中的指南適用。

7.2.3.3管理體系審核員的特定領(lǐng)域與專業(yè)的知識和技能

GB/T19011—2013的7.2.3.3中的指南適用，并且GB/T19011—2013中A.7的指南也適用。

7.2.3.4審核組長的通用知識和技能

6

GB/T28450—XXXX

GB/T19011—2013的7.2.3.4中的指南適用。

7.2.3.5多領(lǐng)域管理體系審核的知識和技能

GB/T19011—2013的7.2.3.5中的指南適用。

7.2.4審核員能力的獲得

7.2.4.1總則

GB/T19011—2013的7.2.4中的指南適用。并且，以下ISMS特定的指南適用。

7.2.4.2IS7.2.4審核員能力的獲得

ISMS審核員宜具備信息技術(shù)和信息安全方面的知識和技能，如通過相關(guān)認(rèn)證（例如基于GB/T

27024認(rèn)可的認(rèn)證）。ISMS審核員也宜理解相關(guān)業(yè)務(wù)需求。ISMS審核員的個人工作經(jīng)驗(yàn)宜對他們在ISMS

領(lǐng)域的知識和技能有所幫助。

注：有關(guān)ISMS審核員認(rèn)證的更多信息可以在GB/T25067中找到。

7.2.5審核組長

GB/T19011—2013的7.2.5中的指南適用。

7.3審核員評價準(zhǔn)則的建立

GB/T19011—2013的7.3中的指南適用。

7.4選擇適當(dāng)?shù)膶徍藛T評價方法

GB/T19011—2013的7.4中的指南適用。

7.5進(jìn)行審核員評價

GB/T19011—2013的7.5中的指南適用。

7.6保持并提高審核員能力

GB/T19011—2013的7.6中的指南適用。

7

GB/T28450—XXXX

附錄A（資料性附錄）

ISMS審核實(shí)踐指南

A.1概述

本附錄對聲稱符合GB/T22080的組織提供有關(guān)如何審核ISMS的通用指南。由于本指南旨在適用

于所有ISMS審核，所以無論涉及的組織的是何規(guī)?；蛐再|(zhì)，本指南均適用。本指南旨在供開展ISMS

內(nèi)部或外部審核的審核員使用。

注：GB/T31496根據(jù)GB/T22080給出了實(shí)施和操作ISMS的指南。

A.2總則

A.2.1審核目標(biāo)、范圍、準(zhǔn)則和審核證據(jù)

在審核活動期間，宜通過適當(dāng)?shù)某闃臃绞将@得并驗(yàn)證與審核目標(biāo)、范圍和準(zhǔn)則有關(guān)的信息，包括職

責(zé)，活動和過程之間的接口相關(guān)的信息。只有能夠證實(shí)的信息才可作為審核證據(jù)。宜記錄導(dǎo)致審核發(fā)現(xiàn)

的審核證據(jù)。

獲取信息的方法包括以下內(nèi)容：

—訪談；

—觀察；

—文件評審，包括記錄。

A.2.2ISMS審核策略

GB/T22080遵循ISO/IEC導(dǎo)則第1部分附錄JC和融合的JTC1補(bǔ)充部分中的頂層結(jié)構(gòu)、相同的章

節(jié)標(biāo)題、核心文本、通用術(shù)語與核心定義—JTC1特定規(guī)程。GB/T22080定義了一組相互依賴的要求，

這些要求作為一個整體發(fā)揮作用（通常被稱為“系統(tǒng)方法”），并通過交叉引用予以部署。

在審核時最好同時處理實(shí)踐中密切相關(guān)的GB/T22080條款。相關(guān)示例請參見表A.2。

例如6.1.3和8.3以及6.2，5.1、5.2，5.3、7.1、7.4、7.5、9.1、9.3和10.2，同時審核這些條款及其

關(guān)聯(lián)或相關(guān)條款才有意義。

GB/T22080—20167.5提出了有關(guān)文件化信息的要求。如表A.2中A.4.5所述，每次審核員檢查一

份文件化信息時，都是確認(rèn)其是否符合GB/T22080—20167.5要求的機(jī)會。有關(guān)如何執(zhí)行上述內(nèi)容的指

南在表A.2的A.4.5中。對于表中每次出現(xiàn)“文件化信息”將不再重復(fù)對文件化信息的要求。

A.2.3審核和文件化信息

審核活動涉及文件化信息，即：

a）在GB/T22080中文件化信息的要求條款可用作審核準(zhǔn)則；

b）以下文件化信息可作為審核證據(jù)：

1）GB/T22080—20167.5.1b）中要求的文件化信息；

2）由組織確定的，GB/T22080—20167.5.1c）中要求的ISMS有效運(yùn)行所必需的文件化信息。

除A.2.3b）中所列的審核證據(jù)，審核員將通過訪談、觀察和文件評審（包括記錄）獲得其他審核

證據(jù)。

有關(guān)GB/T22080的文件化信息的詳細(xì)討論可在A.3中找到。

A.3GB/T22080文件化信息要求指南

A.3.1基本原理

8

GB/T28450—XXXX

審核員提出要求將文件化信息作為符合性證據(jù)時宜注意：

a）表A.1中所列的對文件化信息的16項(xiàng)明確要求，包括適用性聲明；

b）其他要求：

1）可從上述文件化信息中找出符合性證據(jù)；

2）文件化信息未體現(xiàn)顯性或隱性要求。

表A.1GB/T22080中對文件化信息的要求

有關(guān)的文件化信息要求參考GB/T22080

ISMS的范圍4.3

信息安全策略5.2

信息安全風(fēng)險評估過程6.1.2

信息安全風(fēng)險處置過程6.1.3

適用性聲明6.1.3d）

信息安全目標(biāo)6.2

能力的證據(jù)7.2d）

由組織確定的有效實(shí)施ISMS所必須的文件化信息7.5.1b）

運(yùn)行規(guī)劃和控制8.1

信息安全風(fēng)險評估的結(jié)果8.2

信息安全風(fēng)險處置的結(jié)果8.3

監(jiān)視和測量結(jié)果的證據(jù)9.1

審核方案和審核結(jié)果的證據(jù)9.2g）

管理評審結(jié)果的證據(jù)9.3

表明不符合的性質(zhì)以及后續(xù)措施的證據(jù)10.1f）

任何糾正措施結(jié)果的證據(jù)10.1g）

注：審核的定義表明它是一個文件化的過程，因此審核員可以認(rèn)為GB/T22080—20169.2要求的結(jié)果是一個文件化

的審核過程。

A.3.2對文件化信息有隱性要求的示例

作為A.3.1b）1）的一個示例，在GB/T22080—20166.1.2中要求組織“保留有關(guān)信息安全風(fēng)險評估

過程的文件化信息”。在這條之前的要求[GB/T22080—20166.1.2a）至e）]均涉及風(fēng)險評估過程。因此，

符合上述要求的證據(jù)存在于所要求的風(fēng)險評估過程相關(guān)文件化信息中。

A.3.3文件化信息未體現(xiàn)顯性或隱性要求的示例

作為A.3.1b）2）的一個示例，考慮GB/T22080—20164.1.1的要求。對外部和內(nèi)部事項(xiàng)相關(guān)的信

息未要求文件化。因此，審核員不宜要求看到相關(guān)文件化信息。然而，如果組織不能解釋其已對這些問

題進(jìn)行決策，將構(gòu)成對GB/T22080—20164.1.1條款的不符合。但是，組織有責(zé)任確定證明其符合要求

的方式。證明方式包括最高管理者的解釋（即有人知悉）；在會議中討論過該主題；在正式配置管理下

的文件化信息中得到證明；也可以通過其他方式證明。實(shí)際上，證據(jù)很可能會分散在ISMS的文件化信

息中。例如，GB/T22080—20164.1.1的目的是幫助組織理解其ISMS環(huán)境。該環(huán)境貫穿于整個ISMS，

尤其是在確定范圍、方針以及執(zhí)行風(fēng)險評估和風(fēng)險處置過程時。如果組織符合GB/T22080—20164.1.1

的要求，其外部和內(nèi)部事項(xiàng)的知識可能會應(yīng)用于ISMS的其他領(lǐng)域，這些應(yīng)用將保持一致，并可能會有

這些其他相關(guān)領(lǐng)域的文件化信息的符合證據(jù)。

A.4適用性聲明

適用性聲明（SOA）是另一個需要注意的領(lǐng)域。SOA宜包含所有必要的控制，即組織已有的控制、

作為風(fēng)險處置過程[GB/T22080—20166.1.3c）]結(jié)果的控制（為滿足風(fēng)險接受準(zhǔn)則而對信息安全風(fēng)險進(jìn)

行修改所需的控制）。所有必要的控制均為組織自身的要求。

必要的控制可以是GB/T22080—2016附錄A中的控制（非強(qiáng)制要求），也可以來自其他標(biāo)準(zhǔn)（例

如ISO/IEC27017）或其他來源，或者由組織進(jìn)行專門設(shè)計。

在某些情況下，組織所使用的控制對附件A中的控制進(jìn)行了變更，刪減了原附錄A中的控制，刪

減的理由是它已被組織變更后的控制所代替。其實(shí)這種變更可以并入附錄A的控制中，不作為刪減。

審核員宜基于組織的必要控制的規(guī)范來判定符合性，而無需依據(jù)附錄A給出的規(guī)范。如果組織的

9

GB/T28450—XXXX

規(guī)范要求一個文件化規(guī)程，這會形成組織對GB/T22080—2016.7.5.1b）的部分符合。如果未要求有文件

化規(guī)程，那么審核員不宜要求見到該規(guī)程。但是，審核員宜關(guān)注[GB/T22080—2016.8.1）]中的要求，

組織宜“在必要的范圍內(nèi)保存文件化信息，以確保過程按計劃進(jìn)行”。鑒于8.1引用了6.1的內(nèi)容，組織

的風(fēng)險處置計劃及其必要的控制，都在文件化信息要求的范圍內(nèi)。

在審核控制的選擇時，最好針對風(fēng)險處置計劃進(jìn)行審核[如GB/T22080—2016.6.1.3e）中所述]，而

不只是審核適用性聲明中所列出的個別必要控制。風(fēng)險處置計劃可能詳細(xì)說明了必要控制之間的相互作

用，而僅使用適用性聲明則可能忽略這個因素。

A.5其他文件化信息

GB/T22080的關(guān)注焦點(diǎn)是結(jié)果。在文件化信息的16個明確要求中（見表A.1），只有三個涉及的規(guī)

程（信息安全風(fēng)險評估過程，信息安全風(fēng)險處置過程和審核方案）。但是，這并不妨礙組織擁有文件化

的規(guī)程。此類支持文件屬于GB/T22080—2016，7.5.1b）的范圍（組織確定的文件化信息對其ISMS的

有效性是必要的）。因此，這類文件作為組織的要求，宜包含在審核范圍內(nèi)。

A.6注釋

所需信息可以是網(wǎng)頁的一部分，也可以作為數(shù)據(jù)庫查詢的結(jié)果呈現(xiàn)給讀者。此外，除了適用性聲明

以外，GB/T22080未給出文件名稱。因此，有關(guān)信息安全策略的文件化信息可能不在名為“信息安全

策”的文件或網(wǎng)頁中。組織有權(quán)為信息安全策略定義其它稱呼。在確保ISMS符合（GB/T22080—2016

5.3a）要求方面具備責(zé)任和權(quán)限的人員是相同的，都宜知悉GB/T22080中強(qiáng)制要求的文件化信息與他

們的文件化信息之間的關(guān)系。

A.7ISMS審核指南

表格A.2列出了以下信息：

—第一行：相應(yīng)的GB/T22080條款的編號和名稱；

—第二行：相關(guān)條款（有關(guān)如何使用此行的信息，請參閱A.2.2）；

—第三行：GB/T22080相應(yīng)的條款在GB/T29246中的相關(guān)定義；

—第四行：“審核證據(jù)”，可能來源于GB/T22080的相應(yīng)條款；

—第五行：“審核實(shí)踐指南”，即審核的指南（參見A.3）；

—第六行：“支持性文件”，針對相應(yīng)的GB/T22080條款參考對審核有幫助的其他文件。

表A.2—GB/T22080的審核指南

A.1組織環(huán)境（4）

A.1.1理解組織及其環(huán)境（4.1）

GB/T22080中相關(guān)條款6.1，9.3

GB/T29246中相關(guān)定義外部環(huán)境，信息安全，內(nèi)部環(huán)境，管理體系，組織

10

GB/T28450—XXXX

審核證據(jù)

審核證據(jù)可以通過以下方面的文件化信息或其他信息獲得：

a）可能對ISMS產(chǎn)生積極或消極影響的重要事項(xiàng)；

b）組織；

c）組織的目的；

d）ISMS的預(yù)期結(jié)果。

重要事項(xiàng)的可能來源包括：

a）與氣候，污染，資源可用性和生物多樣性有關(guān)的環(huán)境特性或情況，以及這些情況可

能對組織實(shí)現(xiàn)其目標(biāo)的能力產(chǎn)生的影響；

b）來自于國際、國內(nèi)、地區(qū)、當(dāng)?shù)氐母鞣N外部文化的、社會的、政治的、法律的、監(jiān)

管的、金融的、技術(shù)的、經(jīng)濟(jì)的、自然的和競爭的環(huán)境；

c）組織的特征或條件，例如組織管理，信息流和決策過程；

—組織的政策、目標(biāo)和實(shí)現(xiàn)它們的戰(zhàn)略；

—組織的文化；

—組織采用的標(biāo)準(zhǔn)，準(zhǔn)則和模型；

—組織產(chǎn)品和服務(wù)的生命周期；

—信息系統(tǒng)，過程，科學(xué)和技術(shù)的潛在信息安全管理；

d）審核和風(fēng)險評估的趨勢。

審核實(shí)踐指南審核員宜確認(rèn)該組織：

a）有對可能積極或消極影響ISMS的重要問題有一個高層次（如戰(zhàn)略的）的理解；

b）了解與其目的相關(guān)的外部和內(nèi)部問題，以及影響其實(shí)現(xiàn)ISMS預(yù)期結(jié)果的能力的問

題。

注：4.3中的要求是“考慮4.1中提到的外部和內(nèi)部事項(xiàng)”。組織可以考慮在輸出中未必

會出現(xiàn)的內(nèi)容。

審核員還宜確認(rèn)通過應(yīng)用風(fēng)險管理過程使風(fēng)險得到充分管理，來保護(hù)信息的保密性，

完整性和可用性的預(yù)期結(jié)果。

審核員還宜驗(yàn)證：包括組織重要主題、辯論和討論的問題以及變化的環(huán)境等相關(guān)事項(xiàng)

已經(jīng)被確認(rèn)其所獲得的知識已用于指導(dǎo)組織規(guī)劃、實(shí)現(xiàn)和運(yùn)行管理體系。

支持性文件ISO/IEC導(dǎo)則第1部分—2017年融合的JTC1補(bǔ)充部分，附錄JC，JC.9

ISO31000:2009，5.3

ISO/IEC27003:2017，4.1

A.1.2理解相關(guān)方的需求和期望（4.2）

GB/T22080中相關(guān)條款4.1，4.3

GB/T29246中相關(guān)定義相關(guān)方

審核證據(jù)審核證據(jù)可以通過下列文件化信息或其他信息獲得：

a）相關(guān)方；

b）適用于ISMS和GB/T22080的相關(guān)方的需求和期望。

注2：潛在的相關(guān)方可能包括：

a）法律和監(jiān)管機(jī)構(gòu)（當(dāng)?shù)兀貐^(qū)，自治區(qū)/省，國家或國際）；

b）上級組織；

c）客戶；

d）貿(mào)易和專業(yè)協(xié)會；

e）社區(qū)團(tuán)體；

f）非政府組織；

g）供應(yīng)商；

h）鄰居；

i）組織成員和代表組織工作的其他人；

j）信息安全專家。

注3：相關(guān)方要求可能包括：

a）法律；

b）許可，執(zhí)照或其他形式的授權(quán)；

11

GB/T28450—XXXX

c）監(jiān)管機(jī)構(gòu)發(fā)布的決議；

d）法院或行政法庭的判決；

e）條約，公約和議定書；

f）相關(guān)行業(yè)規(guī)范和標(biāo)準(zhǔn)；

g）已簽訂的合同；

h）與社區(qū)團(tuán)體或非政府組織達(dá)成的協(xié)議；

i）與公共機(jī)構(gòu)和客戶的協(xié)議；

j）組織要求；

k）自愿性原則或行為守則；

l）自愿性標(biāo)簽或環(huán)境承諾；

m）根據(jù)與該組織的合同安排產(chǎn)生的義務(wù)；

n）信息和通信交換。

注4：相關(guān)方可以有不同的利益，這些利益可以完全一致，部分一致或與組織的經(jīng)營目

標(biāo)相對立。與組織的經(jīng)營目標(biāo)相對立的相關(guān)方示例為黑客。黑客需要組織的安全性較

弱。組織宜重視這類完全對立的相關(guān)方需求，即加強(qiáng)安全性。

審核員宜意識到ISMS考慮了所有內(nèi)部和外部風(fēng)險源。因此，組織對相對立的相關(guān)方和

其需求的理解具有高度相關(guān)性。

審核實(shí)踐指南審核員宜確認(rèn)組織對適用于ISMS和GB/T22080的相關(guān)方的需求和期望有一個高層次（如戰(zhàn)略

性）的理解。

審核員宜核實(shí)該組織是否已識別出相關(guān)方的需求，包括自愿采納或簽訂的協(xié)議、合同，或因

納入法律、法規(guī)、許可、政府授權(quán)或法庭訴訟中，導(dǎo)致這些需求和期望是強(qiáng)制的。值得注意

的是，并非所有相關(guān)方要求都是組織的要求，有些要求不適用于組織或與ISMS不相關(guān)。一些

相關(guān)方的需求（例如黑客的需求）與ISMS的目的相反，組織宜通過適當(dāng)?shù)男畔踩刂苼泶_

保這些需求和期望不會被滿足。

審核員還可以確認(rèn)是否有相關(guān)方意識到他們會受到ISMS的影響，如果是的話，他們需讓組織

知道這些情況。

審核員還可以驗(yàn)證組織是否使用所獲得的知識來指導(dǎo)其計劃，實(shí)現(xiàn)和運(yùn)行ISMS的工作。

支持性文件ISO/IEC導(dǎo)則第1部分—2017年融合的JTC1補(bǔ)充部分，附錄JC，JC.9

ISO31000:2009，5.3

ISO/IEC27003:2017，4.2

A.1.3確定ISMS范圍（4.3）

GB/T22080中相關(guān)條款4.1，4.2

GB/T29246中相關(guān)定義外包

審核證據(jù)審核證據(jù)可以通過以下文件化信息或其他信息獲得

—組織管理體系的范圍（4.3中定義）；

—適用時，組織的認(rèn)證范圍；

—適用性聲明。

注5：組織認(rèn)證的范圍不一定與其ISMS的范圍相同。通常情況下，認(rèn)證范圍僅限于ISMS組

織。

審核實(shí)踐指南審核員宜確認(rèn)組織根據(jù)自己的意愿確定應(yīng)用ISMS的物理、信息、法律和組織邊界，并選擇

在整個組織內(nèi)還是在組織內(nèi)的特定部門或特殊功能實(shí)現(xiàn)GB/T22080。

審核員宜核實(shí)組織對其環(huán)境（4.1）、相關(guān)方（4.2）的要求以及組織執(zhí)行的活動和其他組織執(zhí)

行的活動之間的接口和依賴性（4.3C）的理解，并在確定ISMS的范圍時予以充分考慮。

審核員宜進(jìn)一步確認(rèn)組織的信息安全風(fēng)險評估和風(fēng)險處置恰當(dāng)?shù)胤从沉似浠顒?，并延伸?/p>

ISMS范圍內(nèi)定義的活動邊界，再延伸到適用的審核范圍。審核員宜核實(shí)每一個審核范圍內(nèi)

至少有一個適用性聲明，并且在適用性聲明中包含了風(fēng)險管理過程中確定的所有控制。這些

控制是指GB/T220806.1.3b）所述的必要控制，不必是GB/T22080—2016附錄A中所述的控

制。這些控制可以包括適用于特定行業(yè)的控制，以及組織自行設(shè)計的或從其他來源識別的控

制。

12

GB/T28450—XXXX

審核員還宜確認(rèn)不完全在ISMS范圍內(nèi)的服務(wù)或活動的接口在ISMS中得到解決，并包含在組

織的信息安全風(fēng)險評估中。這種情況可用與其他組織共享設(shè)施（例如IT系統(tǒng)、數(shù)據(jù)庫、遠(yuǎn)程

通信系統(tǒng)或業(yè)務(wù)功能的外包）舉例。

宜確認(rèn)已建立范圍的文檔，并根據(jù)文件化信息（7.5）的要求進(jìn)行控制。

支持性文件ISO/IEC導(dǎo)則第1部分—2017年融合的JTC1補(bǔ)充部分，附錄JC，JC.9

ISO31000:2009，5.3

ISO/IEC27003:2017，4.3

ISO/IEC27006:2015，8.2，9.1.3.5IS9.1.3認(rèn)證范圍

GB/T27021.1—2017，8.2.2

A.1.4信息安全管理體系（4.4）

GB/T22080中相關(guān)條款6.1.1，6.1.2，6.1.3，8.1，8.2，8.3

GB/T29246中相關(guān)定義持續(xù)改進(jìn)，信息安全，管理體系

審核證據(jù)審核證據(jù)可以通過GB/T22080要求建立的過程中的文件化信息或獲得，包括：

a）管理體系的過程（GB/T22080—2016，4.4）；

b）作業(yè)計劃和控制規(guī)程，包括外包過程（8.1）；

c）規(guī)劃ISMS時應(yīng)對風(fēng)險和機(jī)會的過程，包括信息安全風(fēng)險評估過程（6.1.2和/或8.1.2）和信

息安全風(fēng)險處置（6.1.3和/或8.1.3）；

d）實(shí)現(xiàn)信息安全目標(biāo)的過程。

審核實(shí)踐指南審核員宜核實(shí)組織創(chuàng)建了“必要且充分”的一組過程和控制，這些過程和控制共同構(gòu)成了符

合GB/T22080的有效的管理體系，并建立了由相互關(guān)聯(lián)或相互作用的要素構(gòu)成的ISMS。

審核員還宜確認(rèn)，該組織在目前的能力范圍內(nèi)保持了決定如何滿足ISMS要求的權(quán)力、義務(wù)

和自主權(quán)，包括詳略程度及將ISMS要求納入其業(yè)務(wù)的程度。

支持性文件ISO/IEC導(dǎo)則第1部分—2017年融合的JTC1補(bǔ)充部分，附錄JC，JC.9

ISO31000:2009，5.3

ISO/IEC27003:2017，4.4

A.2領(lǐng)導(dǎo)（5）

A.2.1領(lǐng)導(dǎo)和承諾（5.1）

GB/T22080中相關(guān)條款4.1，4.2，4.4，5.2，5.3，6.1.1，6.2，7.1，7.4，8.1，9.3，10.2

GB/T29246中相關(guān)定義信息安全，最高管理者

審核證據(jù)審核證據(jù)可以通過以下方面的文件化信息或其他信息獲得：

a）信息安全方針[GB/T22080—2016，5.1a）]；

b）信息安全目標(biāo)[5.1a）]；

c）組織的過程；

d）管理評審的結(jié)果[5.1c），e）andg）]；

e）評估資源需求；

f）有效的信息安全管理的重要性和遵守ISMS要求的溝通。

還可以通過與最高管理者的訪談獲得證據(jù)。管理評審的結(jié)果還可以提供除5.1c），e）和g）

以外的子條款的審核證據(jù)。

審核實(shí)踐指南審核員宜確認(rèn)組織最高管理者的強(qiáng)力支持、參與和承諾，這對成功實(shí)現(xiàn)GB/T22080非常重要。

審核員還宜審核：:

a）已定義的最高管理者的職責(zé)；

b）最高管理者對分配給組織的活動的圓滿完成仍然負(fù)責(zé)；

c）最高管理者確保建立信息安全方針和目標(biāo)，并與組織戰(zhàn)略方向一致；

d）最高管理者傳達(dá)有效的信息安全管理和符合ISMS要求的重要性；

e）最高管理者通過支持所有信息安全管理過程的實(shí)現(xiàn)，特別是通過要求和評審有關(guān)ISMS狀

態(tài)和有效性的報告[見5.3b）]，確保ISMS達(dá)到其預(yù)期結(jié)果；

f）最高管理者指導(dǎo)并支持組織中直接參與信息安全和ISMS的人員；

g）最高管理者確保將ISMS要求整合到組織過程中；

h）最高管理者確保ISMS所需資源可用；

i）最高管理者在管理評審時評估資源需求，并設(shè)定持續(xù)改進(jìn)和監(jiān)視計劃活動有效性的目標(biāo)；

j）最高管理者創(chuàng)建文化和環(huán)境氛圍，鼓勵員工積極努力實(shí)現(xiàn)ISMS要求，并爭取實(shí)現(xiàn)信息安

13

GB/T28450—XXXX

全目標(biāo)。

支持性文件ISO/IEC導(dǎo)則第1部分—2017年融合的JTC1補(bǔ)充部分，附錄JC，JC.9

ISO31000:2009，4.2

ISO/IEC27003:2017，5.1

A.2.2方針（5.2）

GB/T22080中相關(guān)條款6.2，7.4

GB/T29246中相關(guān)定義信息安全，方針

審核證據(jù)審核證據(jù)可以通過以下文件化信息或其他信息獲得:

a）信息安全方針（5.1）；

b）信息安全目標(biāo)[5.2b）and6.2]。

審核實(shí)踐指南審核員宜確認(rèn)：

a）信息安全方針說明了GB/T22080要求的高層次的組織承諾，并考慮了組織的目標(biāo)；

b）信息安全方針用于構(gòu)建或建立組織為自己設(shè)定的信息安全目標(biāo)，或明確說明為信息安全

策略的一部分；

c）信息安全方針的文件化信息是根據(jù)文件化信息（7.5）的要求建立和控制的；

d）信息安全方針按照溝通條款（7.4）的要求在內(nèi)部得到溝通；

e）信息安全方針適當(dāng)時對其他相關(guān)方可用；

由于信息安全方針包含了滿足適用要求的承諾，特別是相關(guān)法律法規(guī)要求。因此，只要對導(dǎo)

致不符合的系統(tǒng)缺陷及時發(fā)現(xiàn)并采取糾正措施，即不宜視為不符合。

支持性文件ISO/IEC導(dǎo)則第1部分—2017年融合的JTC1補(bǔ)充部分，附錄JC，JC.9

ISO31000:2009，4.3.2

ISO/IEC27003:2017，5.2

A.2.3組織的角色、責(zé)任和權(quán)限（5.3）

GB/T22080中相關(guān)條款7.4，9.2，9.3

GB/T29246中相關(guān)定義信息安全，組織，最高管理者

審核證據(jù)參考GB/T22080—2016，7.5.1b），審核證據(jù)可以通過以下方面的文件化信息或其他信息獲得：

a）組織的角色；

b）在信息安全控制下工作并對組織的信息安全績效產(chǎn)生影響的人員的崗位說明書；

c）執(zhí)行內(nèi)部審核方案及審核結(jié)果；

d）ISMS的范圍與組織結(jié)構(gòu)。

此外，還可以通過管理評審結(jié)果的文件化信息或其他信息來開展進(jìn)一步的審核。

審核實(shí)踐指南審核員宜通過審核文件化信息和/或訪談確認(rèn)：

a）執(zhí)行ISMS要求的職責(zé)和權(quán)限被分配給組織內(nèi)的相關(guān)角色；

b）最高管理者負(fù)責(zé)這些職責(zé)和權(quán)限被分配并傳達(dá)給執(zhí)行這些角色的人員；

c）按照溝通條款（7.4）的要求溝通職責(zé)和權(quán)限；

d）按照內(nèi)部審核（9.2）的要求管理，證明符合GB/T22080的要求；

e）按照管理評審（9.3）的要求管理績效報告。

審核員宜驗(yàn)證有責(zé)任的人員是否有足夠的權(quán)限與最高管理者聯(lián)系，以便其了解ISMS的狀態(tài)和

績效。

注6：確保管理體系符合GB/T22080要求的角色可以分配到個人、由多個人共同承擔(dān)或分配給

團(tuán)隊(duì)。

支持性文件ISO/IEC導(dǎo)則第1部分—2017年融合的JTC1補(bǔ)充部分，附錄JC，JC.9

ISO31000:2009，4.3.3

ISO/IEC27003:2017，5.3

A.3規(guī)劃（6）

A.3.1應(yīng)對風(fēng)險和機(jī)會的措施（6.1）

A.3.1.1總則（6.1.1）

GB/T22080中相關(guān)條款4.1，4.2，8.1，9，10.2

GB/T29246中相關(guān)定義信息安全，風(fēng)險，風(fēng)險管理

審核證據(jù)