《信息技術(shù) 安全技術(shù) 信息安全管理體系審核指南-編制說明》

國家標(biāo)準(zhǔn)報批稿資料

一、工作簡況

1、任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會2018年下達(dá)的國家標(biāo)準(zhǔn)制修訂計劃：《信息技術(shù)

安全技術(shù)信息安全管理體系審核指南》，該標(biāo)準(zhǔn)由北京時代新威信息技術(shù)有限

公司負(fù)責(zé)承辦，計劃號：2018BZXD-WG7-001。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)

委員會歸口管理。

2、主要起草單位和工作組成員

該標(biāo)準(zhǔn)由北京時代新威信息技術(shù)有限公司主要負(fù)責(zé)起草，協(xié)作起草單位為中

國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、全國組織機(jī)構(gòu)統(tǒng)

一社會信用代碼數(shù)據(jù)服務(wù)中心，主要起草人：王新杰、王連強(qiáng)、鄭瑋、陳劍博、

張劍、程瑜琦、上官曉麗、王姣、孫鎮(zhèn)、趙捷、孫泰、李晟飛。其中，王新杰、

王連強(qiáng)、張劍、上官曉麗、孫鎮(zhèn)、趙捷負(fù)責(zé)編制過程總體領(lǐng)導(dǎo)，標(biāo)準(zhǔn)前言的編寫，

以及全文校對；鄭瑋、陳劍博、程瑜琦、王姣、孫泰、李晟飛負(fù)責(zé)標(biāo)準(zhǔn)正文編寫

以及相關(guān)背景資料的調(diào)研。

3、主要工作過程

標(biāo)準(zhǔn)制定的主要工作過程如下：

a)成立編制組。2018年8月，接到全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會關(guān)于

標(biāo)準(zhǔn)制定任務(wù)之后，課題組負(fù)責(zé)人隨即召集標(biāo)準(zhǔn)編制組的相關(guān)成員開

會，具體討論和分配了小組的任務(wù)、標(biāo)準(zhǔn)修訂的重要事項以及需注意

的事項。

b)形成標(biāo)準(zhǔn)草案。2018年8月-9月，標(biāo)準(zhǔn)編制組開展信息安全管理體系

審核指南的研究。標(biāo)準(zhǔn)編制組分析梳理了國內(nèi)外信息安全管理體系審

核指南的應(yīng)用情況，對ISO/IEC27007標(biāo)準(zhǔn)等文檔進(jìn)行了深入研究，

據(jù)此編制完成《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》標(biāo)

準(zhǔn)草案。2018年10月18日，召開專家評審會，就標(biāo)準(zhǔn)草案征求部分

專家意見，并根據(jù)意見對草案進(jìn)行了修改完善。

c)形成標(biāo)準(zhǔn)征求意見稿。2018年10月24日-26日，WG7工作組面向全

體工作組成員單位進(jìn)行草案標(biāo)準(zhǔn)投票，表決通過，工作組建議形成征

國家標(biāo)準(zhǔn)報批稿資料

求意見稿。標(biāo)準(zhǔn)編制組根據(jù)意見進(jìn)行修改完善，形成征求意見稿第一

稿。2018年11月28日，WG7開展工作組標(biāo)準(zhǔn)審查，編制組根據(jù)審查

意見對標(biāo)準(zhǔn)征求意見稿進(jìn)行了修改完善。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、標(biāo)準(zhǔn)編制原則

本標(biāo)準(zhǔn)在編制過程中遵循了等同采用、準(zhǔn)確理解和語言通暢的原則。

等同采用：基于目前國內(nèi)對國際ISMS標(biāo)準(zhǔn)族相關(guān)標(biāo)準(zhǔn)的研究和轉(zhuǎn)化情況，

以及我國整體信息安全管理理論和技術(shù)發(fā)展現(xiàn)狀，決定等同采用國際標(biāo)準(zhǔn)

ISO/IEC27007《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》最新版本。

準(zhǔn)確理解：在充分理解國際標(biāo)準(zhǔn)原文的基礎(chǔ)上進(jìn)行等同翻譯，做到準(zhǔn)確表

達(dá)原意。

語言通暢：在等同翻譯時，盡量符合中文的語言習(xí)慣，做到表述通暢。

2、標(biāo)準(zhǔn)解決的問題及主要內(nèi)容

國家標(biāo)準(zhǔn)《信息安全技術(shù)信息安全管理體系審核指南》（GB/T28450-2012）

所引用的《質(zhì)量和（或）環(huán)境管理體系審核指南》（GB/T19011-2003）和《信息

安全安全技術(shù)信息安全管理體系要求》（GB/T22080-2008）均已修訂，管理體

系審核的基本流程、思路和方法已調(diào)整，且審核對象的內(nèi)容也隨著GB/T22080

的修訂發(fā)生了變化，因此亟需制定并發(fā)布新版國家標(biāo)準(zhǔn)《信息安全管理體系審核

指南》。國際標(biāo)準(zhǔn)化組織也于2017年10月發(fā)布了新版標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)

信息安全管理體系審核指南》（ISO/IEC27007:2017）。因此，為給我國ISMS審

核認(rèn)證機(jī)構(gòu)及審核人員實(shí)施ISMS體系審核提供更加成熟的方法論和指導(dǎo)，有必

要等同采納國際標(biāo)準(zhǔn)，重新修訂GB/T28450-2012，為ISMS相關(guān)技術(shù)和應(yīng)用提

供最新的基礎(chǔ)標(biāo)準(zhǔn)支撐。

該標(biāo)準(zhǔn)在GB/T19011—2013的基礎(chǔ)上，為信息安全管理體系（Information

SecurityManagementSystem，以下簡稱ISMS）審核方案管理、審核實(shí)施提供了

指南，并對ISMS審核員能力提供了評價指南。該標(biāo)準(zhǔn)適用于需要理解或?qū)嵤?/p>

ISMS的內(nèi)部或外部審核，或需要管理ISMS審核方案的所有組織。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

標(biāo)準(zhǔn)編制組已請中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心等認(rèn)證機(jī)構(gòu)對《信息技術(shù)

安全技術(shù)信息安全管理體系審核指南》進(jìn)行了試用，標(biāo)準(zhǔn)試用效果良好。

國家標(biāo)準(zhǔn)報批稿資料

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)不涉及專利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

該標(biāo)準(zhǔn)作為實(shí)施指南，可為ISMS審核認(rèn)證機(jī)構(gòu)或內(nèi)部審核組織的審核人員

提供ISMS審核（包括外部審核和內(nèi)部審核）的指南，幫助其完成審核方案管理、

審核啟動、審核活動準(zhǔn)備、審核活動實(shí)施、審核報告編制和分發(fā)、審核完成、審

核后續(xù)活動實(shí)施等相關(guān)工作，

此外，該標(biāo)準(zhǔn)還可為ISMS審核認(rèn)證機(jī)構(gòu)或內(nèi)部審核組織提供審核員管理指

南，幫助其對ISMS審核員實(shí)施有效管理，對ISMS審核員的能力進(jìn)行定期評價，

以督促審核員能力的不斷提升。

六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

該標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC27007:2017《信息技術(shù)安全技術(shù)信息

安全管理體系審核指南》。

該標(biāo)準(zhǔn)宜與ISO19011:2011中包含的指南一起使用。該標(biāo)準(zhǔn)遵循ISO

19011:2011的結(jié)構(gòu)，在ISMS審核中應(yīng)用GB/T19011—2013實(shí)施的ISMS特定指南，

用字母“IS”加以標(biāo)識。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

該標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求。

該標(biāo)準(zhǔn)與現(xiàn)有國家標(biāo)準(zhǔn)不矛盾、不沖突，也不重復(fù)。

八、重大分歧意見的處理經(jīng)過和依據(jù)

無。

九、標(biāo)準(zhǔn)性質(zhì)的建議

根據(jù)該標(biāo)準(zhǔn)的性質(zhì)，建議該標(biāo)準(zhǔn)為推薦性標(biāo)準(zhǔn)。

十、貫徹標(biāo)準(zhǔn)的要求和措施建議

該標(biāo)準(zhǔn)是信息安全管理體系的基礎(chǔ)性標(biāo)準(zhǔn)，是ISMS審核人員開展ISMS審核工

作的基本工具，因此建議在所有ISMS審核人員（包括內(nèi)部審核人員和外部審核人

員）中進(jìn)行宣貫和培訓(xùn)。

十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

建議該標(biāo)準(zhǔn)替代《信息安全技術(shù)信息安全管理體系審核指南》（GB/T

284