信息技術 安全技術 信息安全管理 監(jiān)視、測量、分析和評價-編制說明

國家標準（征求意見稿）編制說明

一、工作簡況

1任務來源

根據國家標準化管理委員會2023年下達的國家標準制修訂計劃，《信息技

術安全技術信息安全管理監(jiān)視、測量、分析和評價》由中國電子技術標準化

研究院負責承辦，計劃號：20230261-T-469。本標準由全國信息安全標準化技術

委員會歸口管理。

2主要起草單位和工作組成員

本項目由中國電子技術標準化研究院牽頭，參與起草單位包括中國合格評

定國家認可中心、北京賽西認證有限責任公司、杭州安恒信息技術股份有限公司、

北京郵電大學、上海三零衛(wèi)士信息安全有限公司、山東道普測評技術有限公司、

中電長城網際系統(tǒng)應用有限公司、華為技術有限公司、中國科學院信息工程研究

所、西安電子科技大學、重慶郵電大學、中國網絡安全審查技術與認證中心、國

家信息安全工業(yè)發(fā)展研究中心、北京中關村實驗室、上海觀安信息技術股份有限

公司、北京天融信網絡安全技術有限公司、國家計算機網絡應急技術處理協(xié)調中

心、公安部第三研究所、山東正中信息技術股份有限公司、啟明星辰信息技術集

團股份有限公司、西安交大捷普網絡技術有限公司、國網新疆電力有限公司電力

科學研究院、廣東省信息安全測評中心、長揚科技（北京）有限公司等。

主要起草人中，上官曉麗、王惠蒞負責標準總體編制、修改和推進，付志

高、許玉娜、王東濱、周亞超、趙麗華、閔京華、史文征、張東舉、干露、邵萌、

劉俊榮、謝江、馬文平、黃永洪、魏立茹、陳雪鴻、楊光、張靜、崔牧凡、郭峰、

呂明、陳長松、何建鋒、鄒振婉、葉勁宏、趙華等人負責標準具體章節(jié)的編寫。

3主要工作過程

標準制定的主要工作過程如下：

1）立項申請

2020年11月至2021年4月，標準編制團隊啟動標準修訂工作。編制組

1

國家標準（征求意見稿）編制說明

對國內實施信息安全管理體系的機構的現(xiàn)狀進行調研，收集國內外相關領域的文

件資料，跟蹤研究國內行業(yè)對信息安全管理體系實施標準的要求以及相關文件，

并初步翻譯形成標準草案。按照信安標委2021年國家標準項目申報要求提交了

2021年立項國家標準制定項目立項申請。

2021年5月，標準編制組在信安標委WG7會議周上進行立項匯報并通

過。會后，根據工作組成員單位專家意見組織編制組討論并繼續(xù)完善草案內容。

2）草案完善

2021年8月，根據《全國信息安全標準化技術委員會關于2021年網絡安

全標準項目立項的通知》（信安字[2021]14號）發(fā)布的通知，本標準正式獲批

為2021年網絡安全標準制定項目。

2021年8月至10月，征集標準編制單位，共收集21家單位提交的申請材

料并對申請的參編單位進行了遴選。同期征求責任專家意見，并進行了修改。10

月下旬召開標準編制啟動會，11月初召開編制組工作會，對標準草案進行進一

步修改完善。11月中旬，標準編制組參加了全國信安標委WG7標準周活動，并

在會上匯報了標準內容和進展，經投票建議轉為征求意見稿。

3）形成征求意見稿

2021年12月至2022年9月，標準編制組進一步討論修改后形成征求意見

稿。期間，國際標準化組織ISO/IECJTC1SC27對標準采標的ISO/IEC27004：

2016進行復審，并在8月份得出繼續(xù)有效的結論。

2022年10月上中旬，責任專家和責任編輯對標準提出了修改意見，編制組

進一步修改完善。2022年10月31日，編制組參加了信安標委秘書處組織的專

家審查會，通過審查并根據專家意見進一步修改完善。

二、標準編制原則和確定主要內容的論據及解決的主要問題

1編制原則

本標準為修訂項目，在編制過程中遵循了標準采標所采用的信達雅的原則，

并注重同我國的認證實際相結合。

2

國家標準（征求意見稿）編制說明

2確定主要內容的論據及解決的主要問題

本標準項目旨在幫助組織評價信息安全績效和信息安全管理體系的有效

性，以滿足GB/T22080:2016中9.1監(jiān)視、測量、分析和評價的要求。

信息安全管理體系(ISMS)的監(jiān)視和測量結果可以為與ISMS的治理、管理、

有效運行和持續(xù)改進有關的決策提供支持。

信息安全管理體系標準族（InformationSecurityManagementSystem，簡稱

ISMS）是國際信息安全技術標準化組織（ISO/IECJTC1SC27）制定的信息安全

管理體系系列國際標準。ISMS已成為世界各國、各種類型、各種規(guī)模的組織解

決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證

明其信息安全水平和能力的一種有效途徑。信息安全管理體系理念已被我國廣泛

采用，相關標準也已被我國采標推廣使用，本標準主要在于與我國已采標的信息

安全管理體系相關標準保持一致，并在翻譯過程中注意文字要準確表達英文原文

意思。目前ISMS已經成為國內外各組織加強自身信息安全管理的重要手段，尤

其是隨著云計算、大數據、人工智能等新技術新應用的發(fā)展，如何指導組織自身

ISMS的建設，尤其是在電力、交通、水利等關鍵信息基礎設施行業(yè)和領域，也

可指導運營者構建較為完善的信息安全管理體系。

本標準項目為對GB/T31497—2015《信息技術安全技術信息安全管理體

系測量》的修訂項目，等同采用國際標準ISO/IEC27004：2016《信息技術安

全技術信息安全管理體系監(jiān)視、測量、分析和評價》。

ISO/IEC27004為ISO/IEC27001《信息技術安全技術信息安全管理體系

要求》的配套標準，對其中測量的部分進一步細化。ISO/IEC27001在2013年修

訂后，ISO/IEC27004也隨之修訂，并根據其9.1的要求進行了更新。因此，本

標準項目也需按照ISO/IEC27004的更新對GB/T31497—2015進行修訂。標準

作為ISMS標準族中的重要標準，在國際國外和國內得到廣泛應用。

修訂的主要內容：

——根據GB/T22080—2016的9.1修改了本標準的標題和范圍；

——根據GB/T22080—2016的9.1調整了本標準的結構；

——根據GB/T22080—2016的正文修改了附錄B。

3

國家標準（征求意見稿）編制說明

三、主要試驗[或驗證]情況分析

本標準為采標國際標準，未進行試點。編制組內部編制成員研究驗證，最終

形成現(xiàn)行版本。

四、知識產權情況說明

本標準不涉及專利。

五、產業(yè)化情況、推廣應用論證和預期達到的經濟效果

標準可有利于信息安全管理體系在我國國內的進一步推廣，有利于提高各種

類型組織的信息安全管理能力。

六、采用國際標準和國外先進標準情況

標準等同采用國際標準ISO/IEC27004:2016《信息技術安全技術信息安

全管理體系監(jiān)視、測量、分析和評價》。

七、與現(xiàn)行法律法規(guī)、法規(guī)、規(guī)章及相關標準的協(xié)調性

本標準符合現(xiàn)有法律法規(guī)的要求，并與現(xiàn)有相關標準協(xié)調一致。本標準中引

用的部分標準已被等同采用為國家標準，包括：

GB/T22080—2016信息技術安全技術信息安全管理體系要求

（ISO/IEC27001:2013，IDT）

GB/T28450—2020，信息技術安全技術信息安全管理體系審核指南

（ISO/IEC27007:2017）

GB/T29246—2017信息技術安全技術信息安全管理體系概述和詞匯

（ISO/IEC27000:2016，IDT）

GB/T31497—2015信息技術安全技術信息安全管理測量（ISO/IEC

4

國家標準（征求意見稿）編制說明

27004:2009）

GB/T31722—2015，信息技術安全技術信息安全風險管理（ISO/IEC

27005:2008）

GB/Z32916—2016信息技術安全技術信息安全控制措施審核員指南

（ISO/IECTR27008:2011，IDT）

八、重大分歧意見的處理經過和依據

無。

九、標準性質的建議

建議本標準作為推薦性國家標準發(fā)布實施。

十、貫徹標準的要求和措施建議

在正式執(zhí)行本標準前，需要對標準中的條款進行宣貫，以在利益相關方之間

達成對標準條款理解上的一致性。

十一、替代或廢止現(xiàn)行相關標準的建議

無。

十二、其他應予說明的事項

無。

標準編制組

2023年3月

5

國家標準（征求意見稿）編制說明

一、工作簡況

1任務來源

根據國家標準化管理委員會2023年下達的國家標準制修訂計劃，《信息技

術安全技術信息安全管理監(jiān)視、測量、分析和評價》由中國電子技術標準化

研究院負責承辦，計劃號：20230261-T-469。本標準由全國信息安全標準化技術

委員會歸口管理。

2主要起草單位和工作組成員

本項目由中國電子技術標準化研究院牽頭，參與起草單位包括中國合格評

定國家認可中心、北京賽西認證有限責任公司、杭州安恒信息技術股份有限公司、

北京郵電大學、上海三零衛(wèi)士信息安全有限公司、山東道普測評技術有限公司、

中電長城網際系統(tǒng)應用有限公司、華為技術有限公司、中國科學院信息工程研究

所、西安電子科技大學、重慶郵電大學、中國網絡安全審查技術與認證中心、國

家信息安全工業(yè)發(fā)展研究中心、北京中關村實驗室、上海觀安信息技術股份有限

公司、北京天融信網絡安全技術有限公司、國家計算機網絡應急技術處理協(xié)調中

心、公安部第三研究所、山東正中信息技術股份有限公司、啟明星辰信息技術集

團股份有限公司、西安交大捷普網絡技術有限公司、國網新疆電力有限公司電力

科學研究院、廣東省信息安全測評中心、長揚科技（北京）有限公司等。

主要起草人中，上官曉麗、王惠蒞負責標準總體編制、修改和推進，付志

高、許玉娜、王東濱、周亞超、趙麗華、閔京華、史文征、張東舉、干露、邵萌、

劉俊榮、謝江、馬文平、黃永洪、魏立茹、陳雪鴻、楊光、張靜、崔牧凡、郭峰、

呂明、陳長松、何建鋒、鄒振婉、葉勁宏、趙華等人負責標準具體章節(jié)的編寫。

3主要工作過程

標準制定的主要工作過程如下：

1）立項申請

2020年11月至2021年4月，標準編制團隊啟動標準修訂工作。編制組

1

國家標準（征求意見稿）編制說明

對國內實施信息安全管理體系的機構的現(xiàn)狀進行調研，收集國內外相關領域的文

件資料，跟蹤研究國內行業(yè)對信息安全管理體系實施標準的要求以及相關文件，

并初步翻譯形成標準草案。按照信安標委2021年國家標準項目申報要求提交了

2021年立項國家標準制定項目立項申請。

2021年5月，標準編制組在信安標委WG7會議周上進行立項匯報并通

過。會后，根據工作組成員單位專家意見組織編制組討論并繼續(xù)完善草案內容。

2）草案完善

2021年8月，根據《全國信息安全標準化技術委員會關于2021年網絡安

全標準項目立項的通知》（信安字[2021]14號）發(fā)布的通知，本標準正式獲批

為2021年網絡安全標準制定項目。

2021年8月至10月，征集標準編制單位，共收集21家單位提交的申請材

料并對申請的參編單位進行了遴選。同期征求責任專家意見，并進行了修改。10

月下旬召開標準編制啟動會，11月初召開編制組工作會，對標準草案進行進一

步修改完善。11月中旬，標準編制組參加了全國信安標委WG7標準周活動，并

在會上匯報了標準內容和進展，經投票建議轉為征求意見稿。

3）形成征求意見稿

2021年12月至2022年9月，標準編制組進一步討論修改后形成征求意見

稿。期間，國際標準化組織ISO/IECJTC1SC27對標準采標的ISO/IEC27004：

2016進行復審，并在8月份得出繼續(xù)有效的結論。

2022年10月上中旬，責任專家和責任編輯對標準提出了修改意見，編制組

進一步修改完善。2022年10月31日，編制組參加了信安標委秘書處組織的專

家審查會，通過審查并根據專家意見進一步修改完善。

二、標準編制原則和確定主要內容的論據及解決的主要問題

1編制原則

本標準為修訂項目，在編制過程中遵循了標準采標所采用的信達雅的原則，

并注重同我國的認證實際相結合。

2

國家標準（征求意見稿）編制說明

2確定主要內容的論據及解決的主要問題

本標準項目旨在幫助組織評價信息安全績效和信息安全管理體系的有效

性，以滿足GB/T22080:2016中9.1監(jiān)視、測量、分析和評價的要求。

信息安全管理體系(ISMS)的監(jiān)視和測量結果可以為與ISMS的治理、管理、

有效運行和持續(xù)改進有關的決策提供支持。

信息安全管理體系標準族（InformationSecurityManagementSystem，簡稱

ISMS）是國際信息安全技術標準化組織（ISO/IECJTC1SC27）制定的信息安全

管理體系系列國際標準。ISMS已成為世界各國、各種類型、各種規(guī)模的組織解

決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證

明其信息安全水平和能力的一種有效途徑。信息安全管理體系理念已被我國廣泛

采用，相關標準也已被我國采標推廣使用，本標準主要在于與我國已采標的信息

安全管理體系相關標準保持一致，并在翻譯過