信息技術(shù) 安全技術(shù) 信息安全管理體系審核指南-編制說明

國家標(biāo)準(zhǔn)報批稿資料一、工作簡況1、任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會2018年下達(dá)的國家標(biāo)準(zhǔn)制修訂計劃：《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》，該標(biāo)準(zhǔn)由北京時代新威信息技術(shù)有限公司負(fù)責(zé)承辦，計劃號：2018BZXD-WG7-001。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口管理。2、主要起草單位和工作組成員該標(biāo)準(zhǔn)由北京時代新威信息技術(shù)有限公司主要負(fù)責(zé)起草，協(xié)作起草單位為中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、全國組織機構(gòu)統(tǒng)一社會信用代碼數(shù)據(jù)服務(wù)中心，主要起草人：王新杰、王連強、鄭瑋、陳劍博、張劍、程瑜琦、上官曉麗、王姣、孫鎮(zhèn)、趙捷、孫泰、李晟飛。其中，王新杰、王連強、張劍、上官曉麗、孫鎮(zhèn)、趙捷負(fù)責(zé)編制過程總體領(lǐng)導(dǎo)，標(biāo)準(zhǔn)前言的編寫，以及全文校對；鄭瑋、陳劍博、程瑜琦、王姣、孫泰、李晟飛負(fù)責(zé)標(biāo)準(zhǔn)正文編寫以及相關(guān)背景資料的調(diào)研。3、主要工作過程標(biāo)準(zhǔn)制定的主要工作過程如下：成立編制組。2018年8月，接到全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會關(guān)于標(biāo)準(zhǔn)制定任務(wù)之后，課題組負(fù)責(zé)人隨即召集標(biāo)準(zhǔn)編制組的相關(guān)成員開會，具體討論和分配了小組的任務(wù)、標(biāo)準(zhǔn)修訂的重要事項以及需注意的事項。形成標(biāo)準(zhǔn)草案。2018年8月-9月，標(biāo)準(zhǔn)編制組開展信息安全管理體系審核指南的研究。標(biāo)準(zhǔn)編制組分析梳理了國內(nèi)外信息安全管理體系審核指南的應(yīng)用情況，對ISO/IEC27007標(biāo)準(zhǔn)等文檔進(jìn)行了深入研究，據(jù)此編制完成《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》標(biāo)準(zhǔn)草案。2018年10月18日，召開專家評審會，就標(biāo)準(zhǔn)草案征求部分專家意見，并根據(jù)意見對草案進(jìn)行了修改完善。形成標(biāo)準(zhǔn)征求意見稿。2018年10月24日-26日，WG7工作組面向全體工作組成員單位進(jìn)行草案標(biāo)準(zhǔn)投票，表決通過，工作組建議形成征求意見稿。標(biāo)準(zhǔn)編制組根據(jù)意見進(jìn)行修改完善，形成征求意見稿第一稿。2018年11月28日，WG7開展工作組標(biāo)準(zhǔn)審查，編制組根據(jù)審查意見對標(biāo)準(zhǔn)征求意見稿進(jìn)行了修改完善。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題1、標(biāo)準(zhǔn)編制原則本標(biāo)準(zhǔn)在編制過程中遵循了等同采用、準(zhǔn)確理解和語言通暢的原則。等同采用：基于目前國內(nèi)對國際ISMS標(biāo)準(zhǔn)族相關(guān)標(biāo)準(zhǔn)的研究和轉(zhuǎn)化情況，以及我國整體信息安全管理理論和技術(shù)發(fā)展現(xiàn)狀，決定等同采用國際標(biāo)準(zhǔn)ISO/IEC27007《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》最新版本。準(zhǔn)確理解：在充分理解國際標(biāo)準(zhǔn)原文的基礎(chǔ)上進(jìn)行等同翻譯，做到準(zhǔn)確表達(dá)原意。語言通暢：在等同翻譯時，盡量符合中文的語言習(xí)慣，做到表述通暢。2、標(biāo)準(zhǔn)解決的問題及主要內(nèi)容國家標(biāo)準(zhǔn)《信息安全技術(shù)信息安全管理體系審核指南》（GB/T28450-2012）所引用的《質(zhì)量和（或）環(huán)境管理體系審核指南》（GB/T19011-2003）和《信息安全安全技術(shù)信息安全管理體系要求》（GB/T22080-2008）均已修訂，管理體系審核的基本流程、思路和方法已調(diào)整，且審核對象的內(nèi)容也隨著GB/T22080的修訂發(fā)生了變化，因此亟需制定并發(fā)布新版國家標(biāo)準(zhǔn)《信息安全管理體系審核指南》。國際標(biāo)準(zhǔn)化組織也于2017年10月發(fā)布了新版標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》（ISO/IEC27007:2017）。因此，為給我國ISMS審核認(rèn)證機構(gòu)及審核人員實施ISMS體系審核提供更加成熟的方法論和指導(dǎo)，有必要等同采納國際標(biāo)準(zhǔn)，重新修訂GB/T28450-2012，為ISMS相關(guān)技術(shù)和應(yīng)用提供最新的基礎(chǔ)標(biāo)準(zhǔn)支撐。該標(biāo)準(zhǔn)在GB/T19011—2013的基礎(chǔ)上，為信息安全管理體系（InformationSecurityManagementSystem，以下簡稱ISMS）審核方案管理、審核實施提供了指南，并對ISMS審核員能力提供了評價指南。該標(biāo)準(zhǔn)適用于需要理解或?qū)嵤㊣SMS的內(nèi)部或外部審核，或需要管理ISMS審核方案的所有組織。三、主要試驗[或驗證]情況分析標(biāo)準(zhǔn)編制組已請中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心等認(rèn)證機構(gòu)對《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》進(jìn)行了試用，標(biāo)準(zhǔn)試用效果良好。四、知識產(chǎn)權(quán)情況說明本標(biāo)準(zhǔn)不涉及專利。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟效果該標(biāo)準(zhǔn)作為實施指南，可為ISMS審核認(rèn)證機構(gòu)或內(nèi)部審核組織的審核人員提供ISMS審核（包括外部審核和內(nèi)部審核）的指南，幫助其完成審核方案管理、審核啟動、審核活動準(zhǔn)備、審核活動實施、審核報告編制和分發(fā)、審核完成、審核后續(xù)活動實施等相關(guān)工作，此外，該標(biāo)準(zhǔn)還可為ISMS審核認(rèn)證機構(gòu)或內(nèi)部審核組織提供審核員管理指南，幫助其對ISMS審核員實施有效管理，對ISMS審核員的能力進(jìn)行定期評價，以督促審核員能力的不斷提升。六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況該標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC27007:2017《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》。該標(biāo)準(zhǔn)宜與ISO19011:2011中包含的指南一起使用。該標(biāo)準(zhǔn)遵循ISO19011:2011的結(jié)構(gòu)，在ISMS審核中應(yīng)用GB/T19011—2013實施的ISMS特定指南，用字母“IS”加以標(biāo)識。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性該標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求。該標(biāo)準(zhǔn)與現(xiàn)有國家標(biāo)準(zhǔn)不矛盾、不沖突，也不重復(fù)。八、重大分歧意見的處理經(jīng)過和依據(jù)無。九、標(biāo)準(zhǔn)性質(zhì)的建議根據(jù)該標(biāo)準(zhǔn)的性質(zhì)，建議該標(biāo)準(zhǔn)為推薦性標(biāo)準(zhǔn)。十、貫徹標(biāo)準(zhǔn)的要求和措施建議該標(biāo)準(zhǔn)是信息安全管理體系的基礎(chǔ)性標(biāo)準(zhǔn)，是ISMS審核人員開展ISMS審核工作的基本工具，因此建議在所有ISMS審核人員（包括內(nèi)部審核人員和外部審核人員）中進(jìn)行宣貫和培訓(xùn)。十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議建議該標(biāo)準(zhǔn)替代《信息安全技術(shù)信息安全管理體系審核指南》（GB/T28450-2012）。十二、其它應(yīng)予說明的事項無。國家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》（征求意見稿）編制說明國家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》（征求意見稿）編制說明國家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系審