《信息技術(shù) 安全技術(shù) 信息安全控制措施審核員指南》編制說明

一、工作簡況

1.1任務(wù)來源：

《信息技術(shù)安全技術(shù)信息安全控制措施審核員指南》是全國信息安全標準

化技術(shù)委員會（全國信息安全標準化技術(shù)委員會秘書處）2012年下達的信息安

全國家標準制定項目，由中國電子技術(shù)標準化研究院主要負責起草。工業(yè)和信息

化部電子第五研究所、中國合格評定國家認可中心、北京賽西認證有限責任公司、

北京時代新威信息技術(shù)有限公司等單位共同參與了該技術(shù)規(guī)范的起草工作。本指

導(dǎo)性技術(shù)文件由全國信息安全標準化技術(shù)委員秘書處提出并歸口，由中國電子技

術(shù)標準化研究院承擔。

1.2主要工作過程：

1.2012.12-2013.3系統(tǒng)化查閱并梳理標準法、審計法、安全法、認證認可

條例等文件與信息安全相關(guān)內(nèi)容的總結(jié)，提出標準草案。

2.2013.4-2013.6對已形成的《信息技術(shù)安全技術(shù)信息安全控制措施審核

員指南》標準草案組織兩次專家項目組內(nèi)部評審，并就技術(shù)性翻譯和標準中信息

技術(shù)說明進行了修訂。專家來自中國合格評定國家認可委員會、工業(yè)和信息化部

電子第五研究所、中國電子技術(shù)標準化研究院等。

3.2013.7--2013.11草案組內(nèi)專家評審會，會后按照專家意見對文本進行

了修改完善，形成了第二版草案文本。

4.2013.12-2013.12通過了安標委WG7組的草案專家審查會。會后按照專家

意見，對文本進行了修改完善，形成了最終草案文本。

5．2014年3月18日通過WG7組全體成員單位投票，投票通過率100%。會

后根據(jù)各成員單位意見對標準草案文本進行了修改完善，形成標準征求意見稿文

本。

二、編制原則和主要內(nèi)容

2.1編制原則：

《信息技術(shù)安全技術(shù)信息安全控制措施審核員指南》是信息安全管理體系

標準族中標準之一。目前，我國在參考借鑒國際信息安全管理體系標準族

（ISO/IEC27000系列）的基礎(chǔ)上，等同轉(zhuǎn)化了ISO/IEC27001:2005《信息技術(shù)

安全技術(shù)信息安全管理體系要求》（對應(yīng)國家標準GB/T22080:2008）、ISO/IEC

27002:2005《信息技術(shù)安全技術(shù)信息安全管理使用規(guī)則》（對應(yīng)國家標準GB/T

22081:2008）、ISO/IEC27006:2007《信息技術(shù)安全技術(shù)信息安全管理體系認

證機構(gòu)認可要求》（對應(yīng)國家標準GB/T25067-2010）和ISO/IEC27007:2007《信

息安全管理體系審核指南》（對應(yīng)國家標準GB/T28450-2012），為國內(nèi)各機構(gòu)開

展信息安全管理體系認證工作提供了依據(jù)和技術(shù)支撐。

本指導(dǎo)性技術(shù)文件編制過程中，按照GB/T1.1-2009給出的規(guī)則起草，同

時參考國家、信息安全相關(guān)法律、法規(guī)和標準的要求實施。鑒于該技術(shù)規(guī)范在整

個信息安全管理體系標準族中的定位是一個技術(shù)性、指導(dǎo)性的標準，對于指導(dǎo)用

戶了解和落實該系列標準具有重要的作用；結(jié)合我國信息安全管理體系相關(guān)標準

的研制現(xiàn)狀，從國際信息安全管理體系系列標準轉(zhuǎn)化的完整性上講，應(yīng)為國內(nèi)標

準用戶提供一份標準前后內(nèi)容一致的參考指南。鑒于此編制組決定本指導(dǎo)性技術(shù)

文件等同采用國際標準ISO/IEC27008:2011《信息技術(shù)安全技術(shù)審核員信息

安全控制措施審核指南》。

2.2主要內(nèi)容

本指導(dǎo)性技術(shù)文件是對GB/T22080—2008ISMS要求（ISO27001:2005

IDT）、GB/T22081—2008ISMS實施規(guī)范（ISO27002:2005IDT）、GB/Txxxxxx

—yyyy（ISO/IEC27007:2008IDT）信息安全管理體系審核指南相關(guān)審核活動的

技術(shù)性補充，定位為對信息安全管理體系安全控制措施審核提供技術(shù)性指南。

本指導(dǎo)性技術(shù)文件主要框架如下：

前言

引言

1．范圍

2．規(guī)范性引用文件

3．術(shù)語和定義

4．技術(shù)報告的結(jié)構(gòu)

5．背景

6．信息安全控制措施評審概述

6.1評審過程

6.2資源配置

7．評審方法

7.1概述

7.2評審方法：檢查

7.2.1概述

7.2.2屬性

7.3評審方法：訪談

7.3.1概述

7.3.2深度屬性

7.3.3廣度屬性

7.4評審方法：測試

7.4.1概述

7.4.2測試類型

7.4.3擴展的評審規(guī)程

8活動

8.1準備

8.2制定計劃

8.2.1概述

8.2.2范圍

8.2.3評審規(guī)程

8.2.4與對象有關(guān)的考慮

8.2.5以往的發(fā)現(xiàn)

8.2.6工作分配

8.2.7外部系統(tǒng)

8.2.8信息資產(chǎn)和組織

8.2.9擴展的評審程序

8.2.10優(yōu)化

8.2.11定稿

8.3實施評審

8.4分析并報告結(jié)果

附錄A（資料性附錄）技術(shù)符合性檢查實踐指南

附錄B（資料性附錄）初始信息收集（除信息技術(shù)以外）

B.1人力資源和安全

B.2策略

B.3組織

B.4物理和環(huán)境安全

B.5事件管理

上整體框架中，重點內(nèi)容為：

要素說明

6.1信息安全管理體系的評審是一個系統(tǒng)的過程,評審過程包括收集相關(guān)信息,

評審過程評審工作計劃的范圍,聯(lián)絡(luò)管理人員和組織相關(guān)部門負責人,評審風險評估

等活動。

6.2對信息安全控制措施的評審，審核員應(yīng)具備相應(yīng)的對風險和安全進行評價的

資源配備能力、知識和經(jīng)驗。同時為實現(xiàn)評審目標，在要求范圍內(nèi)實施評審卻未具有

相應(yīng)的能力，應(yīng)安排技術(shù)專家和資源。

7.2檢查、檢驗、評審、觀察、研究或者分析一個或多個評審對象以便理解、澄

評審方法:檢清或獲取證據(jù)的過程及其結(jié)果是用來支持確定評審區(qū)間內(nèi)存在控制措施，及

查其功能性、正確性、完整性和潛在改進的可能性。

檢查的對象通常包括：規(guī)范、機理和過程。

評審的檢查活動包括審核員在審核過程中的各類觀察活動。

檢查的分類有：一般性檢查、重點檢查、詳盡檢查、典型檢查、特定檢查和

全面檢查。

7.3訪談是指與組織內(nèi)的個人或者小組進行討論，以便于理解、澄清或者找到證

評審方法:訪據(jù)出處的過程。訪談的結(jié)果用于支持確定信息安全控制措施的存在、功能性、

談?wù)_性、完整性以及潛在的持續(xù)改進。

訪談的對象包括一個組織中各類可能與信息安全有關(guān)聯(lián)的人員。

訪談的深度屬性分類有：一般訪談、重點訪談、詳盡訪談。

廣度屬性指的是訪談過程的范圍或者寬度，屬性包括被訪談的人員，人員數(shù)

量，以及某些特定的人員。具體的訪談方式有：典型訪談、特定訪談和全面

訪談。

7.4測試是指在規(guī)定條件下運行一個或多個評審對象，并將實際情況與期望的行

評審方法:測為進行對比的過程。其結(jié)果用來支持確定信息安全控制措施的存在、功能性、

試正確性、完整性以及潛在的持續(xù)改進。

測試必須由有能力的專家來執(zhí)行，執(zhí)行的同時須考慮各種因素和技術(shù)性環(huán)境

且得到管理層的批準。測試的活動包括信息安全管理體系及其要求或功能或

活動等。

測試的類型：盲測，雙盲測，灰盒測試、雙灰盒測試、透明測試、逆向測試。

8.1為獲得可接受的結(jié)論，重要的是在評審前、評審中和評審后建立并保持一組

準備適當?shù)钠谕?。這意味著為管理層提供信息，使其能夠針對如何最佳地實現(xiàn)和

運行信息系統(tǒng)做出合理的、基于風險的決策。組織和審核員的充分準備是進

行有效評審的重要環(huán)節(jié)。準備活動宜關(guān)注一系列與成本、進度、專業(yè)知識的

可用性和評審績效等相關(guān)的問題。

8.2制定評審控制措施計劃的審核員宜確定控制措施評審的類型（例如，完整評

制定計劃審或部分評審），以及基于評審的范圍和目的確定評審中將包含哪些控制措

施/控制措施增強。審核員宜評估和降低評審活動對組織正常運營的風險和影

響（可能時），并基于評審中所涉及的控制措施和控制措施增強以及它們關(guān)

聯(lián)的深度和覆蓋范圍，選擇合適的評審規(guī)程。

8.3實施評組織批準評審計劃后，審核員根據(jù)商定的里程碑和日程執(zhí)行計劃。針對已選

審擇的評審對象應(yīng)用設(shè)定的評審方法，并收集/形成與每個評審目標決策相關(guān)

的必要信息，以此實現(xiàn)評審目的。

8.4分析并評審報告作為評審輸出和最終評審結(jié)果，記錄了基于已實現(xiàn)的信息安全控制

報告結(jié)果措施的信息安全保障水平。報告內(nèi)容包括審核員作出的判斷所使用控制措施

有效性的必要信息以及基于其發(fā)現(xiàn)所作出的組織在實施所選擇和適當?shù)目?/p>

制措施時的整體有效性的信息。

附錄附錄A為技術(shù)符合性檢查實踐指南，且給安全實施標準提供了符合性檢查程

A序?！霸O(shè)想的證據(jù)”給出了一些系統(tǒng)、文件、文件或其他物品的例子，可被

視為符合性檢查程序的“證據(jù)”?！胺椒ā碧峁┝艘环N合適的與以上實踐

指南一致的技術(shù)符合性檢查方法。

本附件不為技術(shù)符合性檢查提供詳盡的實踐指南，但將仍盡最大可能地幫助

組織評審安全實施標準是否適當?shù)貙崿F(xiàn)或運行。

1.防范惡意代碼控制措施的技術(shù)性檢查；

2.審計記錄控制措施的技術(shù)性檢查；

3.特殊權(quán)限管理控制措施的技術(shù)性檢查；

4.備份控制措施的技術(shù)性檢查；

5.網(wǎng)絡(luò)安全管理控制措施的技術(shù)性檢查；

6.用戶職責責任控制措施技術(shù)性檢查。

附錄信息安全審核組組長應(yīng)在相應(yīng)信息安全領(lǐng)域分配有相應(yīng)能力和經(jīng)驗的信息

B安全控制措施評審審核員。

1.人力資源和安全

2.策略

3．組織

4.物理環(huán)境安全

5.事件管理

三、主要試驗（或驗證）的分析、綜述報告，技術(shù)經(jīng)濟論證，預(yù)期的經(jīng)濟效果

本指導(dǎo)性技術(shù)文件制定與目前國家開展信息安全管理體系認證工作緊密相

關(guān)，作為了解和實施信息安全管理體系標準族的技術(shù)標準之一，本指導(dǎo)性技術(shù)文

件與ISO/IEC27007相互補充，相輔相成。為按照風險評估的結(jié)果所選擇的控制

措施提供了審核的指導(dǎo)；同時標準提供了對運營和實施控制措施是否符合組織已

建立的信息安全標準審核的指南，包括信息系統(tǒng)控制措施的技術(shù)符合性檢查。本

指導(dǎo)性技術(shù)文件有利于用戶根據(jù)需要，選擇不同的技術(shù)進行實施，以保障信息安

全控制措施評審的有效性。本指導(dǎo)性技術(shù)文件作為基礎(chǔ)標準，不與直接的經(jīng)濟效

益掛鉤，但作為了解和掌握ISMS標準族，有效地促進國家信息安全管理體系認

證工作來講，具有基礎(chǔ)而重要的意義。

四、采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的

對比情況，或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況

本指導(dǎo)性技術(shù)文件等同采用ISO/IECTR27008:2011，在標準轉(zhuǎn)換期間為準

確定義術(shù)語以及對信息安全管理體系審核技術(shù)正確把握，參考了如下國家標準或

未等同采用的國際標準：

GB/T25069-2010《信息安全技術(shù)術(shù)語》

ISO/IEC27000:概述和詞匯

GB/T22080—2008idtISO27001:2005ISMS要求

GB/T22081—2008idtISO27002:2005ISMS實施規(guī)范

ISO/IEC27003:2008ISMS實施指南

ISO/IEC27004:2009指標與測量

ISO/IEC27005:2008風險管理

ISO/IEC27006:2006認證機構(gòu)的認可要求

ISO/IEC27007:2007信息安全管理體系審核指南

GB/T19000-2008idtISO9000:2005質(zhì)量管理體系基礎(chǔ)和術(shù)語

GB/T19001-2008idtISO9001:2008質(zhì)量管理體系要求

GB/T19004-2000idtISO9004:2000質(zhì)量管理體系過程控制能力

GB/T19011-2003idtISO19011:2002質(zhì)量/或環(huán)境管理體系審核指南

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標準的關(guān)系

本指導(dǎo)性技術(shù)文件嚴格按照《中華人民共和國標準化法》的規(guī)定進行轉(zhuǎn)換。

按照GB/T1.1-2009《標準化工作導(dǎo)則第1部分：標準的結(jié)構(gòu)和編寫》給出的

規(guī)則起草。本指導(dǎo)性技術(shù)文件是GB/T22081—2008ISMS實施規(guī)范（ISO

27002:2005IDT）對組織進行審核活動的具體要求，同時也是對其進行支持的

技術(shù)性報告。

本指導(dǎo)性技術(shù)文件為推廣性技術(shù)報告，轉(zhuǎn)換時嚴格按照中國有關(guān)的現(xiàn)行法

律、法規(guī)和強制性國家標準的要求進行，內(nèi)容均符合中國現(xiàn)行有關(guān)法律、法規(guī)的

規(guī)定，標準所提供的控制措施審核方案、技術(shù)或建議等均為技術(shù)性指南。

六、重大分歧意見的