文档介绍:ICS
L80
OB
中华人民共和
家标准
GB/T 28450—XXXX/1 SO/1 EC 27007:2017
代替 GB/T 28450—2012
信息技术安全技术信息安全管理体系审
核指南
Information technology—Security techniques—Guidelines for
Information Security Management Systems Auditing
(征求意见稿)
XXXX — XX — XX 发布
XXXX — XX — XX 实施
體器彎瞬欝怦发布
目 次
.、八 > - 丁
刖旨 I
引言 II
1范围 1
2规范性引用文件 1
3术语和定义 1
4审核原则 1
5审核方案的管理 1
1
1
2
2
3
4
6实施审核 4
4
4
4
5
5
6
6
7审核员的能力和评价 6
6
6
7
7
进行审核员评价 7
保持并提高审核员能力 7
附录A (资料性附录)ISMS审核实践指南 8
8
8
GB/T 22080文件化信息要求指南 8
9
10
10
ISMS审核指南 10
附录NA (资料性附录)关于部分术语翻译的解释 30
参考文献 32
本标准按照GB/T 1. 1—2009给出的规则起草。
本标准代替GB/T 28450—2012《信息安全技术信息安全管理体系审核指南》。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准与GB/T 28450—2012的主要差异如下:
——重新组织了第5章、第6章和第7章的内容;
——重新组织了附录的内容,删除了原标准的五个附录,增加了附录A: ISMS审核实践指南,与 IS0/IEC 27007:2017附录A保持一致。
——新增了附录NA,对本标准所引用其他标准的一些术语进行了解释。
本标准起草单位:
本标准主要起草人:
本标准提供了下列指南:
1) 信息安全管理体系(ISMS)审核方案的管理;
2) 遵循GB/T 22080实施内部和外部审核;
3) ISMS审核员的能力和评价。
本标准宜与GB/T 19011—2013中包含的指南一起使用。
本标准遵循GB/T 19011—2013的结构,在ISMS审核中应用GB/T 19011—2013实施的ISMS特定指 南,用字母“IS”加以标识。
GB/T 19011—2013提供了关于审核方案管理、管理体系内部或外部审核的实施以及管理体系审核员 的能力和评价的指南。
本标准未说明组织要求,适用于所有用户,包括中小型组织。
信息技术安全技术信息安全管理体系审核指南
1范围
本标准在GB/T 19011—2013的基础上,为信息安全管理体系(Information Security Management System,以下简称ISMS)审核方案管理、审核实施提供了指南,并对ISMS审核员能力提供了评价指 南。
本标准适用于需要理解或实施ISMS的内部或外部审核,或需要管理ISMS审核方案的所有组织。
2规范性引用文件
下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本标 准。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 19011—2013管理体系审核指南
GB/T 29246—2017信息技术安全技术信息安全管理体系概述和词汇
GB/T 22080—2016信息技术安全技术信息安全管理体系要求
3术语和定义
GB/T 19011—2013和GB/T 29246界定的术语和定义适用于本标准。
4审核原则
GB/T 19011—2013的第4章中的原则适用。
5审核方案的管理
GB/T 19011—。并且,以下ISMS特定的指南适用。
IS 5. 1 总则
需要实施审核的组织宜建立审核方案,