標(biāo)準(zhǔn)解讀

《GB/T 22080-2008 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》是中國采用ISO/IEC 27001:2005標(biāo)準(zhǔn)而制定的國家標(biāo)準(zhǔn),主要針對組織如何建立、實施、維護和持續(xù)改進信息安全管理體系(ISMS)提供了框架。該標(biāo)準(zhǔn)適用于所有類型和規(guī)模的組織,不論其性質(zhì)為何,旨在通過系統(tǒng)的方法來管理信息資產(chǎn)面臨的風(fēng)險,確保信息的機密性、完整性和可用性。

根據(jù)此標(biāo)準(zhǔn),組織需要識別并評估與自身業(yè)務(wù)相關(guān)的安全風(fēng)險,并基于這些風(fēng)險選擇適當(dāng)?shù)目刂拼胧┘右詰?yīng)對。它強調(diào)了領(lǐng)導(dǎo)層的支持對于ISMS成功的重要性,同時也要求定期評審ISMS的有效性以及進行必要的調(diào)整以適應(yīng)內(nèi)外部環(huán)境的變化。此外,還規(guī)定了文件化的要求,包括制定信息安全政策、程序及記錄等,以便為整個體系提供支持。

在具體實施過程中,《GB/T 22080-2008》推薦了一系列最佳實踐指南,覆蓋了從人力資源安全到物理和環(huán)境安全管理等多個方面。例如,在訪問控制領(lǐng)域,它建議采用多層次的身份驗證機制;對于信息系統(tǒng)獲取、開發(fā)與維護,則提倡遵循安全開發(fā)生命周期模型等。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 22080-2016
  • 2008-06-19 頒布
  • 2008-11-01 實施
?正版授權(quán)
GB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求_第1頁
GB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求_第2頁
GB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求_第3頁
GB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求_第4頁
GB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求_第5頁
已閱讀5頁,還剩27頁未讀 繼續(xù)免費閱讀

下載本文檔

GB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求-免費下載試讀頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標(biāo)準(zhǔn)

犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005

信息技術(shù)安全技術(shù)

信息安全管理體系要求

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊—

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋狊狔狊狋犲犿狊—犚犲狇狌犻狉犲犿犲狀狋狊

(ISO/IEC27001:2005,IDT)

20080619發(fā)布20081101實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4信息安全管理體系(ISMS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5管理職責(zé)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6ISMS內(nèi)部審核!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

7ISMS的管理評審!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

8ISMS改進!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

附錄A(規(guī)范性附錄)控制目標(biāo)和控制措施!!!!!!!!!!!!!!!!!!!!!!!9

附錄B(資料性附錄)OECD原則和本標(biāo)準(zhǔn)!!!!!!!!!!!!!!!!!!!!!!!19

附錄C(資料性附錄)GB/T19001—2000,GB/T24001—2004和本標(biāo)準(zhǔn)之間的對照!!!!!20

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005

前言

本標(biāo)準(zhǔn)等同采用ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》,僅有編

輯性修改。

本標(biāo)準(zhǔn)的附錄A是規(guī)范性附錄,附錄B和附錄C是資料性附錄。

本標(biāo)準(zhǔn)由中華人民共和國信息產(chǎn)業(yè)部提出。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口。

本標(biāo)準(zhǔn)由中國電子技術(shù)標(biāo)準(zhǔn)化研究所、上海三零衛(wèi)士有限公司、北京知識安全工程中心、北京市信

息安全測評中心、北京數(shù)字認(rèn)證中心負(fù)責(zé)起草。

本標(biāo)準(zhǔn)主要起草人:上官曉麗、許玉娜、胡嘯、王新杰、趙戰(zhàn)生、王連強、曾波、孔一童、劉海峰、

湯永利、尚小鵬、閔京華。

犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005

引言

0.1總則

本標(biāo)準(zhǔn)用于為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系(InformationSecurity

ManagementSystem,簡稱ISMS)提供模型。采用ISMS應(yīng)當(dāng)是一個組織的一項戰(zhàn)略性決策。一個組

織ISMS的設(shè)計和實施受其需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響,上述

因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需要實施ISMS是本標(biāo)準(zhǔn)所期望的,例如,簡單的情況

可采用簡單的ISMS解決方案。

本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評估。

0.2過程方法

本標(biāo)準(zhǔn)采用過程方法來建立、實施、運行、監(jiān)視、評審、保持和改進組織的ISMS。

為使組織有效運作,需要識別和管理眾多相互關(guān)聯(lián)的活動。通過使用資源和管理,將輸入轉(zhuǎn)化為輸

出的活動可視為過程。通常,一個過程的輸出直接形成下一個過程的輸入。

組織內(nèi)諸過程的系統(tǒng)的應(yīng)用,連同這些過程的識別和相互作用及其管理,可稱之為“過程方法”。

本標(biāo)準(zhǔn)中提出的用于信息安全管理的過程方法鼓勵其用戶強調(diào)以下方面的重要性:

a)理解組織的信息安全要求和建立信息安全方針與目標(biāo)的需要;

b)從組織整體業(yè)務(wù)風(fēng)險的角度,實施和運行控制措施,以管理組織的信息安全風(fēng)險;

c)監(jiān)視和評審ISMS的執(zhí)行情況和有效性;

d)基于客觀測量的持續(xù)改進。

本標(biāo)準(zhǔn)采用了“規(guī)劃(Plan)—實施(Do)—檢查(Check)—處置(Act)”(PDCA)模型,該模型可應(yīng)用

于所有的ISMS過程。圖1說明了ISMS如何把相關(guān)方的信息安全要求和期望作為輸入,并通過必要

的行動和過程,產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。圖1也描述了第4章、第5章、第6章、

第7章和第8章所提出的過程間的聯(lián)系。

圖1應(yīng)用于犐犛犕犛過程的犘犇犆犃模型

犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005

采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南(2002版)1)中所設(shè)置的原則。

本標(biāo)準(zhǔn)為實施OECD指南中規(guī)定的風(fēng)險評估、安全設(shè)計和實施、安全管理和再評估的原則提供了一個

強健的模型。

例1:某些信息安全違規(guī)不至于給組織造成嚴(yán)重的財務(wù)損失和/或使組織陷入困境。這可能是一種

要求。

例2:如果發(fā)生了嚴(yán)重的事件(可能是組織的電子商務(wù)網(wǎng)站被黑客入侵)應(yīng)有經(jīng)充分培訓(xùn)的員工按

照適當(dāng)?shù)囊?guī)程,將事件的影響降至最小。這可能是一種期望。

建立與管理風(fēng)險和改進信息安全有關(guān)的ISMS方針、目標(biāo)、

規(guī)劃(建立ISMS)

過程和規(guī)程,以提供與組織總方針和總目標(biāo)相一致的結(jié)果。

實施(實施和運行ISMS)實施和運行ISMS方針、控制措施、過程和規(guī)程。

對照ISMS方針、目標(biāo)和實踐經(jīng)驗,評估并在適當(dāng)時測量過

檢查(監(jiān)視和評審ISMS)

程的執(zhí)行情況,并將結(jié)果報告管理者以供評審。

基于ISMS內(nèi)部審核和管理評審的結(jié)果或者其他相關(guān)信

處置(保持和改進ISMS)

息,采取糾正和預(yù)防措施,以持續(xù)改進ISMS。

0.3與其他管理體系的兼容性

本標(biāo)準(zhǔn)與GB/T19001—2000及GB/T24001—2004相結(jié)合,以支持與相關(guān)管理標(biāo)準(zhǔn)一致的、整合

的實施和運行。因此,一個設(shè)計恰當(dāng)?shù)墓芾眢w系可以滿足所有這些標(biāo)準(zhǔn)的要求。表C.1說明了本標(biāo)

準(zhǔn)、GB/T19001—2000和GB/T24001—2004的各條款之間的關(guān)系。

本標(biāo)準(zhǔn)的設(shè)計能夠使一個組織將其ISMS與其他相關(guān)的管理體系要求結(jié)合或整合起來。

1)OECD信息系統(tǒng)和網(wǎng)絡(luò)安全指南———面向安全文化。巴黎:OECD,2002年7月。www.oecd.org

犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005

信息技術(shù)安全技術(shù)

信息安全管理體系要求

重要提示:本出版物不聲稱包括一個合同所有必要的條款。用戶負(fù)責(zé)對其進行正確的應(yīng)用。符合

標(biāo)準(zhǔn)本身并不獲得法律責(zé)任的豁免。

1范圍

1.1總則

本標(biāo)準(zhǔn)適用于所有類型的組織(例如,商業(yè)企業(yè)、政府機構(gòu)、非贏利組織)。本標(biāo)準(zhǔn)從組織的整體業(yè)

務(wù)風(fēng)險的角度,為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系(ISMS)規(guī)定了

要求。它規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實施要求。

ISMS的設(shè)計應(yīng)確保選擇適當(dāng)和相宜的安全控制措施,以充分保護信息資產(chǎn)并給予相關(guān)方信心。

注1:本標(biāo)準(zhǔn)中的“業(yè)務(wù)”一詞應(yīng)廣義的解釋為關(guān)系一個組織生存的核心活動。

注2:GB/T22081—2008提供了設(shè)計控制措施時可使用的實施指南。

1.2應(yīng)用

本標(biāo)準(zhǔn)規(guī)定的要求是通用的,適用于各種類型、規(guī)模和特性的組織

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評論

0/150

提交評論