標(biāo)準(zhǔn)解讀

《GB/T 28450-2020 信息技術(shù) 安全技術(shù) 信息安全管理體系審核指南》與《GB/T 28450-2012 信息安全技術(shù) 信息安全管理體系審核指南》相比,在多個(gè)方面進(jìn)行了更新和完善,主要體現(xiàn)在以下幾個(gè)方面:

一、結(jié)構(gòu)和內(nèi)容調(diào)整:新版本標(biāo)準(zhǔn)根據(jù)ISO/IEC導(dǎo)則第1部分附件SL中給出的高階結(jié)構(gòu)(HLS)進(jìn)行編寫,使得標(biāo)準(zhǔn)更加符合國際標(biāo)準(zhǔn)化組織對(duì)于管理體系標(biāo)準(zhǔn)的一致性要求。這種結(jié)構(gòu)調(diào)整有助于提高與其他管理體系標(biāo)準(zhǔn)(如質(zhì)量管理體系、環(huán)境管理體系等)之間的兼容性和整合能力。

二、術(shù)語定義更新:針對(duì)信息安全領(lǐng)域內(nèi)出現(xiàn)的新概念和技術(shù)發(fā)展情況,《GB/T 28450-2020》對(duì)一些關(guān)鍵術(shù)語進(jìn)行了修訂或新增,確保了術(shù)語使用的準(zhǔn)確性和時(shí)效性。例如,“信息資產(chǎn)”、“風(fēng)險(xiǎn)處理”等相關(guān)術(shù)語可能得到了更精確地描述。

三、強(qiáng)化風(fēng)險(xiǎn)管理:新版標(biāo)準(zhǔn)進(jìn)一步強(qiáng)調(diào)了風(fēng)險(xiǎn)管理在整個(gè)ISMS審核過程中的重要性,并提供了更為詳細(xì)的風(fēng)險(xiǎn)評(píng)估方法指導(dǎo)。這包括如何識(shí)別潛在威脅、脆弱性分析以及采取適當(dāng)控制措施等內(nèi)容,幫助企業(yè)更好地理解和實(shí)施有效的風(fēng)險(xiǎn)管理策略。

四、增加數(shù)字化轉(zhuǎn)型相關(guān)內(nèi)容:隨著企業(yè)數(shù)字化轉(zhuǎn)型步伐加快,《GB/T 28450-2020》特別關(guān)注了云計(jì)算、大數(shù)據(jù)等新興技術(shù)應(yīng)用給信息安全帶來的挑戰(zhàn),并提出相應(yīng)建議。這部分內(nèi)容旨在幫助組織在享受新技術(shù)帶來便利的同時(shí),也能有效應(yīng)對(duì)由此產(chǎn)生的安全問題。

五、加強(qiáng)對(duì)外部供方管理的要求:鑒于許多組織依賴外部服務(wù)提供商來支持其業(yè)務(wù)運(yùn)作,《GB/T 28450-2020》增加了對(duì)外部供方的信息安全管理要求,包括合同簽訂前后的盡職調(diào)查、監(jiān)控機(jī)制等方面的規(guī)定,以確保供應(yīng)鏈整體的安全性。

六、提升文檔化水平:為了便于理解和執(zhí)行,新版標(biāo)準(zhǔn)還改進(jìn)了文檔化要求,明確了需要形成文件的信息類型及格式,使整個(gè)審核流程更加透明可控。同時(shí),也鼓勵(lì)使用電子化手段來管理和維護(hù)相關(guān)記錄,提高工作效率。

這些變化反映了當(dāng)前信息安全形勢下對(duì)企業(yè)管理水平提出的更高要求,同時(shí)也體現(xiàn)了標(biāo)準(zhǔn)制定者對(duì)未來發(fā)展趨勢的前瞻性思考。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2020-12-14 頒布
  • 2021-07-01 實(shí)施
?正版授權(quán)
GB/T 28450-2020信息技術(shù)安全技術(shù)信息安全管理體系審核指南_第1頁
GB/T 28450-2020信息技術(shù)安全技術(shù)信息安全管理體系審核指南_第2頁
GB/T 28450-2020信息技術(shù)安全技術(shù)信息安全管理體系審核指南_第3頁
GB/T 28450-2020信息技術(shù)安全技術(shù)信息安全管理體系審核指南_第4頁
GB/T 28450-2020信息技術(shù)安全技術(shù)信息安全管理體系審核指南_第5頁
已閱讀5頁,還剩39頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 28450-2020信息技術(shù)安全技術(shù)信息安全管理體系審核指南-免費(fèi)下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T28450—2020/ISO/IEC270072017

代替:

GB/T28450—2012

信息技術(shù)安全技術(shù)

信息安全管理體系審核指南

Informationtechnology—Securitytechniques—Guidelinesfor

informationsecuritymanagementsystemsauditing

(ISO/IEC27007:2017,IDT)

2020-12-14發(fā)布2021-07-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T28450—2020/ISO/IEC270072017

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

審核原則

4…………………1

審核方案的管理

5…………………………1

總則

5.1…………………1

確立審核方案的目標(biāo)

5.2………………1

建立審核方案

5.3………………………2

實(shí)施審核方案

5.4………………………3

監(jiān)視審核方案

5.5………………………4

評(píng)審和改進(jìn)審核方案

5.6………………4

實(shí)施審核

6…………………4

總則

6.1…………………4

審核的啟動(dòng)

6.2…………………………4

審核活動(dòng)的準(zhǔn)備

6.3……………………5

審核活動(dòng)的實(shí)施

6.4……………………5

審核報(bào)告的編制和分發(fā)

6.5……………6

審核的完成

6.6…………………………7

審核后續(xù)活動(dòng)的實(shí)施

6.7………………7

審核員的能力和評(píng)價(jià)

7……………………7

總則

7.1…………………7

確定滿足審核方案需求的審核人員能力

7.2…………7

審核員評(píng)價(jià)準(zhǔn)則的建立

7.3……………8

選擇適當(dāng)?shù)膶徍藛T評(píng)價(jià)方法

7.4………………………8

進(jìn)行審核員評(píng)價(jià)

7.5……………………8

保持并提高審核員能力

7.6……………8

附錄資料性附錄審核實(shí)踐指南

A()ISMS………………9

參考文獻(xiàn)

……………………34

GB/T28450—2020/ISO/IEC270072017

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息安全管理體系審核指南與

GB/T28450—2012《》,GB/T28450—

相比主要技術(shù)性變化如下

2012,:

刪除了特定審核原則的內(nèi)容見年版的

———ISMS(20124.2);

刪除了審核方案管理流程圖見年版的

———(20125.1);

刪除了審核方案內(nèi)容見年版的

———(20125.2.2);

增加了審核方案管理人員能力的內(nèi)容見

———(5.3.2);

增加了審核方案范圍和詳略程度確定的內(nèi)容見

———(5.3.3);

增加了審核方案風(fēng)險(xiǎn)識(shí)別和評(píng)估的內(nèi)容見

———(5.3.4);

修改了審核方案實(shí)施的內(nèi)容見年版的

———(5.4,20125.4);

刪除了審核方案記錄的內(nèi)容見年版的

———(20125.5);

刪除了審核組長指定的內(nèi)容見年版的

———(20126.2.1);

刪除了實(shí)用幫助信息收集注意事項(xiàng)見年版的

——————(20126.5.4.1);

刪除了審核報(bào)告批準(zhǔn)的內(nèi)容見年版的

———(20126.6.2);

刪除了能力概念圖見年版的

———(20127.1.1);

刪除了個(gè)人素質(zhì)的內(nèi)容見年版的

———(20127.2);

增加了個(gè)人行為的內(nèi)容見

———(7.2.2);

刪除了特定及相關(guān)專業(yè)知識(shí)和技能的內(nèi)容見年版的

———ISMS(20127.3.3);

增加了管理體系審核員特定領(lǐng)域與專業(yè)知識(shí)和技能的內(nèi)容見

———(7.2.3.3);

增加了多領(lǐng)域管理體系審核知識(shí)和技能的內(nèi)容見

———(7.2.3.5);

刪除了教育工作經(jīng)歷審核員培訓(xùn)和審核經(jīng)歷的內(nèi)容見年版的

———、、(20127.4);

增加了審核員能力獲得的內(nèi)容見

———(7.2.4);

修改了審核員評(píng)價(jià)的內(nèi)容見年版的

———(7.3、7.4、7.5,20127.6);

重新組織了附錄的內(nèi)容刪除了原標(biāo)準(zhǔn)的五個(gè)附錄增加了附錄審核實(shí)踐指南與

———,,A:ISMS,

附錄保持一致

ISO/IEC27007:2017A。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系審核指

ISO/IEC27007:2017《

》。

與本標(biāo)準(zhǔn)中規(guī)范性引用的國際文件有一致性對(duì)應(yīng)關(guān)系的我國文件如下

:

管理體系審核指南

———GB/T19011—2013(ISO19011:2011,IDT)

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2016(ISO/IEC27001:

2013,IDT)

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2017(ISO/IEC27000:

2016,IDT)

本標(biāo)準(zhǔn)做了下列編輯性修改

:

在引言中對(duì)本標(biāo)準(zhǔn)中涉及的部分術(shù)語和定義與其他標(biāo)準(zhǔn)相關(guān)內(nèi)容的關(guān)系進(jìn)行了說明

———,;

在參考文獻(xiàn)中增加了國際文件

———ISO/IEC27017。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

GB/T28450—2020/ISO/IEC270072017

:

本標(biāo)準(zhǔn)起草單位北京時(shí)代新威信息技術(shù)有限公司中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心中國電子

:、、

技術(shù)標(biāo)準(zhǔn)化研究院全國組織機(jī)構(gòu)統(tǒng)一社會(huì)信用代碼數(shù)據(jù)服務(wù)中心

、。

本標(biāo)準(zhǔn)主要起草人王新杰王連強(qiáng)張劍上官曉麗孫鎮(zhèn)趙捷鄭瑋陳劍博郭樂宇汪洋曹宇

:、、、、、、、、、、、

程瑜琦王姣孫泰李晟飛

、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T28450—2012。

GB/T28450—2020/ISO/IEC270072017

:

引言

本標(biāo)準(zhǔn)提供了下列指南

:

信息安全管理體系審核方案的管理

———(ISMS);

遵循實(shí)施內(nèi)部和外部審核

———GB/T22080—2016;

審核員的能力和評(píng)價(jià)

———ISMS。

本標(biāo)準(zhǔn)宜與中包含的指南一起使用

GB/T19011—2013。

本標(biāo)準(zhǔn)遵循的結(jié)構(gòu)審核所需的特定指南用字母進(jìn)行標(biāo)識(shí)

GB/T19011—2013,ISMSISMS,“IS”。

開展審核時(shí)本標(biāo)準(zhǔn)新增的特定指南宜與配合使用用字母

ISMS,ISMSGB/T19011—2013,“IS”

進(jìn)行標(biāo)識(shí)

”。

提供了關(guān)于審核方案管理管理體系內(nèi)部或外部審核實(shí)施以及管理體系審核

GB/T19011—2013、

員能力和評(píng)價(jià)的指南

。

本標(biāo)準(zhǔn)未聲明組織規(guī)模要求可適用于所有用戶包括中小型組織

,,。

本標(biāo)準(zhǔn)中涉及的部分術(shù)語和定義與其他標(biāo)準(zhǔn)相關(guān)內(nèi)容的關(guān)系說明如下

,;

國際標(biāo)準(zhǔn)中的在中翻譯為程序而在

———“Procedure”,GB/T19011—2013“”,GB/T22080—2016

中翻譯為規(guī)程因本標(biāo)準(zhǔn)同時(shí)引用了這兩個(gè)標(biāo)準(zhǔn)的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語的地方均采

“”,,

用其原標(biāo)準(zhǔn)中的定義

;

國際標(biāo)準(zhǔn)中的在中翻譯為實(shí)施而在

———“Implement”,GB/T19011—2013“”,GB/T22080—2016

中翻譯為實(shí)現(xiàn)因本標(biāo)準(zhǔn)同時(shí)引用了這兩個(gè)標(biāo)準(zhǔn)的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語的地方均采

“”,,

用其原標(biāo)準(zhǔn)中的定義

;

國際標(biāo)準(zhǔn)中的在中翻譯為保持而在

———“Maintain”,GB/T19011—2013“”,GB/T22080—2016

中翻譯為維護(hù)因本標(biāo)準(zhǔn)同時(shí)引用了這兩個(gè)標(biāo)準(zhǔn)的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語的地方均采

“”,,

用其原標(biāo)準(zhǔn)中的定義

;

國際標(biāo)準(zhǔn)中的在中翻譯為文檔化信息而

———“Documentedinformation”,GB/T29246—2017“”,

在中翻譯為文件化信息因本標(biāo)準(zhǔn)引用了的原文

GB/T22080—2016“”,GB/T22080—2016,

故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語的地方均采用中的定義

GB/T22080—2016;

國際標(biāo)準(zhǔn)中的在中翻譯為語境而在中

———“Context”,GB/T29246—2017“”,GB/T22080—2016

翻譯為環(huán)境因本標(biāo)準(zhǔn)引用了的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語的地方均

“”,GB/T22080—2016,

采用中的定義

GB/T22080—2016;

國際標(biāo)準(zhǔn)中的在中翻譯為持續(xù)性而在

———“Continuity”,GB/T29246—2017“”,GB/T22080—

中翻譯為連續(xù)性因本標(biāo)準(zhǔn)引用了的原文故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)

2016“”,GB/T22080—2016,

語的地方均采用中的定義

GB/T22080—2016。

GB/T28450—2020/ISO/IEC270072017

:

信息技術(shù)安全技術(shù)

信息安全管理體系審核指南

1范圍

本標(biāo)準(zhǔn)在的基礎(chǔ)上為信息安全管理體系以下簡稱審核方案管理和審

GB/T19011—2013,(ISMS)

核實(shí)施提供了指南并對(duì)審核員能力提供了評(píng)價(jià)指南

,ISMS。

本標(biāo)準(zhǔn)適用于需要理解或?qū)嵤┑膬?nèi)部或外部審核或需要管理審核方案的所有組織

ISMS,ISMS。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評(píng)論

0/150

提交評(píng)論