GB/T 31497-2015信息技術(shù)安全技術(shù)信息安全管理測(cè)量

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31497—2015/ISO/IEC270042009

:

信息技術(shù)安全技術(shù)

信息安全管理測(cè)量

Informationtechnology—Securitytechniques—

Informationsecuritymanagement—Measurement

(ISO/IEC27004:2009,IDT)

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31497—2015/ISO/IEC270042009

:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

本標(biāo)準(zhǔn)的結(jié)構(gòu)

4……………3

信息安全測(cè)量概述

5………………………3

管理職責(zé)

6…………………10

測(cè)度和測(cè)量的制定

7………………………11

測(cè)量運(yùn)行

8…………………16

數(shù)據(jù)分析和測(cè)量結(jié)果報(bào)告

9………………16

信息安全測(cè)量方案的評(píng)價(jià)和改進(jìn)

10……………………18

附錄資料性附錄信息安全測(cè)量構(gòu)造模板

A()…………20

附錄資料性附錄測(cè)量構(gòu)造示例

B()……………………22

參考文獻(xiàn)

……………………52

GB/T31497—2015/ISO/IEC270042009

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理測(cè)量

ISO/IEC27004:2009《》

英文版

()。

本標(biāo)準(zhǔn)做了以下編輯性修改

:

引言部分增加了有關(guān)信息安全管理體系標(biāo)準(zhǔn)族情況的介紹

———。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院山東省計(jì)算中心上海三零衛(wèi)士信息安全有限公司

:、、、

中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司北京信息安全測(cè)評(píng)中心

、。

本標(biāo)準(zhǔn)主要起草人上官曉麗周鳴樂(lè)李剛許玉娜顧衛(wèi)東閔京華趙章界董火民李旺

:、、、、、、、、、

史艷華李敏張建成韓慶良

、、、。

Ⅰ

GB/T31497—2015/ISO/IEC270042009

:

引言

01總則

.

信息安全管理體系標(biāo)準(zhǔn)族簡(jiǎn)稱標(biāo)準(zhǔn)族是國(guó)際

(InformationSecurityManagementSystem,ISMS)

信息安全技術(shù)標(biāo)準(zhǔn)化組織制定的信息安全管理體系系列國(guó)際標(biāo)準(zhǔn)標(biāo)準(zhǔn)

(ISO/IECJTC1SC27)。ISMS

族旨在幫助各種類型和規(guī)模的組織開(kāi)發(fā)和實(shí)施管理其信息資產(chǎn)安全的框架并為保護(hù)組織信息諸如

,,(,

財(cái)務(wù)信息知識(shí)產(chǎn)權(quán)員工詳細(xì)資料或者受客戶或第三方委托的信息的的獨(dú)立評(píng)估做準(zhǔn)備

、、,)ISMS。

標(biāo)準(zhǔn)族包括的標(biāo)準(zhǔn)定義了的要求及其認(rèn)證機(jī)構(gòu)的要求提供了對(duì)整個(gè)規(guī)劃實(shí)施檢

ISMS:a)ISMS;b)“--

查處置過(guò)程和要求的直接支持詳細(xì)指南和或解釋闡述了特定行業(yè)的指南闡

-”(PDCA)、();c)ISMS;d)

述了的一致性評(píng)估

ISMS。

目前標(biāo)準(zhǔn)族由下列標(biāo)準(zhǔn)組成

,ISMS:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2012(ISO/IEC

27000:2009)

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2008(ISO/IEC27001:

2005)

信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則

———GB/T22081—2008(ISO/IEC27002:2005)

信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南

———GB/T31496—2015(ISO/IEC27003:

2010)

本標(biāo)準(zhǔn)信息技術(shù)安全技術(shù)信息安全管理測(cè)量

———()(ISO/IEC27004:2009)

信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理

———GB/T31722—2015(ISO/IEC27005:2008)

信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求

———GB/T25067—2010(ISO/

IEC27006:2007)

信息技術(shù)安全技術(shù)信息安全管理體系審核指南

———ISO/IEC27007:2011

信息技術(shù)安全技術(shù)信息安全控制措施審核員指南

———ISO/IECTR27008:2011

信息技術(shù)安全技術(shù)行業(yè)間及組織間通信的信息安全管理

———ISO/IEC27010:2012

信息技術(shù)安全技術(shù)基于的電信行業(yè)組織的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

信息技術(shù)安全技術(shù)和集成實(shí)施

———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1

指南

信息技術(shù)安全技術(shù)信息安全治理

———ISO/IEC27014:2013

信息技術(shù)安全技術(shù)金融服務(wù)信息安全管理指南

———ISO/IECTR27015:2012

為了評(píng)估按照規(guī)定的已實(shí)施的信息安全管理體系

GB/T22080—2008(InformationSecurityMan-

簡(jiǎn)稱和控制措施或控制措施組的有效性本標(biāo)準(zhǔn)提供了如何編制測(cè)度和測(cè)量

agementSystem,ISMS),

以及如何使用的指南

。

為了有助于決定過(guò)程或控制措施是否需要改變或改進(jìn)本標(biāo)準(zhǔn)涉及方針策略信息安全風(fēng)險(xiǎn)

ISMS,、

管理控制目標(biāo)控制措施過(guò)程和規(guī)程并且支持其校驗(yàn)過(guò)程切記任何控制措施的測(cè)量都不能保證絕

、、、,。

對(duì)安全

。

本標(biāo)準(zhǔn)的實(shí)施形成了信息安全測(cè)量方案信息安全測(cè)量方案將有助于管理者識(shí)別和評(píng)價(jià)不相容

。

Ⅱ

GB/T31497—2015/ISO/IEC270042009

:

的無(wú)效的過(guò)程和控制措施并優(yōu)化改進(jìn)或改變這些過(guò)程和或控制的活動(dòng)它也可有助于組織

、ISMS,()。

證明的符合性并提供管理評(píng)審和信息安全風(fēng)險(xiǎn)管理過(guò)程的額外證據(jù)

GB/T22080—2008,。

本標(biāo)準(zhǔn)假設(shè)制定測(cè)度和測(cè)量的出發(fā)點(diǎn)是按照要求充分掌握了組織所面臨的

:GB/T22080—2008

信息安全風(fēng)險(xiǎn)并假設(shè)已經(jīng)正確實(shí)施了組織的風(fēng)險(xiǎn)評(píng)估活動(dòng)即基于信息安全

,(GB/T31722—2015)。

測(cè)量方案將鼓勵(lì)組織向利益相關(guān)者提供可靠的關(guān)于信息安全風(fēng)險(xiǎn)和管理這些風(fēng)險(xiǎn)已實(shí)施的的狀

ISMS

況的信息

。

通過(guò)有效地實(shí)施信息安全測(cè)量方案將提高利益相關(guān)者對(duì)測(cè)量結(jié)果的信任并能使其利用這些測(cè)度

,,

實(shí)現(xiàn)對(duì)信息安全和的持續(xù)改進(jìn)

ISMS。

累積的測(cè)量結(jié)果將允許把一段時(shí)間內(nèi)實(shí)現(xiàn)信息安全目標(biāo)的進(jìn)展當(dāng)作組織的持續(xù)改進(jìn)過(guò)程的

ISMS

一部分

。

02管理概述

.

要求組織在考慮有效性測(cè)量結(jié)果的基礎(chǔ)上進(jìn)行有效性的定期評(píng)審

GB/T22080—2008“,ISMS”,

并且測(cè)量控制措施的有效性以驗(yàn)證安全要求是否得到滿足也要求組織確定

“,”。GB/T22080—2008“

如何測(cè)量已選控制措施或控制措施組的有效性并指明如何用這些測(cè)量措施來(lái)評(píng)估控制措施的有效性

,,

以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果

?！?/p>

組織用以滿足規(guī)定的測(cè)量要求所采用的方法將基于一些重要因素而變化包

GB/T22080—2008,,

括組織所面臨的信息安全風(fēng)險(xiǎn)組織規(guī)?？捎玫馁Y源適用的法律法規(guī)規(guī)章和合同要求為了防止過(guò)

、、、、。

多的資源被用于的一些活動(dòng)而損害其他活動(dòng)慎重選擇和證明用于滿足測(cè)量要求的方法是非常

ISMS,

重要的理想情況下持續(xù)的測(cè)量活動(dòng)將把組織的正常運(yùn)作和最小的額外資源需求結(jié)合在一起

。,。

為滿足規(guī)定的測(cè)量要求本標(biāo)準(zhǔn)建議基于以下活動(dòng)

GB/T22080—2008,:

制定測(cè)度即基本測(cè)度導(dǎo)出測(cè)度和指標(biāo)

a)(、);

實(shí)施和運(yùn)行信息安全測(cè)量方案

b);

收集和分析數(shù)據(jù)

c);

產(chǎn)生測(cè)量結(jié)果

d);

與利益相關(guān)者溝通產(chǎn)生的測(cè)量結(jié)果

e);

將測(cè)量結(jié)果作為相關(guān)決策的有利因素

f)ISMS;

用測(cè)量結(jié)果識(shí)別已實(shí)施的的改進(jìn)需要包括的范圍策略目標(biāo)控制措施過(guò)程

g)ISMS,ISMS、、、、

和規(guī)程

;

促進(jìn)信息安全測(cè)量方案的持續(xù)改進(jìn)

h)。

組織規(guī)模是影響組織完成測(cè)量的能力的因素之一一般來(lái)說(shuō)業(yè)務(wù)的規(guī)模和復(fù)雜性以及信息安全

。,

的重要性都會(huì)影響需要的測(cè)量程度其中測(cè)量程度是針對(duì)已選的測(cè)度數(shù)量以及收集和分析數(shù)據(jù)的頻率

,,

來(lái)說(shuō)的對(duì)于中小型企業(yè)來(lái)說(shuō)一個(gè)不太全面的信息安全測(cè)量方案就足夠了而對(duì)大型企業(yè)則需要實(shí)

。,。,

施和運(yùn)行多個(gè)信息安全測(cè)量方案

。

單個(gè)信息安全測(cè)量方案可滿足小型組織而大型企業(yè)可能需要多個(gè)信息安全測(cè)量方案

,。

本標(biāo)準(zhǔn)產(chǎn)生的文件有助于證明正在被測(cè)量和評(píng)估的控制措施的有效性

,。

Ⅲ

GB/T31497—2015/ISO/IEC270042009

:

信息技術(shù)安全技術(shù)

信息安全管理測(cè)量

1范圍

為了評(píng)估按照規(guī)定實(shí)施的信息安全管理體系

GB/T22080—2008(InformationSecurityManage-

簡(jiǎn)稱和控制措施或控制措施組的有效性本標(biāo)準(zhǔn)提供了如何編制測(cè)度和測(cè)量以及

mentSystem,ISMS),

如何使用的指南

。

本標(biāo)準(zhǔn)適用于各種類型和規(guī)模的組織

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的