- 現(xiàn)行
- 正在執(zhí)行有效
- 2023-09-07 頒布
- 2024-04-01 實(shí)施
文檔簡介
ICS35030
CCSL.80
中華人民共和國國家標(biāo)準(zhǔn)
GB/T32916—2023/ISO/IECTS270082019
:
代替GB/Z32916—2016
信息安全技術(shù)
信息安全控制評估指南
Informationsecuritytechniques—
Guidelinesfortheassessmentofinformationsecuritycontrols
ISO/IECTS270082019Informationtechnolo—Securittechniues—
(:,gyyq
GuidelinesfortheassessmentofinformationsecuritcontrolsIDT
y,)
2023-09-07發(fā)布2024-04-01實(shí)施
國家市場監(jiān)督管理總局發(fā)布
國家標(biāo)準(zhǔn)化管理委員會
GB/T32916—2023/ISO/IECTS270082019
:
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范圍
1………………………1
規(guī)范性引用文件
2…………………………1
術(shù)語和定義
3………………1
本文件的結(jié)構(gòu)
4……………1
背景
5………………………1
信息安全控制措施評估概述
6……………2
評估過程
6.1……………2
資源和能力
6.2…………………………4
評估方法
7…………………5
總則
7.1…………………5
過程分析
7.2……………6
檢查
7.3…………………6
測試與確認(rèn)
7.4…………………………7
抽樣
7.5…………………8
控制措施評估過程
8………………………8
準(zhǔn)備工作
8.1……………8
策劃評估
8.2……………9
實(shí)施評估
8.3……………13
分析和報告結(jié)果
8.4……………………14
附錄資料性初始信息收集除信息技術(shù)以外
A()()……………………15
附錄資料性技術(shù)性安全評估實(shí)踐指南
B()……………18
附錄資料性云服務(wù)基礎(chǔ)設(shè)施即服務(wù)技術(shù)性評估指南
C()()…………50
附錄資料性與控制措施的對應(yīng)關(guān)系
NA()GB/T22081—2016ISO/IEC27002:2022……………79
參考文獻(xiàn)
……………………84
Ⅰ
GB/T32916—2023/ISO/IECTS270082019
:
前言
本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定
GB/T1.1—2020《1:》
起草
。
本文件代替信息技術(shù)安全技術(shù)信息安全控制措施審核員指南與
GB/Z32916—2016《》,GB/Z32916—
相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下
2016,,:
評估方法中增加了抽樣的介紹見
———(7.5)。
本文件等同采用信息技術(shù)安全技術(shù)信息安全控制評估指南文件
ISO/IECTS27008:2019《》,
類型由的技術(shù)規(guī)范調(diào)整為我國的國家標(biāo)準(zhǔn)
ISO/IEC。
本文件做了下列最小限度的編輯性改動
:
為與現(xiàn)有標(biāo)準(zhǔn)協(xié)調(diào)將標(biāo)準(zhǔn)名稱改為信息安全技術(shù)信息安全控制評估指南
a),《》;
增加了附錄
b)NA。
請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任
。。
本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口
(SAC/TC260)。
本文件起草單位北京賽西認(rèn)證有限責(zé)任公司中國電子技術(shù)標(biāo)準(zhǔn)化研究院中國合格評定國家認(rèn)
:、、
可中心北京時代新威信息技術(shù)有限公司華為技術(shù)有限公司長揚(yáng)科技北京股份有限公司北京神州
、、、()、
綠盟科技有限公司深圳紅途科技有限公司美的集團(tuán)股份有限公司中國軟件評測中心工業(yè)和信息化
、、、(
部軟件與集成電路促進(jìn)中心杭州安恒信息技術(shù)股份有限公司國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中
)、、
心國網(wǎng)新疆電力有限公司電力科學(xué)研究院西安交大捷普網(wǎng)絡(luò)科技有限公司北京天地和興科技有限
、、、
公司杭州趣鏈科技有限公司浙江省電子信息產(chǎn)品檢驗(yàn)研究院遠(yuǎn)江盛邦北京網(wǎng)絡(luò)安全科技股份有
、、、()
限公司陜西省網(wǎng)絡(luò)與信息安全測評中心北京金山云網(wǎng)絡(luò)技術(shù)有限公司上海觀安信息技術(shù)股份有限
、、、
公司北京郵電大學(xué)杭州中正檢測技術(shù)有限公司馬上消費(fèi)金融股份有限公司中國科學(xué)院信息工程研
、、、、
究所智網(wǎng)安云武漢信息技術(shù)有限公司啟明星辰信息技術(shù)集團(tuán)股份有限公司西安郵電大學(xué)
、()、、。
本文件主要起草人韓碩祥趙麗華付志高黃俊梅王惠蒞周曉宇劉海軍趙華王凌劉峰松
:、、、、、、、、、、
葉建偉黃鵬程張亮亮李春琦俞政臣李杺恬梁偉張世杰賀創(chuàng)新張杰熊衛(wèi)軍王秉政蔡北方
、、、、、、、、、、、、、
王文磊鄒振婉楊坤何建鋒劉樂農(nóng)魏遵博尹肖棟王晶杭肖于麗芳謝江王東濱曹宇劉志強(qiáng)
、、、、、、、、、、、、、、
韓冬旭王燕青王紅亮朱志祥鄭堃張強(qiáng)高珍禎陸月明田麗丹權(quán)曉文
、、、、、、、、、。
本文件及其所代替的歷次版本發(fā)布情況為
:
年首次發(fā)布為
———2016GB/Z32916—2016;
本次為第一次修訂
———。
Ⅲ
GB/T32916—2023/ISO/IECTS270082019
:
引言
本文件支持中所給出的信息安全風(fēng)險管理過程以及所確定的相關(guān)信息安全
GB/T22080—2016,
控制措施集
。
信息安全控制措施宜適用有效和高效針對緩解信息安全風(fēng)險和其他目標(biāo)本文件說明了如何評
、。,
估組織的信息安全控制措施以確認(rèn)其確實(shí)適用有效且高效或者確定變更改進(jìn)機(jī)會的需求信息
,、,()。
安全控制措施作為一個整體最終目的是以合理的成本效益和與業(yè)務(wù)一致的方式充分緩解組織認(rèn)為不
,,
可接受和不可避免的信息安全風(fēng)險根據(jù)業(yè)務(wù)使命和目標(biāo)組織策略和要求發(fā)現(xiàn)的威脅與脆弱性運(yùn)
。、、、
行考慮信息系統(tǒng)和平臺的依賴性以及組織的風(fēng)險考量定制必要的評估本文件提供了該評估所需的靈
、,
活性
。
有關(guān)信息安全管理體系審核指南見有關(guān)信息安全管理體系審核和認(rèn)證機(jī)構(gòu)
GB/T28450—2020,
的要求見
GB/T25067—2020。
注本文件中信息安全控制措施和信息安全控制可以互換使用控制的定義見
:“”“”?!啊盙B/T29246—2017。
Ⅳ
GB/T32916—2023/ISO/IECTS270082019
:
信息安全技術(shù)
信息安全控制評估指南
1范圍
本文件提供了評估信息安全控制措施的實(shí)施與運(yùn)行及評估過程指導(dǎo)包括對信息系統(tǒng)控制措施的
,
技術(shù)性評估該評估基于組織所建立的信息安全要求及技術(shù)性評估準(zhǔn)則
,。
本文件在如何評估由規(guī)定的信息安全管理體系所管理的信息安全控制措施方面
ISO/IEC27001
提供指南
。
本文件適用于各種類型和規(guī)模的組織開展信息安全評估和技術(shù)符合性檢查
。
2規(guī)范性引用文件
下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文
。,
件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于
,;,()
本文件
。
信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯
ISO/IEC27000(Informationtechnolo-
gy—Securitytechniques—Informationsecuri
溫馨提示
- 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
- 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
- 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。
最新文檔
- 數(shù)字營銷利用大數(shù)據(jù)提升品牌影響力考核試卷
- 寵物移民和出國旅行的手續(xù)和注意事項考核試卷
- 塑料制品在電子電器中的應(yīng)用考核試卷
- 貴重物品押運(yùn)員招聘協(xié)議
- 假山防護(hù)網(wǎng)安裝施工合同
- 體育館壓樁施工協(xié)議
- 科技園區(qū)配套檔口租賃合同
- 城市排水CFG樁施工合同
- 押金合同范本解析與應(yīng)用
- 橋梁養(yǎng)護(hù)堡坎施工合同協(xié)議
- XXX-工廠制造業(yè)績效考核方案(內(nèi)含崗位職責(zé)及KPI指標(biāo))
- 2024高考語文復(fù)習(xí) 文言文閱讀 《史記》 專題練習(xí)( 解析)
- 2024年廣西玉柴機(jī)器集團(tuán)有限公司招聘筆試參考題庫含答案解析
- 人類社會面臨的物種滅絕與生物多樣性保護(hù)
- 工程檢測檢驗(yàn)
- 旅行社服務(wù)采購
- 公證服務(wù)開展法律知識講座
- 班組消防管理制度
- 消化科護(hù)士的危重病人護(hù)理技術(shù)
- 做好新形勢下社會穩(wěn)定工作的思考
- 《撰寫研究報告》課件
評論
0/150
提交評論