GB∕ T 31496-2023 信息技術(shù) 安全技術(shù) 信息安全管理體系 指南（正式版）

代替GB/T31496—2015信息安全管理體系指南國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T31496—2023/ISO/IEC Ⅲ IV 1 1 1 14.1理解組織及其語(yǔ)境 1 3 4 5 55.1領(lǐng)導(dǎo)和承諾 55.2方針 6 7 8 86.2信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃 7支持 7.2勝任力 7.4溝通 7.5文件化信息 228.1運(yùn)行規(guī)劃和控制 228.2信息安全風(fēng)險(xiǎn)評(píng)估 238.3信息安全風(fēng)險(xiǎn)處置 9績(jī)效評(píng)價(jià) 24 9.2內(nèi)部審核 9.3管理評(píng)審 27 2810.1不符合項(xiàng)及糾正措施 Ⅱ 30附錄A(資料性)策略框架 32 34ⅢGB/T31496—2023/ISO/IE本文件代替GB/T31496—2015《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》,與本文件等同采用ISO/IEC27003:2017《信息技術(shù)安全技術(shù)信息安全管理體系指南》?！?015年首次發(fā)布為GB/T3本文件第4章～第10章反映了GB/T22080—2016的結(jié)構(gòu)。 a)方針。1)方針建立；2)意識(shí)和能力的提供；6)績(jī)效評(píng)估；7)管理評(píng)審；第4章～第10章的描述結(jié)構(gòu)如下：V在GB/T22080中有多處明確地提及了文件化信息。盡管如此，組織仍可能確定持有對(duì)其管理體系有效性所需的附加文件化信息，并作為響應(yīng)GB/T22080—2016中7.5.1b)的部分。在這些情況1GB/T31496—2023/ISO/IEGB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體系要求(ISO/IEC27001:2013,GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(ISO/IEC27000:ISO/IEC27000信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(Informationtechnolo-gy—Securitytechniques—InformatioISO/IEC27001信息技術(shù)、網(wǎng)絡(luò)安全和隱私保護(hù)信息安全管理體系要求(Informationsecurity,cybersecurityandprivacyprotection—Informationsecuritymanagementsystems—Requi 2f)競(jìng)爭(zhēng)。組織環(huán)境的這些方面不斷出現(xiàn)影響信息安全以及如何管理信息安全的問(wèn)題。相關(guān)外部問(wèn)題取決于g)使用外包信息技術(shù)服務(wù)的法律要求(法律方面);i)黑客工具的技術(shù)進(jìn)步和密碼技術(shù)的使用(技術(shù)方面);k)組織的文化；p)過(guò)程和規(guī)程；t)以前的審核和以前的風(fēng)險(xiǎn)評(píng)估結(jié)果。為識(shí)別相關(guān)問(wèn)題，可能詢問(wèn)以下問(wèn)題：某類問(wèn)題(見(jiàn)a)～t]]如何影響信息安全目標(biāo)?以下三個(gè)內(nèi)影響。僅在組織確定對(duì)其管理體系有效性所需的形式和范圍內(nèi)，有關(guān)該活動(dòng)及其結(jié)果的文件化信息是強(qiáng)3GB/T31496—2023/ISO/IE45GB/T22080—2016中4.4規(guī)定了建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)ISMS的主要要求。雖然高管理層對(duì)ISMS承擔(dān)總體責(zé)任。這意味著，最高管理層以類似于組織中其他領(lǐng)域的方式來(lái)指導(dǎo)ISMS,如分配和監(jiān)視預(yù)算的方式。最高管理層能在組織內(nèi)下放權(quán)力，并為實(shí)際執(zhí)行與信息安全和1)財(cái)政資源；64)技術(shù)基礎(chǔ)設(shè)施。d)最高管理層宜傳達(dá)組織內(nèi)信息安全管理的需要和符合ISMS要求的需要，這能通過(guò)給出實(shí)際e)最高管理層宜確保ISMS通過(guò)支持所有信息安全管理過(guò)程的實(shí)施，特別是通過(guò)請(qǐng)求和評(píng)審ISMS狀態(tài)和有效性報(bào)告(見(jiàn)5.3b)]實(shí)現(xiàn)其預(yù)期結(jié)果。此類報(bào)告能從測(cè)量(見(jiàn)6.2b)和9.1a)]、管理評(píng)審報(bào)告和審核報(bào)告中得出。最高管理層還能為參與ISMS的關(guān)鍵人員設(shè)定績(jī)效f)最高管理層宜指導(dǎo)并支持組織內(nèi)直接參與信息安全和ISMS的人員，否則可能會(huì)對(duì)ISMS的有效性產(chǎn)生負(fù)面影響。最高管理層的反饋可能包括計(jì)劃的活動(dòng)如何與組織的戰(zhàn)略需求保持一g)最高管理層宜在管理評(píng)審期間評(píng)估資源需求，并為持續(xù)改進(jìn)和監(jiān)視所計(jì)劃活動(dòng)的有效性設(shè)定h)最高管理層宜支持承擔(dān)了信息安全管理相關(guān)角色和責(zé)任的人員，以便他們有動(dòng)力并能夠指導(dǎo)如果實(shí)施和運(yùn)行ISMS的組織是大型組織的一部分，則能通過(guò)與控制和指導(dǎo)該大型小組接觸來(lái)加強(qiáng)領(lǐng)導(dǎo)和承諾。如果他們了解實(shí)施ISMS涉及的內(nèi)容，則他們能在IS在資源分配方面的決策能與ISMS的要求保持一致。5.2方針?biāo)杌顒?dòng)信息安全方針描述了ISMS對(duì)組織的戰(zhàn)略重要性，并作為可用的文件化信息。該方針指導(dǎo)組織中信息安全方針宜精簡(jiǎn)概括地說(shuō)明信息安全意圖和方向，可僅限ISMS的范圍，也可覆蓋更廣泛的宜符合組織的目的和文化，兼顧易讀性和完備性。重要的是，方針的用戶能夠認(rèn)同方針?biāo)_定的戰(zhàn)略7GB/T31496—2023/ISO/IE8GB/T31496—2023/ISO/IE1)項(xiàng)目經(jīng)理；9GB/T31496—2023/ISO/IE關(guān)方的需求和預(yù)期(見(jiàn)GB/T22082)評(píng)價(jià)這些措施的有效性。1)風(fēng)險(xiǎn)接受準(zhǔn)則；2)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則，包括評(píng)估后果和可能性的準(zhǔn)則以及確定風(fēng)險(xiǎn)級(jí)別的規(guī)則。c)識(shí)別信息安全風(fēng)險(xiǎn)：2)識(shí)別與這些風(fēng)險(xiǎn)相關(guān)的風(fēng)險(xiǎn)責(zé)任人，即，識(shí)別并任命有適當(dāng)權(quán)限和責(zé)任來(lái)管理已識(shí)別的風(fēng)1)評(píng)估所識(shí)別的風(fēng)險(xiǎn)發(fā)生后可能導(dǎo)致的潛在后果，例如，直接業(yè)務(wù)影響(如經(jīng)濟(jì)損失)或間接2)可定量(如概率或頻次)或定性評(píng)估所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性；3)按照預(yù)定義的方式綜合評(píng)估后果和評(píng)估可能性，確定風(fēng)險(xiǎn)級(jí)別。1)將風(fēng)險(xiǎn)分析結(jié)果與之前建立的風(fēng)險(xiǎn)接受準(zhǔn)則進(jìn)行比較；2)為風(fēng)險(xiǎn)處置排序已分析風(fēng)險(xiǎn)的優(yōu)先級(jí)，即確定對(duì)不可接受風(fēng)險(xiǎn)進(jìn)行處置的緊急程度和需指南信息安全風(fēng)險(xiǎn)準(zhǔn)則宜考慮組織的環(huán)境和利益相關(guān)方的要求而建立，并且宜一方面根據(jù)最高管理層根據(jù)GB/T22080—2016中6.1.2a),宜建立考慮到評(píng)估可能性和后果的信息安全風(fēng)險(xiǎn)評(píng)估準(zhǔn)則。在建立評(píng)估信息安全風(fēng)險(xiǎn)的后果和可能性的準(zhǔn)則之后，組織還宜建立一種綜合考慮風(fēng)險(xiǎn)與后果的風(fēng)險(xiǎn)接受準(zhǔn)則與風(fēng)險(xiǎn)評(píng)估(在評(píng)估階段，組織應(yīng)了解風(fēng)險(xiǎn)是否可接受),以及風(fēng)險(xiǎn)處置活動(dòng)(組織應(yīng)——考慮了所有風(fēng)險(xiǎn)(風(fēng)險(xiǎn)以所需的詳略程度描述); ——重復(fù)風(fēng)險(xiǎn)評(píng)估的結(jié)果具有可比性(即可以了解風(fēng)險(xiǎn)水平是增當(dāng)重復(fù)整個(gè)或部分信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程時(shí)，結(jié)果不一致或有差異可能表明所選的風(fēng)險(xiǎn)評(píng)估方法 源。這里考慮的潛在事件是威脅如何利用資產(chǎn)兩種方法都符合ISO31000中有關(guān)風(fēng)險(xiǎn)評(píng)估的原則和通用指南。使用。不建議在風(fēng)險(xiǎn)評(píng)估的第一個(gè)周期中過(guò)于詳細(xì)地識(shí)別風(fēng)險(xiǎn)。對(duì)信息安全風(fēng)險(xiǎn)具有高層級(jí)但清晰的呈險(xiǎn)分析都基于評(píng)估風(fēng)險(xiǎn)所導(dǎo)致的后果并評(píng)估發(fā)生對(duì)已分析風(fēng)險(xiǎn)的評(píng)價(jià)涉及使用組織的決策過(guò)程，將每種風(fēng)險(xiǎn)的風(fēng)險(xiǎn)級(jí)別與預(yù)定的接受準(zhǔn)則進(jìn)行比風(fēng)險(xiǎn)評(píng)估的最后一步驗(yàn)證了是否可以根據(jù)6.1.2a)中定義的接受準(zhǔn)驟的輸出宜是按優(yōu)先級(jí)排列的風(fēng)險(xiǎn)列表。保留風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析步驟中有關(guān)這些風(fēng)險(xiǎn)的更多信ISO/IEC27005提供了執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估的指南。GB/T22080—2016中附錄A包含了控制目標(biāo)和控制措施的綜合列表。本文件用戶可在不需要包含GB/T22080—2016中附錄A的每個(gè)控制措施，宜刪減GB/T22080—2016中附錄A——對(duì)GB/T22080—2016中附錄A的控制措施進(jìn)行刪減的合理性說(shuō)明。選擇某項(xiàng)控制措施的理由，部分取決于該項(xiàng)控制措施對(duì)于改變信息安全風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果和信息安全風(fēng)險(xiǎn)處置計(jì)劃，也宜充分參考實(shí)施必要的控制措施改變預(yù)期信息安么GB/T22080—2016中A.14.2.7外包開(kāi)發(fā)是不適用的);減GB/T22080—2016中A8.3.1移動(dòng)媒體的管理)。一個(gè)實(shí)用的SoA可以采用表格形式，包含GB/T22080—2016中附錄A的所有114項(xiàng)控制措施以及GB/T22080—2016中附錄A未包含的其他控制措施(需要時(shí))。表格中有一列可以顯示該項(xiàng)控制可以顯示控制措施的當(dāng)前實(shí)現(xiàn)狀態(tài)。還可以使用其他列顯示，如顯示ISO/IEC27001沒(méi)一個(gè)實(shí)用的信息安全風(fēng)險(xiǎn)處置計(jì)劃可設(shè)計(jì)為一個(gè)表格，該表格按照在風(fēng)險(xiǎn)評(píng)估期間識(shí)別出的風(fēng)險(xiǎn)GB/T31496—2023/ISO/IEC27003:2017在準(zhǔn)備SoA(6.1.3d)]時(shí)，組織能包括已選擇的控制措施(移動(dòng)設(shè)備策略和MDM),根據(jù)這些控制殘余風(fēng)險(xiǎn)。將上述控制措施與GB/T22080—2016中附錄A(6.1.3c)]給出的控制措施進(jìn)行比較，可以看出移視為額外的自定義控制措施。如果將MDM和其他控制措施確定為組織的信息安全風(fēng)險(xiǎn)處置計(jì)劃中的如果組織希望進(jìn)一步降低風(fēng)險(xiǎn)，考慮采用GB/T22080—2016中A.9.1.1(訪問(wèn)控制策略),當(dāng)手機(jī)訪問(wèn)控制不足時(shí)變更移動(dòng)設(shè)備策略，在所有手機(jī)上強(qiáng)制使用PIN。這是改變手機(jī)丟失或被盜的后果的制定信息安全風(fēng)險(xiǎn)處置計(jì)劃時(shí)，組織宜獲得風(fēng)險(xiǎn)責(zé)任人的授權(quán)。授權(quán)宜基于已定義的風(fēng)險(xiǎn)接受準(zhǔn)有關(guān)風(fēng)險(xiǎn)處置的更多信息參見(jiàn)ISO/IEC27005和ISO31000。信息安全目標(biāo)有助于實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)以及信息安全方針。因此，ISMS的目標(biāo)是信息的保密性、完整性和可用性的信息安全目標(biāo)。信息安全目標(biāo)還有助于根據(jù)信息安全方針(見(jiàn)5.2),明確信息安ISO/IEC27001中有關(guān)信息安全目標(biāo)的要求適用于所有的信息安全目標(biāo)。如果信息安全方針包含目標(biāo)，這些目標(biāo)要滿足6.2的準(zhǔn)則。如果方針包含了目標(biāo)設(shè)定框架，該框架所產(chǎn)生的目標(biāo)宜滿足6.2的建立目標(biāo)時(shí)要考慮的要求，是在理解組織及其環(huán)境(見(jiàn)4.1)以及相關(guān)方的需求和期望(見(jiàn)4.2)時(shí)確f)要做什么;——符合ISO/IEC27001;——遵守ISMS規(guī)程；GB/T31496—2023/ISO/IE h)提供資源；i)維護(hù)整個(gè)ISMS流程和特定活動(dòng)僅在組織確定對(duì)其管理體系有效性所需的形式和范圍內(nèi)，有關(guān)該活動(dòng)及其結(jié)果的文件化信息是強(qiáng)無(wú)。解釋賴以及基本的技術(shù)和管理方面)。能力涉及在組織控制下工作的人員。這意味著宜根據(jù)需要對(duì)組織的員工和其他人的勝任力進(jìn)行對(duì)于只是臨時(shí)需要的勝任力(對(duì)于特定的活動(dòng)或較短的時(shí)間，例如，彌補(bǔ)內(nèi)部人員意外的臨時(shí)短b)通過(guò)以下方式將ISMS(見(jiàn)5.3)的相關(guān)責(zé)任分配給能勝任的人員：1)識(shí)別組織內(nèi)具有勝任能力的人員(例如，基于其學(xué)歷、經(jīng)驗(yàn)或證書(shū));2)規(guī)劃和實(shí)施使組織內(nèi)的人員獲得能力的措施(如通過(guò)培訓(xùn)、指導(dǎo)和調(diào)配現(xiàn)有雇員);3)聘用能夠勝任的新人(如通過(guò)聘用或簽約);需要適當(dāng)?shù)臅?shū)面信息作為勝任力證明。因此，組織宜保留有關(guān)影響信息安全績(jī)效的必要?jiǎng)偃瘟σ匀藛T宜知道組織有信息安全方針以及如何獲取。組織中的許多員GB/T31496—2023/ISO/IEGB/T31496—2023/ISO/IE—措施計(jì)劃；GB/T31496—2023/ISO/IEGB/T31496—2023/ISO/IEC27003:2017僅在組織確定對(duì)其管理體系有效性所需的形式和范圍內(nèi)，有關(guān)該活動(dòng)及其結(jié)果的文件化信息是強(qiáng)8運(yùn)行解釋按照ISMS的規(guī)劃(見(jiàn)6.1和6.2),組織開(kāi)展必要的運(yùn)行規(guī)劃和活動(dòng)，以實(shí)現(xiàn)滿足信息安全要求所d)確保外包過(guò)程以能夠保障其按預(yù)期運(yùn)行(還考慮信息安全目標(biāo)和信息安全風(fēng)險(xiǎn)處置計(jì)劃)的方組織能通過(guò)文件化活動(dòng)并將文件化信息作為第9章績(jī)效評(píng)價(jià)過(guò)程的輸入，獲得計(jì)劃實(shí)現(xiàn)有效性的f)信息安全風(fēng)險(xiǎn)處置計(jì)劃中信息安全控制措施產(chǎn)生的過(guò)程；GB/T31496—2023/ISO/IE有關(guān)更多信息參見(jiàn)ISO/IEC27004,它給出了滿足GB/T22080—2016中9.1要求的指南。特別解釋通過(guò)內(nèi)部審核定期開(kāi)展ISMS評(píng)價(jià)，以向最高管理層提供ISMS狀態(tài)的保證。審核的原則有完整內(nèi)部審核提供了ISMS是否符合組織自身的ISMS要求以及ISO/IEC27001的要求的信息。組織a)信息安全方針和規(guī)程的要求；c)法律和合同要求；d)文件化信息的要求。審核員還評(píng)價(jià)是否有效實(shí)施和維護(hù)ISMS。內(nèi)部審核能識(shí)別不符合項(xiàng)、風(fēng)險(xiǎn)和機(jī)會(huì)。按照10.1的要求管理不符合項(xiàng)。按照4.1和6.1的要指定的時(shí)間范圍內(nèi)審核ISMS(即所有相關(guān)的過(guò)程、職能和控制措施)。最后，審核方案宜包括審核類GB/T31496—2023/ISO/IE——與GB/T22080—2016中第4章～第10章所定義要求的符合性；GB/T31496—2023/ISO/IE1)負(fù)責(zé)實(shí)施計(jì)劃的人員。1)不符合項(xiàng)和糾正措施；2)監(jiān)視和測(cè)量結(jié)果；3)審核結(jié)果；4)信息安全目標(biāo)完成情況。1)監(jiān)視和測(cè)量活動(dòng)的必要改進(jìn)。GB/T31496—2023/ISO/IEGB/T31496—2023/ISO/IEC27003:2017組織及其環(huán)境從不會(huì)是靜態(tài)的。另外，信息系統(tǒng)面臨的風(fēng)險(xiǎn)及其受到威脅的方式正在迅速發(fā)展。能表明它超出了ISMS要求或缺乏效率。這樣就有機(jī)會(huì)通過(guò)變更評(píng)估要素來(lái)改進(jìn)ISMS。使用持續(xù)改進(jìn)的系統(tǒng)方法將產(chǎn)生更為有效的ISMS,這將改進(jìn)組織的信息安全。信息安全管理引持續(xù)改進(jìn)ISMS宜要求對(duì)ISMS及其要素進(jìn)行評(píng)估，宜考慮內(nèi)部和外部事項(xiàng)(見(jiàn)4.1)、利益相關(guān)方的要求(見(jiàn)4.2)和績(jī)效評(píng)價(jià)的結(jié)果(見(jiàn)第9章)。評(píng)估宜包括對(duì)以下方面的分析：a)ISMS的適宜性，考慮是否通過(guò)ISMS的規(guī)劃和b)ISMS的充分性，考慮ISMS流程和信息安全控制措施是否與組織的總體目的、活動(dòng)和過(guò)程