GB∕ T 31496-2023 信息技術 安全技術 信息安全管理體系 指南（正式版）

代替GB/T31496—2015信息安全管理體系指南國家市場監(jiān)督管理總局國家標準化管理委員會IGB/T31496—2023/ISO/IEC Ⅲ IV 1 1 1 14.1理解組織及其語境 1 3 4 5 55.1領導和承諾 55.2方針 6 7 8 86.2信息安全目標及其實現(xiàn)規(guī)劃 7支持 7.2勝任力 7.4溝通 7.5文件化信息 228.1運行規(guī)劃和控制 228.2信息安全風險評估 238.3信息安全風險處置 9績效評價 24 9.2內(nèi)部審核 9.3管理評審 27 2810.1不符合項及糾正措施 Ⅱ 30附錄A(資料性)策略框架 32 34ⅢGB/T31496—2023/ISO/IE本文件代替GB/T31496—2015《信息技術安全技術信息安全管理體系實施指南》,與本文件等同采用ISO/IEC27003:2017《信息技術安全技術信息安全管理體系指南》?！?015年首次發(fā)布為GB/T3本文件第4章～第10章反映了GB/T22080—2016的結構。 a)方針。1)方針建立；2)意識和能力的提供；6)績效評估；7)管理評審；第4章～第10章的描述結構如下：V在GB/T22080中有多處明確地提及了文件化信息。盡管如此，組織仍可能確定持有對其管理體系有效性所需的附加文件化信息，并作為響應GB/T22080—2016中7.5.1b)的部分。在這些情況1GB/T31496—2023/ISO/IEGB/T22080—2016信息技術安全技術信息安全管理體系要求(ISO/IEC27001:2013,GB/T29246—2017信息技術安全技術信息安全管理體系概述和詞匯(ISO/IEC27000:ISO/IEC27000信息技術安全技術信息安全管理體系概述和詞匯(Informationtechnolo-gy—Securitytechniques—InformatioISO/IEC27001信息技術、網(wǎng)絡安全和隱私保護信息安全管理體系要求(Informationsecurity,cybersecurityandprivacyprotection—Informationsecuritymanagementsystems—Requi 2f)競爭。組織環(huán)境的這些方面不斷出現(xiàn)影響信息安全以及如何管理信息安全的問題。相關外部問題取決于g)使用外包信息技術服務的法律要求(法律方面);i)黑客工具的技術進步和密碼技術的使用(技術方面);k)組織的文化；p)過程和規(guī)程；t)以前的審核和以前的風險評估結果。為識別相關問題，可能詢問以下問題：某類問題(見a)～t]]如何影響信息安全目標?以下三個內(nèi)影響。僅在組織確定對其管理體系有效性所需的形式和范圍內(nèi)，有關該活動及其結果的文件化信息是強3GB/T31496—2023/ISO/IE45GB/T22080—2016中4.4規(guī)定了建立、實施、維護和持續(xù)改進ISMS的主要要求。雖然高管理層對ISMS承擔總體責任。這意味著，最高管理層以類似于組織中其他領域的方式來指導ISMS,如分配和監(jiān)視預算的方式。最高管理層能在組織內(nèi)下放權力，并為實際執(zhí)行與信息安全和1)財政資源；64)技術基礎設施。d)最高管理層宜傳達組織內(nèi)信息安全管理的需要和符合ISMS要求的需要，這能通過給出實際e)最高管理層宜確保ISMS通過支持所有信息安全管理過程的實施，特別是通過請求和評審ISMS狀態(tài)和有效性報告(見5.3b)]實現(xiàn)其預期結果。此類報告能從測量(見6.2b)和9.1a)]、管理評審報告和審核報告中得出。最高管理層還能為參與ISMS的關鍵人員設定績效f)最高管理層宜指導并支持組織內(nèi)直接參與信息安全和ISMS的人員，否則可能會對ISMS的有效性產(chǎn)生負面影響。最高管理層的反饋可能包括計劃的活動如何與組織的戰(zhàn)略需求保持一g)最高管理層宜在管理評審期間評估資源需求，并為持續(xù)改進和監(jiān)視所計劃活動的有效性設定h)最高管理層宜支持承擔了信息安全管理相關角色和責任的人員，以便他們有動力并能夠指導如果實施和運行ISMS的組織是大型組織的一部分，則能通過與控制和指導該大型小組接觸來加強領導和承諾。如果他們了解實施ISMS涉及的內(nèi)容，則他們能在IS在資源分配方面的決策能與ISMS的要求保持一致。5.2方針所需活動信息安全方針描述了ISMS對組織的戰(zhàn)略重要性，并作為可用的文件化信息。該方針指導組織中信息安全方針宜精簡概括地說明信息安全意圖和方向，可僅限ISMS的范圍，也可覆蓋更廣泛的宜符合組織的目的和文化，兼顧易讀性和完備性。重要的是，方針的用戶能夠認同方針所確定的戰(zhàn)略7GB/T31496—2023/ISO/IE8GB/T31496—2023/ISO/IE1)項目經(jīng)理；9GB/T31496—2023/ISO/IE關方的需求和預期(見GB/T22082)評價這些措施的有效性。1)風險接受準則；2)信息安全風險評估實施準則，包括評估后果和可能性的準則以及確定風險級別的規(guī)則。c)識別信息安全風險：2)識別與這些風險相關的風險責任人，即，識別并任命有適當權限和責任來管理已識別的風1)評估所識別的風險發(fā)生后可能導致的潛在后果，例如，直接業(yè)務影響(如經(jīng)濟損失)或間接2)可定量(如概率或頻次)或定性評估所識別的風險實際發(fā)生的可能性；3)按照預定義的方式綜合評估后果和評估可能性，確定風險級別。1)將風險分析結果與之前建立的風險接受準則進行比較；2)為風險處置排序已分析風險的優(yōu)先級，即確定對不可接受風險進行處置的緊急程度和需指南信息安全風險準則宜考慮組織的環(huán)境和利益相關方的要求而建立，并且宜一方面根據(jù)最高管理層根據(jù)GB/T22080—2016中6.1.2a),宜建立考慮到評估可能性和后果的信息安全風險評估準則。在建立評估信息安全風險的后果和可能性的準則之后，組織還宜建立一種綜合考慮風險與后果的風險接受準則與風險評估(在評估階段，組織應了解風險是否可接受),以及風險處置活動(組織應——考慮了所有風險(風險以所需的詳略程度描述); ——重復風險評估的結果具有可比性(即可以了解風險水平是增當重復整個或部分信息安全風險評估過程時，結果不一致或有差異可能表明所選的風險評估方法 源。這里考慮的潛在事件是威脅如何利用資產(chǎn)兩種方法都符合ISO31000中有關風險評估的原則和通用指南。使用。不建議在風險評估的第一個周期中過于詳細地識別風險。對信息安全風險具有高層級但清晰的呈險分析都基于評估風險所導致的后果并評估發(fā)生對已分析風險的評價涉及使用組織的決策過程，將每種風險的風險級別與預定的接受準則進行比風險評估的最后一步驗證了是否可以根據(jù)6.1.2a)中定義的接受準驟的輸出宜是按優(yōu)先級排列的風險列表。保留風險識別和風險分析步驟中有關這些風險的更多信ISO/IEC27005提供了執(zhí)行信息安全風險評估的指南。GB/T22080—2016中附錄A包含了控制目標和控制措施的綜合列表。本文件用戶可在不需要包含GB/T22080—2016中附錄A的每個控制措施，宜刪減GB/T22080—2016中附錄A——對GB/T22080—2016中附錄A的控制措施進行刪減的合理性說明。選擇某項控制措施的理由，部分取決于該項控制措施對于改變信息安全風險信息安全風險評估結果和信息安全風險處置計劃，也宜充分參考實施必要的控制措施改變預期信息安么GB/T22080—2016中A.14.2.7外包開發(fā)是不適用的);減GB/T22080—2016中A8.3.1移動媒體的管理)。一個實用的SoA可以采用表格形式，包含GB/T22080—2016中附錄A的所有114項控制措施以及GB/T22080—2016中附錄A未包含的其他控制措施(需要時)。表格中有一列可以顯示該項控制可以顯示控制措施的當前實現(xiàn)狀態(tài)。還可以使用其他列顯示，如顯示ISO/IEC27001沒一個實用的信息安全風險處置計劃可設計為一個表格，該表格按照在風險評估期間識別出的風險GB/T31496—2023/ISO/IEC27003:2017在準備SoA(6.1.3d)]時，組織能包括已選擇的控制措施(移動設備策略和MDM),根據(jù)這些控制殘余風險。將上述控制措施與GB/T22080—2016中附錄A(6.1.3c)]給出的控制措施進行比較，可以看出移視為額外的自定義控制措施。如果將MDM和其他控制措施確定為組織的信息安全風險處置計劃中的如果組織希望進一步降低風險，考慮采用GB/T22080—2016中A.9.1.1(訪問控制策略),當手機訪問控制不足時變更移動設備策略，在所有手機上強制使用PIN。這是改變手機丟失或被盜的后果的制定信息安全風險處置計劃時，組織宜獲得風險責任人的授權。授權宜基于已定義的風險接受準有關風險處置的更多信息參見ISO/IEC27005和ISO31000。信息安全目標有助于實現(xiàn)組織的戰(zhàn)略目標以及信息安全方針。因此，ISMS的目標是信息的保密性、完整性和可用性的信息安全目標。信息安全目標還有助于根據(jù)信息安全方針(見5.2),明確信息安ISO/IEC27001中有關信息安全目標的要求適用于所有的信息安全目標。如果信息安全方針包含目標，這些目標要滿足6.2的準則。如果方針包含了目標設定框架，該框架所產(chǎn)生的目標宜滿足6.2的建立目標時要考慮的要求，是在理解組織及其環(huán)境(見4.1)以及相關方的需求和期望(見4.2)時確f)要做什么;——符合ISO/IEC27001;——遵守ISMS規(guī)程；GB/T31496—2023/ISO/IE h)提供資源；i)維護整個ISMS流程和特定活動僅在組織確定對其管理體系有效性所需的形式和范圍內(nèi)，有關該活動及其結果的文件化信息是強無。解釋賴以及基本的技術和管理方面)。能力涉及在組織控制下工作的人員。這意味著宜根據(jù)需要對組織的員工和其他人的勝任力進行對于只是臨時需要的勝任力(對于特定的活動或較短的時間，例如，彌補內(nèi)部人員意外的臨時短b)通過以下方式將ISMS(見5.3)的相關責任分配給能勝任的人員：1)識別組織內(nèi)具有勝任能力的人員(例如，基于其學歷、經(jīng)驗或證書);2)規(guī)劃和實施使組織內(nèi)的人員獲得能力的措施(如通過培訓、指導和調(diào)配現(xiàn)有雇員);3)聘用能夠勝任的新人(如通過聘用或簽約);需要適當?shù)臅嫘畔⒆鳛閯偃瘟ψC明。因此，組織宜保留有關影響信息安全績效的必要勝任力以人員宜知道組織有信息安全方針以及如何獲取。組織中的許多員GB/T31496—2023/ISO/IEGB/T31496—2023/ISO/IE—措施計劃；GB/T31496—2023/ISO/IEGB/T31496—2023/ISO/IEC27003:2017僅在組織確定對其管理體系有效性所需的形式和范圍內(nèi)，有關該活動及其結果的文件化信息是強8運行解釋按照ISMS的規(guī)劃(見6.1和6.2),組織開展必要的運行規(guī)劃和活動，以實現(xiàn)滿足信息安全要求所d)確保外包過程以能夠保障其按預期運行(還考慮信息安全目標和信息安全風險處置計劃)的方組織能通過文件化活動并將文件化信息作為第9章績效評價過程的輸入，獲得計劃實現(xiàn)有效性的f)信息安全風險處置計劃中信息安全控制措施產(chǎn)生的過程；GB/T31496—2023/ISO/IE有關更多信息參見ISO/IEC27004,它給出了滿足GB/T22080—2016中9.1要求的指南。特別解釋通過內(nèi)部審核定期開展ISMS評價，以向最高管理層提供ISMS狀態(tài)的保證。審核的原則有完整內(nèi)部審核提供了ISMS是否符合組織自身的ISMS要求以及ISO/IEC27001的要求的信息。組織a)信息安全方針和規(guī)程的要求；c)法律和合同要求；d)文件化信息的要求。審核員還評價是否有效實施和維護ISMS。內(nèi)部審核能識別不符合項、風險和機會。按照10.1的要求管理不符合項。按照4.1和6.1的要指定的時間范圍內(nèi)審核ISMS(即所有相關的過程、職能和控制措施)。最后，審核方案宜包括審核類GB/T31496—2023/ISO/IE——與GB/T22080—2016中第4章～第10章所定義要求的符合性；GB/T31496—2023/ISO/IE1)負責實施計劃的人員。1)不符合項和糾正措施；2)監(jiān)視和測量結果；3)審核結果；4)信息安全目標完成情況。1)監(jiān)視和測量活動的必要改進。GB/T31496—2023/ISO/IEGB/T31496—2023/ISO/IEC27003:2017組織及其環(huán)境從不會是靜態(tài)的。另外，信息系統(tǒng)面臨的風險及其受到威脅的方式正在迅速發(fā)展。能表明它超出了ISMS要求或缺乏效率。這樣就有機會通過變更評估要素來改進ISMS。使用持續(xù)改進的系統(tǒng)方法將產(chǎn)生更為有效的ISMS,這將改進組織的信息安全。信息安全管理引持續(xù)改進ISMS宜要求對ISMS及其要素進行評估，宜考慮內(nèi)部和外部事項(見4.1)、利益相關方的要求(見4.2)和績效評價的結果(見第9章)。評估宜包括對以下方面的分析：a)ISMS的適宜性，考慮是否通過ISMS的規(guī)劃和b)ISMS的充分性，考慮ISMS流程和信息安全控制措施是否與組織的總體目的、活動和過程