國家標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》（征求意見稿）編制說明

工作簡況任務(wù)來源《信息技術(shù)安全技術(shù)信息安全管理體系信息安全管理體系要求》是國家標(biāo)準(zhǔn)化管理委員會2013年下達的信息安全國家標(biāo)準(zhǔn)制定項目，國標(biāo)計劃號為：20141159-T-469。由中國電子技術(shù)標(biāo)準(zhǔn)化研究院，主要負責(zé)起草中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司中國信息安全認證中心、上海三零衛(wèi)士信息安全有限公司、廣州賽寶認證中心服務(wù)有限公司、山東省標(biāo)準(zhǔn)化研究院、中國合格評定國家認可中心、北京時代新威信息技術(shù)有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究院認證中心、北京江南天安科技有限公司、黑龍江電子信息產(chǎn)品監(jiān)督檢驗院、浙江遠望電子有限公司、杭州在信科技有限公司等單位共同參與了該標(biāo)準(zhǔn)的起草工作。主要工作過程1、2012年，跟蹤ISO/IEC27001修訂最近進展情況，形成ISO/IECFDIS27001翻譯稿。2、2013年，承擔(dān)了全國信安標(biāo)委信息安全專項標(biāo)準(zhǔn)修訂項目GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》修訂。3、2014年1月初，中國電子技術(shù)標(biāo)準(zhǔn)化研究院發(fā)布成立編寫工作組通知。4、2014年3月14日，成立正式的編寫工作組，召開第一工作組會議，討論工作組章程等文件。5、2014年4月24日至25日，第二次工作組會議；討論27001內(nèi)容；2014年5月22日至23日，第三次工作組會議，27001內(nèi)容討論結(jié)束。6、2014年9月15日，召開專家評審會，就標(biāo)準(zhǔn)草案征求部分專家意見。7、2014年10月10日，召開第八次項目組工作會議，就專家提的具體意見進行處理，并再次修改完善標(biāo)準(zhǔn)草案文本。8、2014年12月18日至12月19日，標(biāo)準(zhǔn)編制組和王立福教授就標(biāo)準(zhǔn)編制過程中的問題進行當(dāng)面溝通，對標(biāo)準(zhǔn)草案文本進行討論修改。9、2015年1月3日至1月9日，WG7工作組面向全體工作組成員單位進行草案標(biāo)準(zhǔn)投票，1個反對票，其余均為贊成票，表決通過。反對票的意見主要是對國際標(biāo)準(zhǔn)制定規(guī)則不了解，認為ISO/IEC27001為強制性標(biāo)準(zhǔn)，實際該標(biāo)準(zhǔn)沒有強制性。標(biāo)準(zhǔn)編制組根據(jù)意見進行修改完善，形成征求意見稿第一稿。10、2015年2月4日，標(biāo)準(zhǔn)編制組邀請部分專家與ISMS認證機構(gòu)代表進行溝通交流，對標(biāo)準(zhǔn)文本中的一些術(shù)語定義進行充分溝通，會后，標(biāo)準(zhǔn)組根據(jù)會議上的意見進行修改完善，形成征求意見稿第二稿。編制原則和主要內(nèi)容2.1編制原則《信息技術(shù)安全技術(shù)信息安全管理體系要求》是信息安全管理體系標(biāo)準(zhǔn)族中標(biāo)準(zhǔn)之一。我國已在2008年正式發(fā)布了等同采用ISO/IEC27001：2005的國家標(biāo)準(zhǔn)GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》。我國在參考借鑒國際信息安全管理體系標(biāo)準(zhǔn)族（ISO/IEC27000系列）的基礎(chǔ)上，等同轉(zhuǎn)化了ISO/IEC27000:2009《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》、ISO/IEC27002:2005《信息技術(shù)安全技術(shù)信息安全管理使用規(guī)則》（對應(yīng)國家標(biāo)準(zhǔn)GB/T22081:2008）和ISO/IEC27006:2007《信息技術(shù)安全技術(shù)信息安全管理體系認證機構(gòu)認可要求》，為國內(nèi)各機構(gòu)開展信息安全管理體系認證工作提供了依據(jù)和技術(shù)支撐。本標(biāo)準(zhǔn)修訂過程中，鑒于上版標(biāo)準(zhǔn)是等同采用ISO/IEC27001：2005，并且以該標(biāo)準(zhǔn)為核心的ISMS體系認證在我國已經(jīng)廣泛開展，為了便于國際互認，并且保持我國信息安全管理體系標(biāo)準(zhǔn)的關(guān)聯(lián)性，因此本次修訂的原則也是等同采用ISO/IEC27001:2013。2.2主要內(nèi)容本標(biāo)準(zhǔn)規(guī)定了在組織環(huán)境下建立、實施、保持和持續(xù)改進信息安全管理體系的要求。本標(biāo)準(zhǔn)還包括了根據(jù)組織需求而進行的信息安全風(fēng)險評估和處置的要求。本標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類型、規(guī)模或性質(zhì)的組織。當(dāng)組織聲稱符合本標(biāo)準(zhǔn)時，不能刪減第4章到第10章的要求。本標(biāo)準(zhǔn)主要框架如下：前言 引言 1范圍2規(guī)范性應(yīng)用文件3術(shù)語 4組織環(huán)境5領(lǐng)導(dǎo)6規(guī)劃7支持8運行9績效評價10改進附錄A（規(guī)范性附錄）參考控制目標(biāo)和控制措施主要試驗（或驗證）的分析、綜述報告，技術(shù)經(jīng)濟論證，預(yù)期的經(jīng)濟效果隨著信息安全管理體系在國內(nèi)外應(yīng)用的廣泛展開，以及在世界范圍內(nèi)認證數(shù)量的日益增多，驗證了信息安全管理體系正逐漸成為目前信息安全管理的一種有效方法。從我國來講，自2008年國家信息安全管理體系兩個基礎(chǔ)標(biāo)準(zhǔn):GB/T22080和GB/T22081發(fā)布之后，有力地推動了信息安全管理體系在我國的推廣和應(yīng)用，這套標(biāo)準(zhǔn)既為自愿性認證需求的企業(yè)提供了展現(xiàn)自我信息安全管理水平的依據(jù)，也為我國涉及電子政務(wù)等各種重要信息系統(tǒng)提供了信息安全管理的思路和參考。但同時，近年來隨著云計算、物聯(lián)網(wǎng)、供應(yīng)鏈等新型技術(shù)與應(yīng)用的迅速普及，隨之而來的安全問題也越來越得到重視。從國際標(biāo)準(zhǔn)化組織來講，已經(jīng)積極著手相應(yīng)安全管理與控制措施的研究及標(biāo)準(zhǔn)化。新的修訂版ISO/IEC27001無論是從標(biāo)準(zhǔn)內(nèi)容框架還是編寫思路上，都更能體現(xiàn)這些變化與需求。因此，及早與國際標(biāo)準(zhǔn)發(fā)展保持一致，開展標(biāo)準(zhǔn)的修訂工作是十分迫切和必要的。本標(biāo)準(zhǔn)與目前國家開展信息安全管理體系認證工作緊密相關(guān)，作為了解和使用信息安全管理體系標(biāo)準(zhǔn)族的基礎(chǔ)標(biāo)準(zhǔn)之一，修訂現(xiàn)有國家標(biāo)準(zhǔn)GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》，引入新版國際標(biāo)準(zhǔn)ISO/IEC27001的新思路和內(nèi)容框架，使我國具有信息安全管理體系建設(shè)、管理和認證需求的組織機構(gòu)，更加科學(xué)、全面地改善自身的信息安全管理水平，同時為認證機構(gòu)進行信息安全管理體系國際認證提供技術(shù)依據(jù)。采用國際標(biāo)準(zhǔn)和國外先進標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的對比情況，或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況本標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC27001:2013。與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)與現(xiàn)有國家標(biāo)準(zhǔn)GB/T22080:2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》、GB/T22081:2008《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》以及GB/T25067:2010《信息技術(shù)

安全技術(shù)

信息安全管理體系審核認證機構(gòu)的要求》都屬于信息安全管理體系標(biāo)準(zhǔn)族標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)提供了信息安全管理體系（ISMS標(biāo)準(zhǔn)族）的概述，并定義了相關(guān)術(shù)語，對于標(biāo)準(zhǔn)用戶了解整個ISMS標(biāo)準(zhǔn)族的情況、有關(guān)信息安全術(shù)語，以及其中每個標(biāo)準(zhǔn)的范圍和目的等信息具有十分重要的參考作用。本標(biāo)準(zhǔn)是了解信息安全管理體系標(biāo)準(zhǔn)族的一個基礎(chǔ)和重要標(biāo)準(zhǔn)。GB/T22080:2008提供了建立信息安全管理體系的模型及每個過程的具體活動，可供用戶建立和實施滿足自身業(yè)務(wù)需求和安全需要的信息安全管理體系。GB/T22081:2008提供了一套通用的安全控制目標(biāo)和最佳實踐控制措施，可指導(dǎo)用戶選擇和實施控制措施以實現(xiàn)信息安全。GB/T25067:2010為依據(jù)GB/T22080:2008提供審核和ISMS認證的機構(gòu)規(guī)定了要求并提供相關(guān)指導(dǎo)。重大分歧意見的處理經(jīng)過和依據(jù)詳見標(biāo)準(zhǔn)意見匯總處理表。國家標(biāo)準(zhǔn)作為強制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實施。貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）本標(biāo)準(zhǔn)主要用于支撐國家標(biāo)準(zhǔn)GB/T22080:2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T22081:2008《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》的實施，為希望了解和建立信息安全管理體系的組織和用戶提供了有關(guān)信息安全管理體系標(biāo)準(zhǔn)族的整體概況，以及相關(guān)的術(shù)語和定義，有助于更加深刻地理解信息安全管理體系建設(shè)和實施內(nèi)容。因此，本標(biāo)準(zhǔn)貫徹實施時，應(yīng)與上述兩個標(biāo)準(zhǔn)結(jié)合在一起進