《信息技術—安全技術—信息安全管理體系實施指南》(GB/T 31496-2015)是2016年1月1日實施的一項中華人民共和國國家標準,歸口於全國信息安全標準化技術委員會。
《信息技術—安全技術—信息安全管理體系實施指南》(GB/T 31496-2015)依據《信息技術—安全技術—信息安全管理體系要求》(GB/T 22080-2008),關注設計和實施一個成功的信息安全管理體系(ISMS)所需要的關鍵方面,描述了ISMS規範及其設計的過程,從開始到產生實施計畫。該標準可供實施一個ISMS的組織使用,適用於各種規模和類型的組織(例如:商業企業、政府機構、非贏利組織)。
基本介紹
- 中文名:信息技術—安全技術—信息安全管理體系實施指南
- 外文名:Information technology—Security techniques—Information security management system implementation guidance
- 標準號:GB/T 31496-2015
- 發布日期:2015-05-15
- 實施日期:2016-01-01
- 中國標準分類號:L80
- 國際標準分類號:35.040
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:中華人民共和國國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,編制進程,制定依據,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
編制進程
- 標準計畫
2012年1月9日,國家標準計畫《信息技術—安全技術—信息安全管理體系實施指南》(20111636-T-469)下達,項目周期12個月,由TC260(全國信息安全標準化技術委員會)提出並歸口上報及執行,主管部門為中華人民共和國國家標準化管理委員會。
- 發布實施
2015年5月15日,國家標準《信息技術—安全技術—信息安全管理體系實施指南》(GB/T 31496-2015)由中華人民共和國國家市場監督管理總局、中華人民共和國國家標準化管理委員會發布。
2016年1月1日,國家標準《信息技術—安全技術—信息安全管理體系實施指南》(GB/T 31496-2015)實施。
制定依據
國家標準《信息技術—安全技術—信息安全管理體系實施指南》(GB/T 31496-2015)依據國家標準《標準化工作導則—第1部分:標準的結構和編寫》(GB/T 1.1-2009)規則起草。
國家標準《信息技術—安全技術—信息安全管理體系實施指南》(GB/T 31496-2015)使用翻譯法等同採用《信息技術—安全技術—信息安全管理體系實施指南》(ISO/IEC 27003:2010)。
起草工作
主要起草單位:中國電子技術標準化研究院、上海三零衛士信息安全有限公司、山東省計算中心、黑龍江省電子信息產品監督檢驗院、北京信息安全測評中心、中電長城網際系統套用有限公司。
主要起草人:上官曉麗、許玉娜、董火民、閔京華、趙章界、周鳴樂、方舟、李剛。
標準目次
前言 | Ⅲ |
|---|---|
引言 | Ⅳ |
1 範圍 | 1 |
2 規範性引用檔案 | 1 |
3 術語和定義 | 1 |
4 本標準的結構 | 1 |
5 獲得管理者對啟動ISMS項目的批准 | 4 |
6 定義ISMS範圍、邊界和ISMS方針策略 | 10 |
7 進行信息安全要求分析 | 15 |
8 進行風險評估和規劃風險處置 | 19 |
9 設計ISMS | 23 |
附錄A(資料性附錄)檢查表的描述 | 34 |
附錄B(資料性附錄)信息安全的角色和責任 | 37 |
附錄C(資料性附錄)有關內部審核的信息 | 40 |
附錄D(資料性附錄)方針策略的結構 | 41 |
附錄E(資料性附錄)監視和測量 | 45 |
參考文獻 | 49 |
參考資料:
內容範圍
國家標準《信息技術—安全技術—信息安全管理體系實施指南》(GB/T 31496-2015)依據《信息技術—安全技術—信息安全管理體系要求》(GB/T 22080-2008),關注設計和實施一個成功的信息安全管理體系(ISMS)所需要的關鍵方面,描述了ISMS規範及其設計的過程,從開始到產生實施計畫。該標準可供實施一個ISMS的組織使用,適用於各種規模和類型的組織(例如:商業企業、政府機構、非贏利組織)。
引用檔案
GB/T 22080-2008 信息技術—安全技術—信息安全管理體系—要求(ISO/IEC 27001:2005,IDT) GB/T 29246-2012 信息技術—安全技術—信息安全管理體系—概述和辭彙(ISO/IEC 27000:2009,IDT) |
參考資料:
意義價值
國家標準《信息技術—安全技術—信息安全管理體系實施指南》(GB/T 31496-2015)為實施ISMS描述了獲得管理者批准的過程,為實施ISMS定義了一個項目(該標準稱作ISMS項目),並就如何規劃該ISMS項目提供了相應的指導,產生最終的ISMS項目實施計畫。小型組織和大型組織通過使用該標準,將能夠制定信息安全管理的過程,並向利益相關方保證,信息資產的風險可持續保持在組織定義的可接受的信息安全邊界內。
