《信息技術—安全技術—信息安全管理體系審核指南》(GB/T 28450-2020)是2021年7月1日實施的一項中華人民共和國國家標準,歸口於全國信息安全標準化技術委員會。
《信息技術—安全技術—信息安全管理體系審核指南》(GB/T 28450-2020)在《管理體系審核指南》(GB/T 19011-2013)的基礎上,為信息安全管理體系(ISMS)審核方案管理、審核實施提供了指南,並對ISMS審核員能力提供了評價指南。該標準適用於需要理解或實施ISMS的內部或外部審核,或需要管理ISMS審核方案的所有組織。
基本介紹
- 中文名:信息技術—安全技術—信息安全管理體系審核指南
- 外文名:Information technology—Security techniques—Guidelines for information security management systems auditing
- 標準號:GB/T 28450-2020
- 發布日期:2020-12-14
- 實施日期:2021-07-01
- 全部代替標準:GB/T 28450-2012
- 中國標準分類號:L80
- 國際標準分類號:35.040
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:中華人民共和國國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,編制進程,修訂依據,修訂情況,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
編制進程
- 標準計畫
2019年3月28日,國家標準計畫《信息技術—安全技術—信息安全管理體系審核指南》(20190913-T-469)下達,項目周期24個月,由TC260(全國信息安全標準化技術委員會)提出,並歸口上報及執行,主管部門為中華人民共和國國家標準化管理委員會。
- 發布實施
2020年12月14日,國家標準《信息技術—安全技術—信息安全管理體系審核指南》(GB/T 28450-2020)由中華人民共和國國家市場監督管理總局、中華人民共和國國家標準化管理委員會發布。
2021年7月1日,國家標準《信息技術—安全技術—信息安全管理體系審核指南》(GB/T 28450-2020)實施。
修訂依據
國家標準《信息技術—安全技術—信息安全管理體系審核指南》(GB/T 28450-2020)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫》(GB/T 1.1-2009)規則起草。
修訂情況
《信息技術—安全技術—信息安全管理體系審核指南》(GB/T 28450-2020)代替《信息技術—安全技術—信息安全管理體系審核指南》(GB/T 28450-2012),與《信息技術—安全技術—信息安全管理體系審核指南》(GB/T 28450-2012)相比,主要技術性變化如下:
- 刪除了ISMS特定審核原則的內容;
- 刪除了審核方案管理流程圖;
- 刪除了審核方案內容;
- 增加了審核方案管理人員能力的內容;
- 增加了審核方案範圍和詳略程度確定的內容;
- 增加了審核方案風險識別和評估的內容;
- 修改了審核方案實施的內容;
- 刪除了審核方案記錄的內容;
- 刪除了審核組長指定的內容;
- 刪除了實用幫助信息收集注意事項;
- 刪除了審核報告批准的內容;
- 刪除了能力概念圖;
- 刪除了個人素質的內容;
- 增加了個人行為的內容;
- 刪除了ISMS特定及相關專業知識和技能的內容;
- 增加了管理體系審核員特定領域與專業知識和技能的內容 ;
- 增加了多領域管理體系審核知識和技能的內容;
- 刪除了教育、工作經歷,審核員培訓和審核經歷的內容;
- 增加了審核員能力獲得的內容;
- 修改了審核員評價的內容;
- 重新組織了附錄的內容,刪除了原標準的五個附錄,增加了附錄A:ISMS審核實踐指南,與《信息技術—安全技術—信息安全管理體系審核指南》(ISO/IEC 27007:2017)附錄A保持一致。
該標準使用翻譯法等同採用《信息技術—安全技術—信息安全管理體系審核指南》(ISO/IEC 27007:2017)。
與該標準中規範性引用的國際檔案有一致性對應關係的中國檔案如下:
- 《管理體系審核指南》(GB/T 19011-2013)(ISO 19011:2011,IDT)
- 《信息技術—安全技術—信息安全管理體系―要求》(GB/T 22080-2016)(ISO/IEC 27001:2013,IDT)
- 《信息技術—安全技術—信息安全管理體系—概述和辭彙》(GB/T 29246-2017)(ISO/IEC 2700:2016,IDT)
該標準做了下列編輯性修改:
在引言中對該標準中涉及的部分術語和定義,與其他標準相關內容的關係進行了說明;
在參考文獻中增加了國際檔案ISO/lEC 27017。
起草工作
主要起草單位:北京時代新威信息技術有限公司、中國網路安全審查技術與認證中心、中國電子技術標準化研究院、全國組織機構統一社會信用代碼數據服務中心。
主要起草人:王新傑、王連強、張劍、上官曉麗、孫鎮、趙捷、鄭瑋、陳劍博、郭樂宇、汪洋、曹宇、程瑜琦、王姣、孫泰、李晟飛 。
標準目次
目次 | Ⅰ |
|---|---|
前言 | Ⅱ |
引言 | Ⅲ |
1 範圍 | 1 |
2 規範性引用檔案 | 1 |
3 術語和定義 | 1 |
4 審核原則 | 1 |
5 審核方案的管理 | 1 |
6 實施審核 | 4 |
7 審核員的能力和評價 | 6 |
附錄A | 8 |
參考文獻 | 33 |
參考資料:
內容範圍
《信息技術—安全技術—信息安全管理體系審核指南》(GB/T 28450-2020)在《管理體系審核指南》(GB/T 19011-2013)的基礎上,為信息安全管理體系(ISMS)審核方案管理、審核實施提供了指南,並對ISMS審核員能力提供了評價指南。該標準適用於需要理解或實施ISMS的內部或外部審核,或需要管理ISMS審核方案的所有組織。
引用檔案
GB/T 19011-2013 管理體系審核指南 GB/T 29246-2017 信息技術—安全技術—信息安全管理體系—概述和辭彙 GB/T 22080-2016 信息技術—安全技術—信息安全管理體系—要求 |
參考資料:
意義價值
國家標準《信息技術—安全技術—信息安全管理體系審核指南》(GB/T 28450-2020)旨在分析中國信息安全管理體系審核的現狀,即《信息安全技術—信息安全管理體系審核指南》(GB/T 28450-2012)的套用情況,通過對中國信息安全管理體系審核方法及實踐的研究,結合ISO/IEC JTC1/SC27的《信息技術—安全技術—信息安全管理體系審核指南》(ISO/IEC 27007)項目,確定中國信息安全管理體系審核指南的框架結構和內容體系,對中國國家標準《信息安全技術—信息安全管理體系審核指南》(GB/T 28450-2012)進行修訂,為中國信息安全管理體系審核認證機構及審核人員實施信息安全管理體系審核提供更加成熟的方法論和指導,從而進一步促進信息安全管理體系在中國的套用,提高中國的信息安全水平。
