標(biāo)準(zhǔn)解讀

《GB/T 22080-2008 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》是中國(guó)采用ISO/IEC 27001:2005標(biāo)準(zhǔn)而制定的國(guó)家標(biāo)準(zhǔn),主要針對(duì)組織如何建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)信息安全管理體系(ISMS)提供了框架。該標(biāo)準(zhǔn)適用于所有類型和規(guī)模的組織,不論其性質(zhì)為何,旨在通過系統(tǒng)的方法來管理信息資產(chǎn)面臨的風(fēng)險(xiǎn),確保信息的機(jī)密性、完整性和可用性。

根據(jù)此標(biāo)準(zhǔn),組織需要識(shí)別并評(píng)估與自身業(yè)務(wù)相關(guān)的安全風(fēng)險(xiǎn),并基于這些風(fēng)險(xiǎn)選擇適當(dāng)?shù)目刂拼胧┘右詰?yīng)對(duì)。它強(qiáng)調(diào)了領(lǐng)導(dǎo)層的支持對(duì)于ISMS成功的重要性,同時(shí)也要求定期評(píng)審ISMS的有效性以及進(jìn)行必要的調(diào)整以適應(yīng)內(nèi)外部環(huán)境的變化。此外,還規(guī)定了文件化的要求,包括制定信息安全政策、程序及記錄等,以便為整個(gè)體系提供支持。

在具體實(shí)施過程中,《GB/T 22080-2008》推薦了一系列最佳實(shí)踐指南,覆蓋了從人力資源安全到物理和環(huán)境安全管理等多個(gè)方面。例如,在訪問控制領(lǐng)域,它建議采用多層次的身份驗(yàn)證機(jī)制;對(duì)于信息系統(tǒng)獲取、開發(fā)與維護(hù),則提倡遵循安全開發(fā)生命周期模型等。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 22080-2016
  • 2008-06-19 頒布
  • 2008-11-01 實(shí)施
?正版授權(quán)
GB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求_第1頁
GB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求_第2頁
GB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求_第3頁
GB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求_第4頁
GB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求_第5頁
已閱讀5頁,還剩27頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求-免費(fèi)下載試讀頁

文檔簡(jiǎn)介

犐犆犛35.040

犔80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005

信息技術(shù)安全技術(shù)

信息安全管理體系要求

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊—

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋狊狔狊狋犲犿狊—犚犲狇狌犻狉犲犿犲狀狋狊

(ISO/IEC27001:2005,IDT)

20080619發(fā)布20081101實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4信息安全管理體系(ISMS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5管理職責(zé)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6ISMS內(nèi)部審核!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

7ISMS的管理評(píng)審!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

8ISMS改進(jìn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

附錄A(規(guī)范性附錄)控制目標(biāo)和控制措施!!!!!!!!!!!!!!!!!!!!!!!9

附錄B(資料性附錄)OECD原則和本標(biāo)準(zhǔn)!!!!!!!!!!!!!!!!!!!!!!!19

附錄C(資料性附錄)GB/T19001—2000,GB/T24001—2004和本標(biāo)準(zhǔn)之間的對(duì)照!!!!!20

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005

前言

本標(biāo)準(zhǔn)等同采用ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》,僅有編

輯性修改。

本標(biāo)準(zhǔn)的附錄A是規(guī)范性附錄,附錄B和附錄C是資料性附錄。

本標(biāo)準(zhǔn)由中華人民共和國(guó)信息產(chǎn)業(yè)部提出。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。

本標(biāo)準(zhǔn)由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所、上海三零衛(wèi)士有限公司、北京知識(shí)安全工程中心、北京市信

息安全測(cè)評(píng)中心、北京數(shù)字認(rèn)證中心負(fù)責(zé)起草。

本標(biāo)準(zhǔn)主要起草人:上官曉麗、許玉娜、胡嘯、王新杰、趙戰(zhàn)生、王連強(qiáng)、曾波、孔一童、劉海峰、

湯永利、尚小鵬、閔京華。

犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005

引言

0.1總則

本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系(InformationSecurity

ManagementSystem,簡(jiǎn)稱ISMS)提供模型。采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組

織ISMS的設(shè)計(jì)和實(shí)施受其需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響,上述

因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。按照組織的需要實(shí)施ISMS是本標(biāo)準(zhǔn)所期望的,例如,簡(jiǎn)單的情況

可采用簡(jiǎn)單的ISMS解決方案。

本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評(píng)估。

0.2過程方法

本標(biāo)準(zhǔn)采用過程方法來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)組織的ISMS。

為使組織有效運(yùn)作,需要識(shí)別和管理眾多相互關(guān)聯(lián)的活動(dòng)。通過使用資源和管理,將輸入轉(zhuǎn)化為輸

出的活動(dòng)可視為過程。通常,一個(gè)過程的輸出直接形成下一個(gè)過程的輸入。

組織內(nèi)諸過程的系統(tǒng)的應(yīng)用,連同這些過程的識(shí)別和相互作用及其管理,可稱之為“過程方法”。

本標(biāo)準(zhǔn)中提出的用于信息安全管理的過程方法鼓勵(lì)其用戶強(qiáng)調(diào)以下方面的重要性:

a)理解組織的信息安全要求和建立信息安全方針與目標(biāo)的需要;

b)從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度,實(shí)施和運(yùn)行控制措施,以管理組織的信息安全風(fēng)險(xiǎn);

c)監(jiān)視和評(píng)審ISMS的執(zhí)行情況和有效性;

d)基于客觀測(cè)量的持續(xù)改進(jìn)。

本標(biāo)準(zhǔn)采用了“規(guī)劃(Plan)—實(shí)施(Do)—檢查(Check)—處置(Act)”(PDCA)模型,該模型可應(yīng)用

于所有的ISMS過程。圖1說明了ISMS如何把相關(guān)方的信息安全要求和期望作為輸入,并通過必要

的行動(dòng)和過程,產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。圖1也描述了第4章、第5章、第6章、

第7章和第8章所提出的過程間的聯(lián)系。

圖1應(yīng)用于犐犛犕犛過程的犘犇犆犃模型

犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005

采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南(2002版)1)中所設(shè)置的原則。

本標(biāo)準(zhǔn)為實(shí)施OECD指南中規(guī)定的風(fēng)險(xiǎn)評(píng)估、安全設(shè)計(jì)和實(shí)施、安全管理和再評(píng)估的原則提供了一個(gè)

強(qiáng)健的模型。

例1:某些信息安全違規(guī)不至于給組織造成嚴(yán)重的財(cái)務(wù)損失和/或使組織陷入困境。這可能是一種

要求。

例2:如果發(fā)生了嚴(yán)重的事件(可能是組織的電子商務(wù)網(wǎng)站被黑客入侵)應(yīng)有經(jīng)充分培訓(xùn)的員工按

照適當(dāng)?shù)囊?guī)程,將事件的影響降至最小。這可能是一種期望。

建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、

規(guī)劃(建立ISMS)

過程和規(guī)程,以提供與組織總方針和總目標(biāo)相一致的結(jié)果。

實(shí)施(實(shí)施和運(yùn)行ISMS)實(shí)施和運(yùn)行ISMS方針、控制措施、過程和規(guī)程。

對(duì)照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn),評(píng)估并在適當(dāng)時(shí)測(cè)量過

檢查(監(jiān)視和評(píng)審ISMS)

程的執(zhí)行情況,并將結(jié)果報(bào)告管理者以供評(píng)審。

基于ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信

處置(保持和改進(jìn)ISMS)

息,采取糾正和預(yù)防措施,以持續(xù)改進(jìn)ISMS。

0.3與其他管理體系的兼容性

本標(biāo)準(zhǔn)與GB/T19001—2000及GB/T24001—2004相結(jié)合,以支持與相關(guān)管理標(biāo)準(zhǔn)一致的、整合

的實(shí)施和運(yùn)行。因此,一個(gè)設(shè)計(jì)恰當(dāng)?shù)墓芾眢w系可以滿足所有這些標(biāo)準(zhǔn)的要求。表C.1說明了本標(biāo)

準(zhǔn)、GB/T19001—2000和GB/T24001—2004的各條款之間的關(guān)系。

本標(biāo)準(zhǔn)的設(shè)計(jì)能夠使一個(gè)組織將其ISMS與其他相關(guān)的管理體系要求結(jié)合或整合起來。

1)OECD信息系統(tǒng)和網(wǎng)絡(luò)安全指南———面向安全文化。巴黎:OECD,2002年7月。www.oecd.org

犌犅/犜22080—2008/犐犛犗/犐犈犆27001:2005

信息技術(shù)安全技術(shù)

信息安全管理體系要求

重要提示:本出版物不聲稱包括一個(gè)合同所有必要的條款。用戶負(fù)責(zé)對(duì)其進(jìn)行正確的應(yīng)用。符合

標(biāo)準(zhǔn)本身并不獲得法律責(zé)任的豁免。

1范圍

1.1總則

本標(biāo)準(zhǔn)適用于所有類型的組織(例如,商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織)。本標(biāo)準(zhǔn)從組織的整體業(yè)

務(wù)風(fēng)險(xiǎn)的角度,為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系(ISMS)規(guī)定了

要求。它規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。

ISMS的設(shè)計(jì)應(yīng)確保選擇適當(dāng)和相宜的安全控制措施,以充分保護(hù)信息資產(chǎn)并給予相關(guān)方信心。

注1:本標(biāo)準(zhǔn)中的“業(yè)務(wù)”一詞應(yīng)廣義的解釋為關(guān)系一個(gè)組織生存的核心活動(dòng)。

注2:GB/T22081—2008提供了設(shè)計(jì)控制措施時(shí)可使用的實(shí)施指南。

1.2應(yīng)用

本標(biāo)準(zhǔn)規(guī)定的要求是通用的,適用于各種類型、規(guī)模和特性的組織

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評(píng)論

0/150

提交評(píng)論