信息技術(shù) 安全技術(shù) 信息安全管理體系審核指南-編制說(shuō)明

國(guó)家標(biāo)準(zhǔn)報(bào)批稿資料一、工作簡(jiǎn)況1、任務(wù)來(lái)源根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2018年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃：《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》，該標(biāo)準(zhǔn)由北京時(shí)代新威信息技術(shù)有限公司負(fù)責(zé)承辦，計(jì)劃號(hào)：2018BZXD-WG7-001。該標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理。2、主要起草單位和工作組成員該標(biāo)準(zhǔn)由北京時(shí)代新威信息技術(shù)有限公司主要負(fù)責(zé)起草，協(xié)作起草單位為中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、全國(guó)組織機(jī)構(gòu)統(tǒng)一社會(huì)信用代碼數(shù)據(jù)服務(wù)中心，主要起草人：王新杰、王連強(qiáng)、鄭瑋、陳劍博、張劍、程瑜琦、上官曉麗、王姣、孫鎮(zhèn)、趙捷、孫泰、李晟飛。其中，王新杰、王連強(qiáng)、張劍、上官曉麗、孫鎮(zhèn)、趙捷負(fù)責(zé)編制過(guò)程總體領(lǐng)導(dǎo)，標(biāo)準(zhǔn)前言的編寫(xiě)，以及全文校對(duì)；鄭瑋、陳劍博、程瑜琦、王姣、孫泰、李晟飛負(fù)責(zé)標(biāo)準(zhǔn)正文編寫(xiě)以及相關(guān)背景資料的調(diào)研。3、主要工作過(guò)程標(biāo)準(zhǔn)制定的主要工作過(guò)程如下：成立編制組。2018年8月，接到全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)關(guān)于標(biāo)準(zhǔn)制定任務(wù)之后，課題組負(fù)責(zé)人隨即召集標(biāo)準(zhǔn)編制組的相關(guān)成員開(kāi)會(huì)，具體討論和分配了小組的任務(wù)、標(biāo)準(zhǔn)修訂的重要事項(xiàng)以及需注意的事項(xiàng)。形成標(biāo)準(zhǔn)草案。2018年8月-9月，標(biāo)準(zhǔn)編制組開(kāi)展信息安全管理體系審核指南的研究。標(biāo)準(zhǔn)編制組分析梳理了國(guó)內(nèi)外信息安全管理體系審核指南的應(yīng)用情況，對(duì)ISO/IEC27007標(biāo)準(zhǔn)等文檔進(jìn)行了深入研究，據(jù)此編制完成《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》標(biāo)準(zhǔn)草案。2018年10月18日，召開(kāi)專家評(píng)審會(huì)，就標(biāo)準(zhǔn)草案征求部分專家意見(jiàn)，并根據(jù)意見(jiàn)對(duì)草案進(jìn)行了修改完善。形成標(biāo)準(zhǔn)征求意見(jiàn)稿。2018年10月24日-26日，WG7工作組面向全體工作組成員單位進(jìn)行草案標(biāo)準(zhǔn)投票，表決通過(guò)，工作組建議形成征求意見(jiàn)稿。標(biāo)準(zhǔn)編制組根據(jù)意見(jiàn)進(jìn)行修改完善，形成征求意見(jiàn)稿第一稿。2018年11月28日，WG7開(kāi)展工作組標(biāo)準(zhǔn)審查，編制組根據(jù)審查意見(jiàn)對(duì)標(biāo)準(zhǔn)征求意見(jiàn)稿進(jìn)行了修改完善。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題1、標(biāo)準(zhǔn)編制原則本標(biāo)準(zhǔn)在編制過(guò)程中遵循了等同采用、準(zhǔn)確理解和語(yǔ)言通暢的原則。等同采用：基于目前國(guó)內(nèi)對(duì)國(guó)際ISMS標(biāo)準(zhǔn)族相關(guān)標(biāo)準(zhǔn)的研究和轉(zhuǎn)化情況，以及我國(guó)整體信息安全管理理論和技術(shù)發(fā)展現(xiàn)狀，決定等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27007《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》最新版本。準(zhǔn)確理解：在充分理解國(guó)際標(biāo)準(zhǔn)原文的基礎(chǔ)上進(jìn)行等同翻譯，做到準(zhǔn)確表達(dá)原意。語(yǔ)言通暢：在等同翻譯時(shí)，盡量符合中文的語(yǔ)言習(xí)慣，做到表述通暢。2、標(biāo)準(zhǔn)解決的問(wèn)題及主要內(nèi)容國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)信息安全管理體系審核指南》（GB/T28450-2012）所引用的《質(zhì)量和（或）環(huán)境管理體系審核指南》（GB/T19011-2003）和《信息安全安全技術(shù)信息安全管理體系要求》（GB/T22080-2008）均已修訂，管理體系審核的基本流程、思路和方法已調(diào)整，且審核對(duì)象的內(nèi)容也隨著GB/T22080的修訂發(fā)生了變化，因此亟需制定并發(fā)布新版國(guó)家標(biāo)準(zhǔn)《信息安全管理體系審核指南》。國(guó)際標(biāo)準(zhǔn)化組織也于2017年10月發(fā)布了新版標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》（ISO/IEC27007:2017）。因此，為給我國(guó)ISMS審核認(rèn)證機(jī)構(gòu)及審核人員實(shí)施ISMS體系審核提供更加成熟的方法論和指導(dǎo)，有必要等同采納國(guó)際標(biāo)準(zhǔn)，重新修訂GB/T28450-2012，為ISMS相關(guān)技術(shù)和應(yīng)用提供最新的基礎(chǔ)標(biāo)準(zhǔn)支撐。該標(biāo)準(zhǔn)在GB/T19011—2013的基礎(chǔ)上，為信息安全管理體系（InformationSecurityManagementSystem，以下簡(jiǎn)稱ISMS）審核方案管理、審核實(shí)施提供了指南，并對(duì)ISMS審核員能力提供了評(píng)價(jià)指南。該標(biāo)準(zhǔn)適用于需要理解或?qū)嵤㊣SMS的內(nèi)部或外部審核，或需要管理ISMS審核方案的所有組織。三、主要試驗(yàn)[或驗(yàn)證]情況分析標(biāo)準(zhǔn)編制組已請(qǐng)中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心等認(rèn)證機(jī)構(gòu)對(duì)《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》進(jìn)行了試用，標(biāo)準(zhǔn)試用效果良好。四、知識(shí)產(chǎn)權(quán)情況說(shuō)明本標(biāo)準(zhǔn)不涉及專利。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果該標(biāo)準(zhǔn)作為實(shí)施指南，可為ISMS審核認(rèn)證機(jī)構(gòu)或內(nèi)部審核組織的審核人員提供ISMS審核（包括外部審核和內(nèi)部審核）的指南，幫助其完成審核方案管理、審核啟動(dòng)、審核活動(dòng)準(zhǔn)備、審核活動(dòng)實(shí)施、審核報(bào)告編制和分發(fā)、審核完成、審核后續(xù)活動(dòng)實(shí)施等相關(guān)工作，此外，該標(biāo)準(zhǔn)還可為ISMS審核認(rèn)證機(jī)構(gòu)或內(nèi)部審核組織提供審核員管理指南，幫助其對(duì)ISMS審核員實(shí)施有效管理，對(duì)ISMS審核員的能力進(jìn)行定期評(píng)價(jià)，以督促審核員能力的不斷提升。六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況該標(biāo)準(zhǔn)等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27007:2017《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》。該標(biāo)準(zhǔn)宜與ISO19011:2011中包含的指南一起使用。該標(biāo)準(zhǔn)遵循ISO19011:2011的結(jié)構(gòu)，在ISMS審核中應(yīng)用GB/T19011—2013實(shí)施的ISMS特定指南，用字母“IS”加以標(biāo)識(shí)。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性該標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求。該標(biāo)準(zhǔn)與現(xiàn)有國(guó)家標(biāo)準(zhǔn)不矛盾、不沖突，也不重復(fù)。八、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)無(wú)。九、標(biāo)準(zhǔn)性質(zhì)的建議根據(jù)該標(biāo)準(zhǔn)的性質(zhì)，建議該標(biāo)準(zhǔn)為推薦性標(biāo)準(zhǔn)。十、貫徹標(biāo)準(zhǔn)的要求和措施建議該標(biāo)準(zhǔn)是信息安全管理體系的基礎(chǔ)性標(biāo)準(zhǔn)，是ISMS審核人員開(kāi)展ISMS審核工作的基本工具，因此建議在所有ISMS審核人員（包括內(nèi)部審核人員和外部審核人員）中進(jìn)行宣貫和培訓(xùn)。十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議建議該標(biāo)準(zhǔn)替代《信息安全技術(shù)信息安全管理體系審核指南》（GB/T28450-2012）。十二、其它應(yīng)予說(shuō)明的事項(xiàng)無(wú)。國(guó)家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》（征求意見(jiàn)稿）編制說(shuō)明國(guó)家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》（征求意見(jiàn)稿）編制說(shuō)明國(guó)家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系審