ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31496—2015/ISO/IEC270032010

:

信息技術(shù)安全技術(shù)

信息安全管理體系實(shí)施指南

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystemimplementationguidance

(ISO/IEC27003:2010,IDT)

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

中華人民共和國(guó)

國(guó)家標(biāo)準(zhǔn)

信息技術(shù)安全技術(shù)

信息安全管理體系實(shí)施指南

GB/T31496—2015/ISO/IEC27003:2010

*

中國(guó)標(biāo)準(zhǔn)出版社出版發(fā)行

北京市朝陽(yáng)區(qū)和平里西街甲號(hào)

2(100029)

北京市西城區(qū)三里河北街號(hào)

16(100045)

網(wǎng)址

:

服務(wù)熱線(xiàn)

:400-168-0010

年月第一版

20156

*

書(shū)號(hào)

:155066·1-51118

版權(quán)專(zhuān)有侵權(quán)必究

GB/T31496—2015/ISO/IEC270032010

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

本標(biāo)準(zhǔn)的結(jié)構(gòu)

4……………1

章條的總結(jié)構(gòu)

4.1………………………1

每章的一般結(jié)構(gòu)

4.2……………………2

圖表

4.3…………………3

獲得管理者對(duì)啟動(dòng)項(xiàng)目的批準(zhǔn)

5ISMS…………………4

獲得管理者對(duì)啟動(dòng)項(xiàng)目的批準(zhǔn)的概要

5.1ISMS……………………4

闡明組織開(kāi)發(fā)的優(yōu)先級(jí)

5.2ISMS……………………5

定義初步的范圍

5.3ISMS……………7

制定初步的范圍

5.3.1ISMS…………7

定義初步的范圍內(nèi)的角色和責(zé)任

5.3.2ISMS………8

為了管理者的批準(zhǔn)而創(chuàng)建業(yè)務(wù)案例和項(xiàng)目計(jì)劃

5.4…………………8

定義范圍邊界和方針策略

6ISMS、ISMS……………10

定義范圍邊界和方針策略的概述

6.1ISMS、ISMS………………10

定義組織的范圍和邊界

6.2……………11

定義信息通信技術(shù)的范圍和邊界

6.3(ICT)…………12

定義物理范圍和邊界

6.4………………13

集成每一個(gè)范圍和邊界以獲得的范圍和邊界

6.5ISMS……………14

制定方針策略和獲得管理者的批準(zhǔn)

6.6ISMS………14

進(jìn)行信息安全要求分析

7…………………15

進(jìn)行信息安全要求分析的概述

7.1……………………15

定義過(guò)程的信息安全要求

7.2ISMS…………………17

標(biāo)識(shí)范圍內(nèi)的資產(chǎn)

7.3ISMS…………17

進(jìn)行信息安全評(píng)估

7.4…………………18

進(jìn)行風(fēng)險(xiǎn)評(píng)估和規(guī)劃風(fēng)險(xiǎn)處置

8…………19

進(jìn)行風(fēng)險(xiǎn)評(píng)估和規(guī)劃風(fēng)險(xiǎn)處置的概述

8.1……………19

進(jìn)行風(fēng)險(xiǎn)評(píng)估

8.2………………………21

選擇控制目標(biāo)和控制措施

8.3…………21

獲得管理者對(duì)實(shí)施和運(yùn)行的授權(quán)

8.4ISMS…………22

設(shè)計(jì)

9ISMS………………23

設(shè)計(jì)的概述

9.1ISMS…………………23

設(shè)計(jì)組織的信息安全

9.2………………25

Ⅰ

GB/T31496—2015/ISO/IEC270032010

:

設(shè)計(jì)信息安全的最終組織結(jié)構(gòu)

9.2.1………………25

設(shè)計(jì)的文件框架

9.2.2ISMS………………………26

設(shè)計(jì)信息安全方針策略

9.2.3………………………27

制定信息安全標(biāo)準(zhǔn)和規(guī)程

9.2.4……………………28

設(shè)計(jì)安全和物理信息安全

9.3ICT…………………29

設(shè)計(jì)特定的信息安全

9.4ISMS………………………31

管理評(píng)審的計(jì)劃

9.4.1………………31

設(shè)計(jì)信息安全意識(shí)培訓(xùn)和教育方案

9.4.2、………32

產(chǎn)生最終的項(xiàng)目計(jì)劃

9.5ISMS………………………33

附錄資料性附錄檢查表的描述

A()……………………34

附錄資料性附錄信息安全的角色和責(zé)任

B()…………37

附錄資料性附錄有關(guān)內(nèi)部審核的信息

C()……………40

附錄資料性附錄方針策略的結(jié)構(gòu)

D()…………………41

附錄資料性附錄監(jiān)視和測(cè)量

E()………………………45

參考文獻(xiàn)

……………………49

Ⅱ

GB/T31496—2015/ISO/IEC270032010

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施

ISO/IEC27003:2010《

指南

》。

本標(biāo)準(zhǔn)做了以下編輯性修改

:

在引言部分增加了有關(guān)信息安全管理體系標(biāo)準(zhǔn)族情況的介紹

———。

本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院上海三零衛(wèi)士信息安全有限公司山東省計(jì)算中心

:、、、

黑龍江省電子信息產(chǎn)品監(jiān)督檢驗(yàn)院北京信息安全測(cè)評(píng)中心中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司

、、。

本標(biāo)準(zhǔn)主要起草人上官曉麗許玉娜董火民閔京華趙章界周鳴樂(lè)方舟李剛

:、、、、、、、。

Ⅲ

GB/T31496—2015/ISO/IEC270032010

:

引言

信息安全管理體系標(biāo)準(zhǔn)族簡(jiǎn)稱(chēng)標(biāo)準(zhǔn)族是國(guó)際

(InformationSecurityManagementSystem,ISMS)

信息安全技術(shù)標(biāo)準(zhǔn)化組織制定的信息安全管理體系系列國(guó)際標(biāo)準(zhǔn)標(biāo)準(zhǔn)

(ISO/IECJTC1SC27)。ISMS

族旨在幫助各種類(lèi)型和規(guī)模的組織開(kāi)發(fā)和實(shí)施管理其信息資產(chǎn)安全的框架并為保護(hù)組織信息諸如

,,(,

財(cái)務(wù)信息知識(shí)產(chǎn)權(quán)員工詳細(xì)資料或者受客戶(hù)或第三方委托的信息的的獨(dú)立評(píng)估做準(zhǔn)備

、、,)ISMS。

標(biāo)準(zhǔn)族包括的標(biāo)準(zhǔn)定義了的要求及其認(rèn)證機(jī)構(gòu)的要求提供了對(duì)整個(gè)規(guī)劃實(shí)施檢

ISMS:a)ISMS;b)“--

查處置過(guò)程和要求的直接支持詳細(xì)指南和或解釋闡述了特定行業(yè)的指南闡

-”(PDCA)、();c)ISMS;d)

述了的一致性評(píng)估

ISMS。

目前標(biāo)準(zhǔn)族由下列標(biāo)準(zhǔn)組成

,ISMS:

信息技術(shù)安全技術(shù)信息安全管理體系概述

———GB/T29246—2012/ISO/IEC27000:2009

和詞匯

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2008/ISO/IEC27001:2005

信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則

———GB/T22081—2008/ISO/IEC27002:2005

信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施

———GB/T31496—2015/ISO/IEC27003:2010

指南

信息技術(shù)安全技術(shù)信息安全管理測(cè)量

———GB/T31497—2015/ISO/IEC27004:2009

信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理

———GB/T31722—2015/ISO/IEC27005:2008

信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)

———GB/T25067—2010/ISO/IEC27006:2007

證機(jī)構(gòu)的要求

信息技術(shù)安全技術(shù)信息安全管理體系審核指南

———ISO/IEC27007

信息技術(shù)安全技術(shù)基于的電信行業(yè)組織的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

信息技術(shù)安全技術(shù)和集成實(shí)施指南

———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1

信息技術(shù)安全技術(shù)信息安全治理

———ISO/IEC27014:2013

信息技術(shù)安全技術(shù)金融服務(wù)信息安全管理指南

———ISO/IECTR27015:2012

本標(biāo)準(zhǔn)作為標(biāo)準(zhǔn)族之一其目的是為組織按照制定信息安全管理體系

ISMS,GB/T22080—2008

的實(shí)施計(jì)劃提供實(shí)用指導(dǎo)實(shí)際情況下的實(shí)施通常作為一個(gè)項(xiàng)目來(lái)執(zhí)行

(ISMS),。,ISMS。

本標(biāo)準(zhǔn)所描述的過(guò)程旨在為實(shí)施提供支持第章第章和第章所包含的

GB/T22080—2008;4、57

相關(guān)部分和文件可用于

:

準(zhǔn)備啟動(dòng)組織的實(shí)施計(jì)劃定義該項(xiàng)目的組織結(jié)構(gòu)及獲得管理者的批準(zhǔn)

a)ISMS、,;

該項(xiàng)目的關(guān)鍵活動(dòng)

b)ISMS;

實(shí)現(xiàn)要求的示例

c)GB/T22080—2008。

通過(guò)使用本標(biāo)準(zhǔn)組織將能夠制定信息安全管理的過(guò)程并向利益相關(guān)方保證信息資產(chǎn)的風(fēng)險(xiǎn)可

,,,

持續(xù)保持在組織定義的可接受的信息安全邊界內(nèi)

。

本標(biāo)準(zhǔn)不涉及運(yùn)行活動(dòng)和其他活動(dòng)但涉及了如何設(shè)計(jì)這些活動(dòng)的概念這些活動(dòng)是在開(kāi)始

ISMS,,

運(yùn)行后所產(chǎn)生的這些概念導(dǎo)致了最終的項(xiàng)目實(shí)施計(jì)劃項(xiàng)目的組織特定部分的

ISMS。ISMS。ISMS

實(shí)際執(zhí)行不在本標(biāo)準(zhǔn)范圍內(nèi)

。

項(xiàng)目的實(shí)施宜使用標(biāo)準(zhǔn)的項(xiàng)目管理方法學(xué)來(lái)執(zhí)行更多信息請(qǐng)參見(jiàn)和有關(guān)項(xiàng)

ISMS(ISOISO/IEC

目管理的標(biāo)準(zhǔn)

)。

Ⅳ

GB/T31496—2015/ISO/IEC270032010

:

信息技術(shù)安全技術(shù)

信息安全管理體系實(shí)施指南

1范圍

本標(biāo)準(zhǔn)依據(jù)關(guān)注設(shè)計(jì)和實(shí)施一個(gè)成功的信息安全管理體系所需要的

GB/T22080—2008,(ISMS)

關(guān)鍵方面本標(biāo)準(zhǔn)描述了規(guī)范及其設(shè)計(jì)的過(guò)程從開(kāi)始到產(chǎn)生實(shí)施計(jì)劃本標(biāo)準(zhǔn)為實(shí)施

。ISMS,。ISMS

描述了獲得管理者批準(zhǔn)的過(guò)程為實(shí)施定義了一個(gè)項(xiàng)目本標(biāo)準(zhǔn)稱(chēng)作項(xiàng)目并就如何規(guī)劃

,ISMS(ISMS),

該項(xiàng)目提供了相應(yīng)的指導(dǎo)產(chǎn)生最終的項(xiàng)目實(shí)施計(jì)劃

ISMS,ISMS。

本標(biāo)準(zhǔn)可供實(shí)施一個(gè)的組織使用適用于各種規(guī)模和類(lèi)型的組織例如商業(yè)企業(yè)政府機(jī)

ISMS,(,、

構(gòu)非贏利組織每個(gè)組織的復(fù)雜性和風(fēng)險(xiǎn)都是獨(dú)特的并且其特定的要求將驅(qū)動(dòng)的實(shí)施小

、)。,ISMS。

型組織將發(fā)現(xiàn)本標(biāo)準(zhǔn)中所提及的活動(dòng)可適用于他們并可進(jìn)行簡(jiǎn)化大型組織或復(fù)雜的組織可能會(huì)發(fā)

,,。

現(xiàn)為了有效地管理本標(biāo)準(zhǔn)中的活動(dòng)需要層次化的組織架構(gòu)或管理體系然而無(wú)論是大型組織還是

,,。,

小型組織都可應(yīng)用本標(biāo)準(zhǔn)來(lái)規(guī)劃相關(guān)的活動(dòng)

,