標準解讀

《GB/T 31496-2023 信息技術(shù) 安全技術(shù) 信息安全管理體系 指南》與《GB/T 31496-2015 信息技術(shù) 安全技術(shù) 信息安全管理體系實施指南》相比,在內(nèi)容和結(jié)構(gòu)上進行了調(diào)整,以更好地適應當前的信息安全管理環(huán)境和技術(shù)發(fā)展需求。主要變更包括但不限于以下幾個方面:

  1. 標準名稱變化:從“實施指南”改為“指南”,反映了新版本更加注重為組織提供一個全面的安全管理框架指導,而不僅僅是實施層面的建議。

  2. 更新了術(shù)語定義:隨著信息安全領域的發(fā)展,一些新的概念和技術(shù)被引入或重新定義,因此新版標準對相關術(shù)語進行了修訂,確保其準確性和時效性。

  3. 強化風險管理過程:針對日益復雜多變的安全威脅,新版標準加強了對風險評估、處理及監(jiān)控的要求,幫助企業(yè)更有效地識別潛在風險,并采取適當措施加以控制。

  4. 增加了隱私保護相關內(nèi)容:鑒于近年來個人數(shù)據(jù)泄露事件頻發(fā)以及全球范圍內(nèi)對于個人信息保護法律法規(guī)的不斷出臺和完善,《GB/T 31496-2023》特別強調(diào)了在建立ISMS時需要考慮的數(shù)據(jù)主體權(quán)利和個人信息保護要求。

  5. 改進了文檔化信息管理:考慮到數(shù)字化轉(zhuǎn)型背景下企業(yè)運營模式的變化,新版標準對如何有效管理和保護電子形式存在的文檔化信息提出了更為具體的操作指南。

  6. 增強了持續(xù)改進機制:為了保證信息安全管理體系能夠隨著內(nèi)外部環(huán)境的變化而不斷優(yōu)化升級,《GB/T 31496-2023》進一步明確了持續(xù)改進流程的重要性,并給出了具體的實施步驟。

  7. 提高了與其他管理體系標準的一致性:通過采用ISO/IEC Directives Part 1中的高級結(jié)構(gòu)(HLS),使得該標準更容易與其他基于HLS的質(zhì)量管理體系、環(huán)境管理體系等進行整合,從而促進組織內(nèi)部不同管理體系之間的協(xié)調(diào)運作。

這些變動體現(xiàn)了中國國家標準體系緊跟國際趨勢,致力于提升國內(nèi)企事業(yè)單位信息安全管理水平的努力方向。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2023-05-23 頒布
  • 2023-12-01 實施
?正版授權(quán)
GB/T 31496-2023信息技術(shù)安全技術(shù)信息安全管理體系指南_第1頁
GB/T 31496-2023信息技術(shù)安全技術(shù)信息安全管理體系指南_第2頁
GB/T 31496-2023信息技術(shù)安全技術(shù)信息安全管理體系指南_第3頁
GB/T 31496-2023信息技術(shù)安全技術(shù)信息安全管理體系指南_第4頁
GB/T 31496-2023信息技術(shù)安全技術(shù)信息安全管理體系指南_第5頁
已閱讀5頁,還剩39頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 31496-2023信息技術(shù)安全技術(shù)信息安全管理體系指南-免費下載試讀頁

文檔簡介

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T31496—2023/ISO/IEC270032017

:

代替GB/T31496—2015

信息技術(shù)安全技術(shù)

信息安全管理體系指南

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystems—Guidance

ISO/IEC270032017IDT

(:,)

2023-05-23發(fā)布2023-12-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T31496—2023/ISO/IEC270032017

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

組織語境

4…………………1

理解組織及其語境

4.1…………………1

理解利益相關方的需求和期望

4.2……………………3

確定信息安全管理體系范圍

4.3………………………4

信息安全管理體系

4.4…………………5

領導

5………………………5

領導和承諾

5.1…………………………5

方針

5.2…………………6

組織的角色責任和權(quán)限

5.3、……………7

規(guī)劃

6………………………8

應對風險和機會的措施

6.1……………8

信息安全目標及其實現(xiàn)規(guī)劃

6.2………………………14

支持

7………………………16

資源

7.1…………………16

勝任力

7.2………………17

意識

7.3…………………17

溝通

7.4…………………18

文件化信息

7.5…………………………19

運行

8………………………22

運行規(guī)劃和控制

8.1……………………22

信息安全風險評估

8.2…………………23

信息安全風險處置

8.3…………………23

績效評價

9…………………24

監(jiān)視測量分析和評價

9.1、、……………24

內(nèi)部審核

9.2……………25

管理評審

9.3……………27

改進

10……………………28

不符合項及糾正措施

10.1……………28

GB/T31496—2023/ISO/IEC270032017

:

持續(xù)改進

10.2…………………………30

附錄資料性策略框架

A()………………32

參考文獻

……………………34

GB/T31496—2023/ISO/IEC270032017

:

前言

本文件按照標準化工作導則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術(shù)安全技術(shù)信息安全管理體系實施指南與

GB/T31496—2015《》,

相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下

GB/T31496—2015,,:

更改了范圍按照的要求進行解釋并提供指南

———,GB/T22080—2016;

上一版采用了項目的方法每個項目包含一系列活動在修訂版中不再采用項目的方法而是

———,。,

提供了針對每個要求的指南不需要考慮這些要求的實現(xiàn)順序

,。

本文件等同采用信息技術(shù)安全技術(shù)信息安全管理體系指南

ISO/IEC27003:2017《》。

本文件做了下列最小限度的編輯性改動

:

增加了的注

———4.2。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國電子技術(shù)標準化研究院中國網(wǎng)絡安全審查技術(shù)與認證中心中國合格評定

:、、

國家認可中心杭州安恒信息技術(shù)股份有限公司中國石油天然氣股份有限公司長慶石化分公司騰訊

、、、

云計算北京有限責任公司中電長城網(wǎng)際系統(tǒng)應用有限公司上海三零衛(wèi)士信息安全有限公司北京

()、、、

賽西認證有限責任公司西安電子科技大學黑龍江省網(wǎng)絡空間研究中心北京信息安全測評中心中國

、、、、

科學院軟件研究所重慶郵電大學安徽科技學院北京神州綠盟科技有限公司中通服咨詢設計研究院

、、、、

有限公司北京中科微瀾科技有限公司

、。

本文件主要起草人王惠蒞上官曉麗許玉娜付志高任澤君尤其周亞超趙麗華范博

:、、、、、、、、、

閔京華張東舉馬文平干露李媛方舟張立武梁偉黃永洪張恒曹浩尹曉鵬宋雪高麗芬

、、、、、、、、、、、、、、

陳洪楊牧天裴心平

、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2015GB/T31496—2015;

本次為第一次修訂

———。

GB/T31496—2023/ISO/IEC270032017

:

引言

本文件提供了關于中規(guī)定的信息安全管理體系要求的指南并提供了與之相

GB/T22080(ISMS),

關的建議宜可能性可能和允許可本文件的目的不是提供信息安全的所有方面的一般

(“”)、(“”)(“”)。

指南

本文件第章第章反映了的結(jié)構(gòu)

4~10GB/T22080—2016。

本文件沒有增加對的任何新要求及其相關術(shù)語和定義組織宜參照的要求和

ISMS。GB/T22080

的定義實施的組織沒有義務遵守本文件中的指南

GB/T29246。ISMS。

強調(diào)了以下幾個階段的重要性

ISMS:

理解組織的需求及建立信息安全方針和信息安全目標的必要性

———;

評估組織與信息安全相關的風險

———;

實施和運行信息安全過程控制和其他風險處理措施

———、;

監(jiān)視和評審的績效和有效性

———ISMS;

進行持續(xù)改進

———。

與其他類型的管理體系相似包括以下關鍵組成要素

,ISMS。

方針

a)。

有明確責任的人員

b)。

相關的管理過程

c):

方針建立

1);

意識和能力的提供

2);

規(guī)劃

3);

實現(xiàn)

4);

運行

5);

績效評估

6);

管理評審

7);

改進

8)。

文件化信息

d)。

還有其他關鍵組成要素諸如

ISMS,:

信息安全風險評估

e);

信息安全風險處置包括控制的確定和實現(xiàn)

f),。

本文件是通用的旨在適用于所有組織無論其類型規(guī)?;蛐再|(zhì)組織宜根據(jù)其特定的組織環(huán)境

,,、。

識別本文件對其適用的部分見中第章

(GB/T22080—20164)。

例如一些指南可能更適合大型組織但對于非常小的組織例如少于人這些指南中的一些內(nèi)

,,(10),

容可能是不必要的或不適合的

。

第章第章的描述結(jié)構(gòu)如下

4~10:

所需活動提出相應條款所要求的關鍵活動

———:GB/T22080;

解釋解釋要求的含義

———:GB/T22080;

指南提供更詳細或支持性的信息來實現(xiàn)所要求活動包括實施的示例

———:“”,;

其他信息提供了可能進一步考慮的信息

———:。

和形成了一套文件支持并提供指

GB/T31496、GB/T31497GB/T31722,GB/T22080—2016

GB/T31496—2023/ISO/IEC270032017

:

南其中是對的所有要求提供指南的一個基本的和全面的文件但其沒有

。,GB/T31496GB/T22080,

關于監(jiān)視測量分析和評價和信息安全風險管理的詳細描述和側(cè)重于

“、、”。GB/T31497GB/T31722

特定內(nèi)容并分別對監(jiān)視測量分析和評價和信息安全風險管理提供了更詳細的指南

,“、、”。

在中有多處明確地提及了文件化信息盡管如此組織仍可能確定持有對其管理體

GB/T22080。,

系有效性所需的附加文件化信息并作為響應中的部分在這些情況

,GB/T22080—20167.5.1b)。

下本文件使用僅在組織確定對其管理體系有效性所需的形式和范圍內(nèi)有關該活動及其結(jié)果的文件

,“,

化信息是強制性的見中的表述

[GB/T22080—20167.5.1b)]”。

GB/T31496—2023/ISO/IEC270032017

:

信息技術(shù)安全技術(shù)

信息安全管理體系指南

1范圍

本文件為提供了解釋說明和指南

GB/T22080—2016。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2016(ISO/IEC27001:2013,

IDT)

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權(quán),嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論