欢迎来到天天文库
浏览记录
ID:22511927
大小:214.50 KB
页数:23页
时间:2018-10-29
《信息安全管理体系审核指南》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、GB/T××××—××××发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会××××-××-××实施××××-××-××发布信息安全管理体系审核指南GuidelinesforInformationSecurityManagementSystemsAuditing(征求意见稿)GB/T××××—××××中华人民共和国国家标准ICS35,040L801GB/T××××—××××目次22GB/T××××—××××前言本标准由全国信息安全标准化技术委员会提出并归口;本标准起草单位:本标准主要起草人:。22GB/T××××—××××引言GB/T22080-2008/I
2、SO/IEC27001:2005是基于过程的。标准的4-8章规定了一组ISMS过程。过程可有简单过程和复杂过程。复杂过程又可包含许多较为简单的过程。例如,GB/T22080-2008/ISO/IEC27001:2005标准的5-8章:“管理职责”、“内部ISMS审核”、“ISMS的管理评审”和“ISMS改进”,可以看作构成ISMS管理体系的相互关系的4大主要过程。而每一个大过程又包含许多较小的过程。GB/T22080-2008/ISO/IEC27001:2005标准建议:组织使用PDCA模型,构建ISMS过程。这意味着,每一个过程都应有P(即计划),D(即实施、运行与维护)
3、,C(即监视、审核和评审)和A(即保持和改进)阶段。本指南旨在为信息安全管理体系(简称ISMS)审核员(包括内部审核员和外部审核员)执行ISMS审核提供指南,以确保ISMS审核:l既能符合GB/T22080-2008/ISO/IEC27001:2005标准的要求,又能与GB/T19011-2003/ISO19011:2002和ISO/IEC27006标准保持一致;l成为帮助受审核的组织完成其目标、改进其工作的一个增值活动。本标准为审核方案管理、内部和外部ISMS审核的实施以及审核员的能力评价提供了指南。本标准旨在适用于广泛的潜在使用者,包括审核员、实施ISMS的组织,因合同
4、原因需要对ISMS实施审核的组织以及合格评定领域中与审核员注册或培训、管理体系认证注册、认可或标准化有关组织。本标准旨在提供能够灵活运用的指南。如标准中多处所述,这些指南的使用可根据受审核方的规模、性质以及实施审核的目的和范围的不同而不同。本标准方框中的内容以实用帮助方式,针对特定的问题提供了补充指南或示例。在某些情况下,这些内容旨在为小型组织使用本标准提供支持。第4章描述了审核的原则,这些原则帮助使用者认识审核的基本性质,是第5,6,7章所必要的序言。第5章提供了管理审核方案的指南,覆盖了诸如为审核方案的管理分配职责、建立审核方案目的、协调审核活动和提供充分审核组所需资源
5、等内容。第6章提供了ISMS审核的指南,包括审核组的选择。第7章提供了审核员所需能力的指南,描述了评价审核员的过程。附录还提供了基于业务流程审核的指南和针对27001具体条款的审核指南。当ISMS与其他管理体系一起实施时,由本标准使用者决定这些管理体系审核是分别进行还是一起进行。本标准仅提供指南,但使用者可以应用该指南制定自己与审核有关的要求。此外,在监视与要求(如产品规范或法律法规)的符合性方面感兴趣的任何其他个人或组织,可以发现本标准中的指南是有用的。22GB/T××××—××××信息安全管理体系审核指南1.范围本标准为审核原则、审核方案管理、信息安全管理体系(ISMS
6、)审核的实施提供了指南,也对审核员的能力提供了指南。本标准适用于需要实施信息安全管理体系内部审核和外部审核或需要管理审核的所有组织。2.规范性引用文件下列参考文件对于本文件的应用是必不可少的,其中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。GB/T22080-2008/ISO/IEC27001:2005,信息技术—安全技术—信息安全管理体系要求GB/T22081-2008/ISO/IEC27002:2005,信息技术—安全技术—信息安全管理实用规则ISO/IEC2
7、7006:2005,信息技术—安全技术—信息安全管理体系审核认证机构要求GB/T27021-2007/ISO/IEC17021:2005,合格评定—管理体系审核认证机构的要求GB/T19000-2005/ISO9000:2005质量管理体系基础和术语GB/T19011-2003/ISO19011:2002质量和(或)环境管理体系审核指南3.术语和定义本标准接受包括GB/T19000-2000/ISO9000;GB/T19011-2003/ISO19011:2002、GB/T22080-2008/ISO/IEC270
此文档下载收益归作者所有