返回
国家标准信息技术安全技术信息安全控制措施审核员指南

国家标准信息技术安全技术信息安全控制措施审核员指南

ID:9836013

大小:78.50 KB

页数:7页

时间:2018-05-11

国家标准信息技术安全技术信息安全控制措施审核员指南_第1页
国家标准信息技术安全技术信息安全控制措施审核员指南_第2页
国家标准信息技术安全技术信息安全控制措施审核员指南_第3页
国家标准信息技术安全技术信息安全控制措施审核员指南_第4页
国家标准信息技术安全技术信息安全控制措施审核员指南_第5页
资源描述:

《国家标准信息技术安全技术信息安全控制措施审核员指南》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、国家标准《信息技术安全技术信息安全控制措施审核员指南》(报批稿)编制说明一、工作简况1.1任务来源:《信息技术安全技术信息安全控制措施审核员指南》是全国信息安全标准化技术委员会(全国信息安全标准化技术委员会秘书处)2012年下达的信息安全国家标准制定项目,由中国电子技术标准化研究院主要负责起草。工业和信息化部电子第五研究所、中国合格评定国家认可中心、北京赛西认证有限责任公司、北京时代新威信息技术有限公司等单位共同参与了该技术规范的起草工作。本指导性技术文件由全国信息安全标准化技术委员秘书处提出并归口,由中国电子技术标准化研究院承担。1.2主要工作过程:1.2012.12-2013.3

2、系统化查阅并梳理标准法、审计法、安全法、认证认可条例等文件与信息安全相关内容的总结,提出标准草案。2.2013.4-2013.6对已形成的《信息技术安全技术信息安全控制措施审核员指南》标准草案组织两次专家项目组内部评审,并就技术性翻译和标准中信息技术说明进行了修订。专家来自中国合格评定国家认可委员会、工业和信息化部电子第五研究所、中国电子技术标准化研究院等。3.2013.7--2013.11草案组内专家评审会,会后按照专家意见对文本进行了修改完善,形成了第二版草案文本。4.2013.12-2013.12通过了安标委WG7组的草案专家审查会。会后按照专家意见,对文本进行了修改完善,形成

3、了最终草案文本。5.2014年3月18日通过WG7组全体成员单位投票,投票通过率100%。会后根据各成员单位意见对标准草案文本进行了修改完善,形成标准征求意见稿文本。二、编制原则和主要内容2.1编制原则:《信息技术安全技术信息安全控制措施审核员指南》是信息安全管理体系标准族中标准之一。目前,我国在参考借鉴国际信息安全管理体系标准族(ISO/IEC27000系列)的基础上,等同转化了ISO/IEC27001:2005《信息技术安全技术信息安全管理体系要求》(对应国家标准GB/T22080:2008)、ISO/IEC27002:2005《信息技术安全技术信息安全管理使用规则》(对应国家标

4、准GB/T22081:2008)、ISO/IEC27006:2007《信息技术安全技术信息安全管理体系认证机构认可要求》(对应国家标准GB/T25067-2010)和ISO/IEC27007:2007《信息安全管理体系审核指南》(对应国家标准GB/T28450-2012),为国内各机构开展信息安全管理体系认证工作提供了依据和技术支撑。本指导性技术文件编制过程中,按照GB/T1.1-2009给出的规则起草,同时参考国家、信息安全相关法律、法规和标准的要求实施。鉴于该技术规范在整个信息安全管理体系标准族中的定位是一个技术性、指导性的标准,对于指导用户了解和落实该系列标准具有重要的作用;结

5、合我国信息安全管理体系相关标准的研制现状,从国际信息安全管理体系系列标准转化的完整性上讲,应为国内标准用户提供一份标准前后内容一致的参考指南。鉴于此编制组决定本指导性技术文件等同采用国际标准ISO/IEC27008:2011《信息技术安全技术审核员信息安全控制措施审核指南》。2.2主要内容本指导性技术文件是对GB/T22080—2008ISMS要求(ISO27001:2005IDT)、GB/T22081—2008ISMS实施规范(ISO27002 :2005IDT)、GB/Txxxxxx—yyyy(ISO/IEC27007:2008IDT)信息安全管理体系审核指南相关审核活动的技术性

6、补充,定位为对信息安全管理体系安全控制措施审核提供技术性指南。本指导性技术文件主要框架如下:前言引言1.范围2.规范性引用文件3.术语和定义4.技术报告的结构5.背景6.信息安全控制措施评审概述6.1评审过程6.2资源配置7.评审方法7.1概述7.2评审方法:检查7.2.1概述7.2.2属性7.3评审方法:访谈7.3.1概述7.3.2深度属性7.3.3广度属性7.4评审方法:测试7.4.1概述7.4.2测试类型7.4.3扩展的评审规程8活动8.1准备8.2制定计划8.2.1概述8.2.2范围8.2.3评审规程8.2.4与对象有关的考虑8.2.5以往的发现8.2.6工作分配8.2.7外

7、部系统8.2.8信息资产和组织8.2.9扩展的评审程序8.2.10优化8.2.11定稿8.3实施评审8.4分析并报告结果附录A(资料性附录)技术符合性检查实践指南附录B(资料性附录)初始信息收集(除信息技术以外)B.1人力资源和安全B.2策略B.3组织B.4物理和环境安全B.5事件管理上整体框架中,重点内容为:要素说明6.1评审过程信息安全管理体系的评审是一个系统的过程,评审过程包括收集相关信息,评审工作计划的范围,联络管理人员和组织相关部门负责人,评审风

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。