GBT 314962023信息技术 安全技术 信息安全管理体系 指南.docx
《GBT 314962023信息技术 安全技术 信息安全管理体系 指南.docx》由会员分享,可在线阅读,更多相关《GBT 314962023信息技术 安全技术 信息安全管理体系 指南.docx(39页珍藏版)》请在第一文库网上搜索。
1、ICS35.030CCS180中华人民共和国家标准GB/T314962023/1SO/1EC27003:2017代替GB/T31496-2015信息技术安全技术信息安全管理体系指南Informationtechno1ogy-Securitytechniques-Informationsecuritymanagementsystem-Guidance(ISO/IEC27003:2017,IDT)2023-12-01实施2023-05-23发布国家市场监督管理总局关在国家标准化管理委员会发布目次前言I11弓情IV1范围12规范性引用文件13术语和定义14组织环境141理解组织及其环境140理解相关
2、方的需求和期望3tQ确定信息安全管理体系范围34 4信息安全管理体系45 领导5KI领导和承诺549方针64q组织的角色,责任和权限76规划7A1应对风险和机会的措施76.1.1总则76.1.2信息安全风险评估96.1.3信息安全风险处置11R9信息安全目标及其实现规划137支持157I资源1579能力1672意识1774沟通177h文件化信息187.5.1总则187.5.2创建和更新197.5.3文件化信息的控制208运行21R1运行规划和控制21R)信息安全风险评估22RR信息安全风险处置229绩效评价23Q1监视、测量、分析和评价23Qi)内部审核24QR管理评审2610改进27in1不
3、符合及纠正措施279持续改进28附录A(资料性)方针的框架30参考文献32本文件按照GB/T1.1-2023标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件代替GB/T31496-2015信息技术安全技术信息安全管理体系实施指南。与GB/T31496-2015相比,主要技术变化如下:修改范围和标题,按照GB/T22080-2016而不是先前版本(GB/T22080-2008)的要求进行解释并给出指南;调整标准结构,使其与GB/T22080-2016的结构保持一致,便于用户使用;第一版采用了项目的方法,每个项目包含一系列活动。在修订版中不再采用项目的方法,而是提供了针对每个要
4、求的指南,不需要考虑这些要求的实现顺序。本文件使用翻译法等同采用国际标准IS0/IEC27003:2017信息技术安全技术信息安全管理体系指南。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国电子技术标准化研窕院、中国网络安全审查技术与认证中心、中国合格评定国家认可中心、中电数据服务有限公司、中电长城网际系统应用有限公司、上海三零卫士信息安全有限公司、北京赛西认证有限责任公司、黑龙江质量产品检验检院、北京信息安全测评中心、重庆邮电大学、北京神州绿盟信息安全科技股份有限公司、中科院软件所等本文件主要起草人:王惠莅、上官晓丽、许玉娜、付志高、尤其、任泽君、
5、赵丽华、周亚超、范博、闵京华、干露、李媛、方舟、黄永洪等。本文件所代替文件的历次版本发布情况为:GB/T31496-2015o一一本文件为第一次修订。本文件提供了关于GB/T22080中规定的信息安全管理体系(ISUS)要求的指南,并提供了与之相关的建议(“宜”)、可能性(“能”)和允许(“可”)。本文件的目的不是提供信息安全的所有方面的一般指南。本文件第4章至10章反映了GB/T22080-2016的结构。本文件对ISMS及其相关术语和定义没有增加任何新的要求。组织应参照GB/T22080和GB/T29246的要求和定义。实施ISMS的组织没有义务遵守本文件中的指南。ISMS强调了以下几个阶
6、段的重要性:理解组织的需求及建立信息安全方针和信息安全目标的必要性;评估组织与信息安全相关的风险;实施和运行信息安全过程、控制和其他风险处理措施;监视和评审ISMS的绩效和有效性;进行持续改进。与其他类型的管理体系相似,ISMS包括以下关键要素:a)方针;b)有明确责任的人员;c)与以下相关的管理过程:D方针建立;2)意识和能力的提供;3)规划;4)实现;5)运行;6)绩效评估;7)管理评审;8)改进;d)文件化信息。ISMS还有其他关键要素,如:e)信息安全风险评估;f)信息安全风险处置,包括控制的确定和实现。本文件是通用的,旨在适用于所有组织,无论其类型、规模或性质。组织应根据其特定的组织
7、环境识别指南的哪一部分适用于自身(见GB/T22080-2016,第4章)。例如,一些指南可能更适合大型组织,但对于非常小的组织(例如少于10人),这些指南可能是不必要的或不适合的。第4至10章的描述结构如下:要求的活动:提出GB/T22080相应子条款所要求的关键活动;解释:解释GB/T22080的要求含义;一一指南:提供更详细或支持性的信息来实现“要求的活动”,包括实施的示例;其他信息:提供了可进一步考虑的信息。GB/T31496、GB/T31497和GB/T31722形成了一套文件,为GB/T22080-2016提供支持和指南。其中,GB/T31496是一个对GB/T22080的所有要求
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GBT 314962023信息技术 安全技术 信息安全管理体系 指南 314962023 信息技术 信息 安全管理 体系