GBT 31496-2023信息技术 安全技术 信息安全管理体系 指南.docx

《GBT 31496-2023信息技术 安全技术 信息安全管理体系 指南.docx》由会员分享，可在线阅读，更多相关《GBT 31496-2023信息技术 安全技术 信息安全管理体系 指南.docx（39页珍藏版）》请在第一文库网上搜索。

1、ICS35.030CCS180中华人民共和国家标准GB/T314962023/1SO/1EC27003:2017代替GB/T31496-2015信息技术安全技术信息安全管理体系指南Informationtechno1ogy-Securitytechniques-Informationsecuritymanagementsystem-Guidance(ISO/IEC27003:2017,IDT)2023-12-01实施2023-05-23发布国家市场监督管理总局关在国家标准化管理委员会发布目次前言I11弓情IV1范围12规范性引用文件13术语和定义14组织环境141理解组织及其环境140理解相关

2、方的需求和期望3tQ确定信息安全管理体系范围34 4信息安全管理体系45 领导5KI领导和承诺549方针64q组织的角色，责任和权限76规划7A1应对风险和机会的措施76.1.1总则76.1.2信息安全风险评估96.1.3信息安全风险处置11R9信息安全目标及其实现规划137支持157I资源1579能力1672意识1774沟通177h文件化信息187.5.1总则187.5.2创建和更新197.5.3文件化信息的控制208运行21R1运行规划和控制21R）信息安全风险评估22RR信息安全风险处置229绩效评价23Q1监视、测量、分析和评价23Qi）内部审核24QR管理评审2610改进27in1不

3、符合及纠正措施279持续改进28附录A（资料性）方针的框架30参考文献32本文件按照GB/T1.1-2023标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件代替GB/T31496-2015信息技术安全技术信息安全管理体系实施指南。与GB/T31496-2015相比，主要技术变化如下：修改范围和标题，按照GB/T22080-2016而不是先前版本(GB/T22080-2008)的要求进行解释并给出指南；调整标准结构，使其与GB/T22080-2016的结构保持一致，便于用户使用；第一版采用了项目的方法，每个项目包含一系列活动。在修订版中不再采用项目的方法，而是提供了针对每个要

4、求的指南，不需要考虑这些要求的实现顺序。本文件使用翻译法等同采用国际标准IS0/IEC27003:2017信息技术安全技术信息安全管理体系指南。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位：中国电子技术标准化研窕院、中国网络安全审查技术与认证中心、中国合格评定国家认可中心、中电数据服务有限公司、中电长城网际系统应用有限公司、上海三零卫士信息安全有限公司、北京赛西认证有限责任公司、黑龙江质量产品检验检院、北京信息安全测评中心、重庆邮电大学、北京神州绿盟信息安全科技股份有限公司、中科院软件所等本文件主要起草人：王惠莅、上官晓丽、许玉娜、付志高、尤其、任泽君、

5、赵丽华、周亚超、范博、闵京华、干露、李媛、方舟、黄永洪等。本文件所代替文件的历次版本发布情况为：GB/T31496-2015o一一本文件为第一次修订。本文件提供了关于GB/T22080中规定的信息安全管理体系（ISUS）要求的指南，并提供了与之相关的建议（“宜”）、可能性（“能”）和允许（“可”）。本文件的目的不是提供信息安全的所有方面的一般指南。本文件第4章至10章反映了GB/T22080-2016的结构。本文件对ISMS及其相关术语和定义没有增加任何新的要求。组织应参照GB/T22080和GB/T29246的要求和定义。实施ISMS的组织没有义务遵守本文件中的指南。ISMS强调了以下几个阶

6、段的重要性：理解组织的需求及建立信息安全方针和信息安全目标的必要性；评估组织与信息安全相关的风险；实施和运行信息安全过程、控制和其他风险处理措施；监视和评审ISMS的绩效和有效性；进行持续改进。与其他类型的管理体系相似，ISMS包括以下关键要素：a）方针；b）有明确责任的人员；c）与以下相关的管理过程：D方针建立；2）意识和能力的提供；3）规划；4）实现；5）运行；6）绩效评估；7）管理评审；8）改进；d）文件化信息。ISMS还有其他关键要素，如：e）信息安全风险评估；f）信息安全风险处置，包括控制的确定和实现。本文件是通用的，旨在适用于所有组织，无论其类型、规模或性质。组织应根据其特定的组织

7、环境识别指南的哪一部分适用于自身（见GB/T22080-2016,第4章）。例如，一些指南可能更适合大型组织，但对于非常小的组织（例如少于10人），这些指南可能是不必要的或不适合的。第4至10章的描述结构如下：要求的活动:提出GB/T22080相应子条款所要求的关键活动；解释:解释GB/T22080的要求含义；一一指南:提供更详细或支持性的信息来实现“要求的活动”，包括实施的示例；其他信息:提供了可进一步考虑的信息。GB/T31496、GB/T31497和GB/T31722形成了一套文件，为GB/T22080-2016提供支持和指南。其中，GB/T31496是一个对GB/T22080的所有要求

8、提供指南的基本的和全面的文件，但其没有关于“监视、测量、分析和评价”和信息安全风险管理的详细描述。GB/T31497和GB/T31722侧重于特定内容，并对“监视、测量、分析和评价”和信息安全风险管理提供了更详细的指南。GB/T22080中有几处对文档化信息的明确引用。然而，组织可以保留其确定的对其管理体系有效性必要的附加文件化信息作为对GB/T22080-2016,7.5.1b)响应的一部分。在这些情况下，本文件使用“只有组织从形式上和程度上明确了保留该活动及其结果的文件化信息对其管理体系有效性而言是必要时，保留该活动及其结果的文件化信息才是必需的(强制性的)(GB/T22080-2016的

9、7.5.1b)”的表述。信息技术安全技术信息安全管理体系指南1范围本文件为GB/T220802016提供了解释说明和指南。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T220802016信息技术安全技术信息安全管理体系要求（ISO/IEC27001:2013,IDT）GB/T292462017信息技术安全技术信息安全管理体系概述和词汇（ISO/IEC27000:2016,IDT）3术语和定义下列文件中的内容通过文中的规范性引用而构成本

10、文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T292462017界定的术语和定义适用于本文件。4组织环境41理解组织及其环境要求的活动组织确定与其意图相关的，且影响其实现信息安全管理体系（ISMS）预期结果能力的外部和内部事项。解释作为ISMS的一项必需功能，组织要持续分析自身及其所处环境。这些分析关注内部和外部事项，这些事项会以某种方式影响信息安全以及如何管理信息安全，并与组织的目标有关。分析这些事项有三个目的：一一理解环境以决定ISMS的范围；一一分析环境，以确定风险和机会；一一确保ISM

11、S适应不断变化的外部和内部事项。外部事项超出组织的控制范围，通常称为组织的环境。环境分析可包括以下方面：a）社会和文化；b）政治、法律、法规和规范；c）金融和宏观经济；d）技术；e）自然；f）竞争情况。以上所提及的组织环境会不断出现影响信息安全以及如何管理信息安全的事项。相关外部事项取决于组织自身的特定优先级和具体情况。例如，一个特定组织的外部事项可以包括：g）使用外包信息技术服务的法律要求（法律方面）；h）发生火灾、洪水和地震等自然灾害的可能性（自然方面）；i）黑客工具的技术进步以及使用加密技术（技术方面）；j）对组织服务的一般需求（社会、文化或财务方面）。内部事项在组织的控制范围内。内部事

12、项分析可包括以下方面：k）组织的文化；1）策略、目标以及实现这些目标的战略；m）治理、组织架构、角色和责任；n）组织采用的标准、指南和模型；o）直接影响ISMS范围内的组织过程的合同关系；P）过程和程序；q）资源和知识方面的能力（如资金、时间、人员、过程、系统和技术）；r）物理基础设施和环境；s）信息系统、信息流和决策过程（包括正式和非正式的）；t）之前的审核结果和之前的风险评估结果。本节活动结果用于4.3、6.1和9.3。指南基于对组织意图（如参考其使命声明或业务计划）以及组织的ISMS的预期结果的理解，组织应：一一评审外部环境，以确定相关外部事项；评审内部方面，以确定相关内部事项。为识别相

13、关事项，可以询问以下问题：上述特定类别的事项（参见4.1a）至4.1t）如何影响信息安全目标。以下三个内部事项作为示例：示例1（有关治理和组织架构，参见4.1In）：建立ISMS时，宜考虑到现有的治理和组织架构。例如，组织可以基于其他现有管理体系架构对其ISMS架构进行建模，并合并一些通用功能，如管理评审和审核。示例2（有关策略、目标和战略，参见4.21）：对现有策略、目标和战略的分析可以说明组织计划实现什么目标，以及信息安全目标如何与业务目标保持一致以确保结果成功。示例3（有关信息系统和信息流，参见4.1s）：确定内部事项时，组织宜详细识别各个信息系统之间的信息流。由于外部和内部事项都将随着

14、时间而变化，宜定期评审这些事项及其对ISMS范围、约束和要求的影响。只有组织从形式上和程度上明确了保留该活动及其结果的文件化信息对其管理体系有效性而言是必要时，保留该活动及其结果的文件化信息才是必需的（强制性的）（见GB/T22080的7.5.1b）。其他信息在GB/T29246（ISO/IEC27000）中，“组织”的定义指出：”组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校，或部分或其组合，不论注册与否,公有的还是私营的。”上述示例中既包括整个法律实体，也可以不是。有四种情况：1）组织是一个法律或行政实体（如个体经营者、公司、法人、商行、企业、机关

15、、合伙关系、慈善机构或院校，或部分或其组合，不论注册与否，公有的还是私营的）；2）组织是部分法律或行政实体（如公司、法人、企业的一部分）；3）组织是多个法律或行政实体的组合（如个体经营者、大公司、法人、企业的联盟）；和4）组织是多个部分法律或行政实体的组合（如俱乐部、行业协会）。49理解相关方的需求和期望要求的活动组织确定ISUS相关方及其与信息安全相关的要求。解释术语“相关方”（见GB/T292462017的2.41）,是指对于一项决策或活动，可能对其产生影响，或被其影响，或认为自己受到其影响的人或组织。在组织内部和外部都可以找到相关方，对组织的信息安全有特定的需求、期望和要求。注：关于相关方，GB/T29246-2017翻译为了受益相关方，GB/T22080-2016则使用的是相关方。外部相关方可以包括：a