国家标准信息技术安全技术信息安全控制措施审核员指南
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家标准《信息技术安全技术信息安全控制措施审核员指
南》(报批稿)编制说明
一、工作简况
1.1任务来源:
《信息技术安全技术信息安全控制措施审核员指南》是全国信息安全标准化技术委员会(全国信息安全标准化技术委员会秘书处)2012年下达的信息安全国家标准制定项目,由中国电子技术标准化研究院主要负责起草。工业和信息化部电子第五研究所、中国合格评定国家认可中心、北京赛西认证有限责任公司、北京时代新威信息技术有限公司等单位共同参与了该技术规范的起草工作。本指导性技术文件由全国信息安全标准化技术委员秘书处提出并归口,由中国电子技术标准化研究院承担。
1.2主要工作过程:
1. 201
2.12-201
3.3系统化查阅并梳理标准法、审计法、安全法、认证认可条例等文件与信息安全相关内容的总结,提出标准草案。
2. 201
3.4-2013.6对已形成的《信息技术安全技术信息安全控制措施审核员指南》标准草案组织两次专家项目组内部评审,并就技术性翻译和标准中信息技术说明进行了修订。专家来自中国合格评定国家认可委员会、工业和信息化部电子第五研究所、中国电子技术标准化研究院等。
3. 2013.7--2013.11 草案组内专家评审会,会后按照专家意见对文本进行了修改完善,形成了第二版草案文本。
4.2013.12-2013.12通过了安标委WG7组的草案专家审查会。会后按照专家意见,对文本进行了修改完善,形成了最终草案文本。
5.2014年3月18日通过WG7组全体成员单位投票,投票通过率100%。会后根据各成员单位意见对标准草案文本进行了修改完善,形成标准征求意见稿文本。
二、编制原则和主要内容
2.1 编制原则:
《信息技术安全技术信息安全控制措施审核员指南》是信息安全管理体系标准族中标准之一。目前,我国在参考借鉴国际信息安全管理体系标准族
(ISO/IEC 27000系列)的基础上,等同转化了ISO/IEC 27001:2005《信息技术安全技术信息安全管理体系要求》(对应国家标准GB/T 22080:2008)、ISO/IEC 27002:2005《信息技术安全技术信息安全管理使用规则》(对应国家标准GB/T 22081:2008)、ISO/IEC 27006:2007《信息技术安全技术信息安全管理体系认证机构认可要求》(对应国家标准GB/T 25067-2010)和ISO/IEC 27007:2007《信息安全管理体系审核指南》(对应国家标准GB/T 28450-2012),为国内各机构开展信息安全管理体系认证工作提供了依据和技术支撑。
本指导性技术文件编制过程中,按照GB/T 1.1-2009给出的规则起草,同时参考国家、信息安全相关法律、法规和标准的要求实施。鉴于该技术规范在整个信息安全管理体系标准族中的定位是一个技术性、指导性的标准,对于指导用户了解和落实该系列标准具有重要的作用;结合我国信息安全管理体系相关标准的研制现状,从国际信息安全管理体系系列标准转化的完整性上讲,应为国内标准用户提供一份标准前后内容一致的参考指南。鉴于此编制组决定本指导性技术文件等同采用国际标准ISO/IEC 27008:2011《信息技术安全技术审核员信息安全控制措施审核指南》。
2.2 主要内容
本指导性技术文件是对GB/T 22080—2008 ISMS 要求(ISO 27001:2005 IDT )、GB/T 22081—2008 ISMS实施规范(ISO 27002 :2005 IDT)、GB/T xxxxxx —yyyy(ISO/IEC 27007:2008 IDT)信息安全管理体系审核指南相关审核活动的技术性补充,定位为对信息安全管理体系安全控制措施审核提供技术性指南。
本指导性技术文件主要框架如下:
前言
引言
1.范围
2.规范性引用文件
3.术语和定义
4.技术报告的结构
5.背景
6.信息安全控制措施评审概述
6.1评审过程
6.2 资源配置
7.评审方法
7.1 概述
7.2 评审方法:检查
7.2.1 概述
7.2.2 属性
7.3 评审方法:访谈
7.3.1 概述
7.3.2 深度属性
7.3.3 广度属性
7.4 评审方法:测试
7.4.1 概述
7.4.2 测试类型
7.4.3 扩展的评审规程
8 活动
8.1 准备
8.2 制定计划
8.2.1概述
8.2.2范围
8.2.3评审规程
8.2.4 与对象有关的考虑
8.2.5 以往的发现
8.2.6工作分配
8.2.7 外部系统
8.2.8 信息资产和组织
8.2.9 扩展的评审程序
8.2.10 优化
8.2.11 定稿
8.3 实施评审
8.4 分析并报告结果
附录A(资料性附录)技术符合性检查实践指南
附录B (资料性附录)初始信息收集(除信息技术以外)B.1人力资源和安全
B.2策略
B.3组织
B.4物理和环境安全
B.5事件管理
上整体框架中,重点内容为:
三、主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果
本指导性技术文件制定与目前国家开展信息安全管理体系认证工作紧密相关,作为了解和实施信息安全管理体系标准族的技术标准之一,本指导性技术文件与ISO/IEC 27007相互补充,相辅相成。为按照风险评估的结果所选择的控制措施提供了审核的指导;同时标准提供了对运营和实施控制措施是否符合组织已