GB-T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南.pdf
- 文档编号:14660551
- 上传时间:2023-06-25
- 格式:PDF
- 页数:56
- 大小:1.13MB
GB-T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南.pdf
《GB-T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南.pdf》由会员分享,可在线阅读,更多相关《GB-T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南.pdf(56页珍藏版)》请在冰点文库上搜索。
ICS35.040L80中华人民共和国国家标准GB/T314962015/ISO/IEC27003:
2010信息技术安全技术信息安全管理体系实施指南InformationtechnologySecuritytechniquesInformationsecuritymanagementsystemimplementationguidance(ISO/IEC27003:
2010,IDT)2015-05-15发布2016-01-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布中华人民共和国国家标准信息技术安全技术信息安全管理体系实施指南GB/T314962015/ISO/IEC27003:
2010*中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号(100045)网址:
www.gb168.cn服务热线:
400-168-0010010-685220062015年6月第一版*书号:
1550661-51118版权专有侵权必究目次前言引言1范围12规范性引用文件13术语和定义14本标准的结构14.1章条的总结构14.2每章的一般结构24.3图表35获得管理者对启动ISMS项目的批准45.1获得管理者对启动ISMS项目的批准的概要45.2阐明组织开发ISMS的优先级55.3定义初步的ISMS范围75.3.1制定初步的ISMS范围75.3.2定义初步的ISMS范围内的角色和责任85.4为了管理者的批准而创建业务案例和项目计划86定义ISMS范围、边界和ISMS方针策略106.1定义ISMS范围、边界和ISMS方针策略的概述106.2定义组织的范围和边界116.3定义信息通信技术(ICT)的范围和边界126.4定义物理范围和边界136.5集成每一个范围和边界以获得ISMS的范围和边界146.6制定ISMS方针策略和获得管理者的批准147进行信息安全要求分析157.1进行信息安全要求分析的概述157.2定义ISMS过程的信息安全要求177.3标识ISMS范围内的资产177.4进行信息安全评估188进行风险评估和规划风险处置198.1进行风险评估和规划风险处置的概述198.2进行风险评估218.3选择控制目标和控制措施218.4获得管理者对实施和运行ISMS的授权229设计ISMS239.1设计ISMS的概述239.2设计组织的信息安全25GB/T314962015/ISO/IEC27003:
20109.2.1设计信息安全的最终组织结构259.2.2设计ISMS的文件框架269.2.3设计信息安全方针策略279.2.4制定信息安全标准和规程289.3设计ICT安全和物理信息安全299.4设计ISMS特定的信息安全319.4.1管理评审的计划319.4.2设计信息安全意识、培训和教育方案329.5产生最终的ISMS项目计划33附录A(资料性附录)检查表的描述34附录B(资料性附录)信息安全的角色和责任37附录C(资料性附录)有关内部审核的信息40附录D(资料性附录)方针策略的结构41附录E(资料性附录)监视和测量45参考文献49GB/T314962015/ISO/IEC27003:
2010前言本标准按照GB/T1.12009给出的规则起草。
本标准使用翻译法等同采用ISO/IEC27003:
2010信息技术安全技术信息安全管理体系实施指南。
本标准做了以下编辑性修改:
在引言部分增加了有关信息安全管理体系标准族情况的介绍。
本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:
中国电子技术标准化研究院、上海三零卫士信息安全有限公司、山东省计算中心、黑龙江省电子信息产品监督检验院、北京信息安全测评中心、中电长城网际系统应用有限公司。
本标准主要起草人:
上官晓丽、许玉娜、董火民、闵京华、赵章界、周鸣乐、方舟、李刚。
GB/T314962015/ISO/IEC27003:
2010引言信息安全管理体系标准族(InformationSecurityManagementSystem,简称ISMS标准族)是国际信息安全技术标准化组织(ISO/IECJTC1SC27)制定的信息安全管理体系系列国际标准。
ISMS标准族旨在帮助各种类型和规模的组织,开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如,财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的ISMS的独立评估做准备。
ISMS标准族包括的标准:
a)定义了ISMS的要求及其认证机构的要求;b)提供了对整个“规划-实施-检查-处置”(PDCA)过程和要求的直接支持、详细指南和(或)解释;c)阐述了特定行业的ISMS指南;d)阐述了ISMS的一致性评估。
目前,ISMS标准族由下列标准组成:
GB/T292462012/ISO/IEC27000:
2009信息技术安全技术信息安全管理体系概述和词汇GB/T220802008/ISO/IEC27001:
2005信息技术安全技术信息安全管理体系要求GB/T220812008/ISO/IEC27002:
2005信息技术安全技术信息安全管理实用规则GB/T314962015/ISO/IEC27003:
2010信息技术安全技术信息安全管理体系实施指南GB/T314972015/ISO/IEC27004:
2009信息技术安全技术信息安全管理测量GB/T317222015/ISO/IEC27005:
2008信息技术安全技术信息安全风险管理GB/T250672010/ISO/IEC27006:
2007信息技术安全技术信息安全管理体系审核认证机构的要求ISO/IEC27007信息技术安全技术信息安全管理体系审核指南ISO/IEC27011:
2008信息技术安全技术基于ISO/IEC27002的电信行业组织的信息安全管理指南ISO/IEC27013:
2012信息技术安全技术ISO/IEC27001和ISO/IEC20000-1集成实施指南ISO/IEC27014:
2013信息技术安全技术信息安全治理ISO/IECTR27015:
2012信息技术安全技术金融服务信息安全管理指南本标准作为ISMS标准族之一,其目的是为组织按照GB/T220802008制定信息安全管理体系(ISMS)的实施计划,提供实用指导。
实际情况下,ISMS的实施通常作为一个项目来执行。
本标准所描述的过程旨在为实施GB/T220802008提供支持;第4章、第5章和第7章所包含的相关部分和文件可用于:
a)准备启动组织的ISMS实施计划、定义该项目的组织结构,及获得管理者的批准;b)该ISMS项目的关键活动;c)实现GB/T220802008要求的示例。
通过使用本标准,组织将能够制定信息安全管理的过程,并向利益相关方保证,信息资产的风险可持续保持在组织定义的可接受的信息安全边界内。
本标准不涉及运行活动和其他ISMS活动,但涉及了如何设计这些活动的概念,这些活动是在开始运行ISMS后所产生的。
这些概念导致了最终的ISMS项目实施计划。
ISMS项目的组织特定部分的实际执行不在本标准范围内。
ISMS项目的实施宜使用标准的项目管理方法学来执行(更多信息请参见ISO和ISO/IEC有关项目管理的标准)。
GB/T314962015/ISO/IEC27003:
2010信息技术安全技术信息安全管理体系实施指南1范围本标准依据GB/T220802008,关注设计和实施一个成功的信息安全管理体系(ISMS)所需要的关键方面。
本标准描述了ISMS规范及其设计的过程,从开始到产生实施计划。
本标准为实施ISMS描述了获得管理者批准的过程,为实施ISMS定义了一个项目(本标准称作ISMS项目),并就如何规划该ISMS项目提供了相应的指导,产生最终的ISMS项目实施计划。
本标准可供实施一个ISMS的组织使用,适用于各种规模和类型的组织(例如,商业企业、政府机构、非赢利组织)。
每个组织的复杂性和风险都是独特的,并且其特定的要求将驱动ISMS的实施。
小型组织将发现,本标准中所提及的活动可适用于他们,并可进行简化。
大型组织或复杂的组织可能会发现,为了有效地管理本标准中的活动,需要层次化的组织架构或管理体系。
然而,无论是大型组织还是小型组织,都可应用本标准来规划相关的活动。
本标准提出了一些建议及其说明,但并没有规定任何要求。
期望把本标准与GB/T220802008和GB/T220812008一起使用,但不期望修改和/或降低GB/T220802008中所规定的要求,或修改和/或降低GB/T220812008所提供的建议。
因此,不宜声称符合这一标准。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T220802008信息技术安全技术信息安全管理体系要求(ISO/IEC27001:
2005,IDT)GB/T292462012信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC27000:
2009,IDT)3术语和定义GB/T292462012和GB/T220802008界定的以及下列术语和定义适用于本文件。
3.1ISMS项目ISMSproject组织为实施一个ISMS所开展的结构化活动。
4本标准的结构4.1章条的总结构ISMS的实施是一种重要活动,通常作为组织的一个项目来执行。
本标准通过关注该项目的启动、1GB/T314962015/ISO/IEC27003:
2010规划和定义,来说明ISMS的实施。
规划该ISMS最终实施的过程包括5个阶段,每个阶段都用单独的一章来表达。
所有各章具有相似的结构。
这5个阶段是:
a)获得管理者对启动ISMS项目的批准(第5章);b)定义ISMS的范围、边界和ISMS的方针策略(第6章);c)进行信息安全要求分析(第7章);d)进行风险评估和规划风险处置(第8章);e)设计ISMS(第9章)。
参照有关标准,图1给出了规划该ISMS项目的5个阶段以及主要输出文档。
图1ISMS项目的各个阶段以下附录给出了进一步的信息:
附录A:
与GB/T220802008相对照的活动概要。
附录B:
信息安全角色和责任。
附录C:
有关内部审核的规划信息。
附录D:
方针策略结构。
附录E:
有关监视和测量的规划信息。
4.2每章的一般结构每章包括:
a)在每章开头的文本框中,陈述要达到的一个或多个目标;b)为达到该阶段目标所必要的一个或多个活动。
每一个活动都在子条款中描述。
每一条款中活动的描述结构如下:
活动活动定义了为达到该阶段全部或部分目标,所必需满足的那些事宜。
2GB/T314962015/ISO/IEC27003:
2010输入输入描述了起点,例如,存在的文档化决定,或描述在本标准中其他活动的输出。
输入可能或者引自相关章节所陈述活动的完整输出,或者引自指该引用章节之后可能添加活动的特定信息。
指南指南提供了使这一活动能够得以执行的详细信息。
有些指南可能不适合所有情况,获得结果的其他方式也许更加适合。
输出输出描述了活动完成后的结果或可交付项,例如一个文档。
不论组织的规模或ISMS范围的大小,其活动完成后的结果或可交付项统称为输出。
其他信息其他信息提供了可能有助于执行该活动的任何补充信息,例如,对其他标准的引用。
本标准描述的阶段和活动包括了基于相互依赖关系而建议的执行活动的顺序,这些相互依赖关系通过每个活动的“输入”和“输出”的描述来识别。
然而,组织可按所需要的任何次序来选择活动,以便为ISMS的建立和实施做准备,这取决于很多不同的因素(例如,目前到位的管理体系的有效性、对信息安全重要性的理解和实施ISMS的原因)。
4.3图表定义一个组织的ISMS项目,通常以图的形式概要给出相应的活动及其输出。
图2概要给出了每一阶段条款的示意图,示意图对每一阶段中所包含的活动进行了高度概括。
a)图示出一个ISMS项目的规划阶段,其中强调了特定章节中所解释的阶段及其关键的输出文件。
b)图(阶段的活动)包括a)图中所强调的阶段包含的关键活动和每一个活动的主要输出文件。
b)图中的时间段基于a)图中的时间段。
活动A和活动B可能同时执行。
活动C宜在活动A和活动B完成后开始。
a)图2流程示意图图例3GB/T314962015/ISO/IEC27003:
2010b)图2(续)5获得管理者对启动ISMS项目的批准5.1获得管理者对启动ISMS项目的批准的概要当决定实施ISMS时,宜考虑若干因素。
为了强调这些因素,管理者宜了解ISMS实施项目的业务案例并批准它。
因此该阶段的目标是:
目标:
通过定义业务案例和项目计划来获得管理者对启动ISMS项目的批准。
为了获得管理者的批准,组织宜创建业务案例。
该业务案例除了包括实施ISMS的组织结构之外,还包括实施一个ISMS的优先级和目标。
组织还宜创建初步的ISMS项目计划。
这一阶段所执行的工作将使组织能够了解ISMS的相关事宜,并使组织能够阐明ISMS项目所需要的组织内信息安全角色和责任。
这一阶段的预期输出是,就ISMS的实施以及执行本标准所描述的活动,获得管理者的初步批准和承诺。
本章的可交付项包括业务案例和一个具有关键里程碑的ISMS项目计划草案。
图3示出获得管理者对启动ISMS项目的批准过程。
第5章的输出(对计划和实施一个ISMS的文档化管理承诺)和第7章的输出(信息安全状况的概述文档),它们并不是GB/T220802008的要求。
但是,建议这些活动的输出作为本标准所描述的其他活动的输入。
4GB/T314962015/ISO/IEC27003:
2010a)b)图3获得管理者对启动ISMS项目的批准的概览5.2阐明组织开发ISMS的优先级活动在考虑组织的信息安全优先级和要求时,宜将实施ISMS的目的一并考虑。
5GB/T314962015/ISO/IEC27003:
2010输入a)组织的战略目标;b)现有管理体系概要;c)可用于组织的法律法规、规章和合同上的信息安全要求清单。
指南启动ISMS项目,通常需要管理者的批准。
因此,宜执行的第一个活动是收集那些对组织可显示ISMS价值的相关信息。
组织宜阐明需要ISMS的原因,并决定ISMS实施的目标,启动ISMS项目。
实施ISMS的目标可通过回答以下问题来决定:
a)风险管理ISMS如何产生更好地管理信息安全风险?
b)效率ISMS如何能改进信息安全的管理?
c)业务优势ISMS如何能为组织创造竞争优势?
为回答上述问题,尽可能通过以下因素来阐明组织的安全优先级和要求:
a)关键的业务域和组织域:
1)关键业务域和关键组织域是什么?
2)组织哪些域提供该业务以及关注什么?
3)有什么第三方关系及其协议?
4)是否有外包服务?
b)敏感信息或有价值的信息:
1)什么信息对组织是至关重要的?
2)如果某些信息被泄露给未授权方,可能产生什么后果(例如,失去竞争优势、损害品牌或名誉、引起法律诉讼等)?
c)对信息安全测量有要求的相关法律:
1)什么法律适用于组织的风险处置或信息安全?
2)组织是否是必须对外进行财务报告的公众性全球性组织的一部分?
d)与信息安全有关的合同协议或组织协议:
1)对数据存储的要求(包括保留期限)是什么?
2)是否有任何与隐私或质量有关的合同要求(例如,服务级别协议SLA)?
e)规定特定信息安全控制措施的行业要求:
1)有哪些行业特定的要求适用于组织?
f)威胁环境:
1)需要什么类型的保护,及需要应对哪些威胁?
2)需要保护的信息的特定类别是什么?
3)需要保护的信息活动的特定类型是什么?
g)竞争动力:
1)对信息安全的最小化市场要求是什么?
2)哪些另外的信息安全控制措施可为组织提供竞争优势?
h)业务持续性要求:
1)关键业务过程是什么?
2)对每个关键业务过程而言,组织能够容忍其中断的时间是多长?
通过回答上述问题,可以确定初步的ISMS范围。
并且这对创建要得到管理者批准的业务案例和实施ISMS的计划是需要的。
详细的ISMS范围将在ISMS项目期间予以定义。
6GB/T314962015/ISO/IEC27003:
2010GB/T2208020084.2.1a)中所提及的要求,从业务、组织、位置、资产和技术等方面特点,概要描述了范围。
以上所产生的信息支持ISMS范围的确定。
在做出ISMS范围的初步决定时,宜考虑一些主题,具体包括:
a)组织管理者对建立信息安全管理的指示及外部对组织的强制性义务是什么?
b)建议的范围内系统的责任是否由不止一个管理团队(例如,不同的分支机构或不同的部门)承担?
c)ISMS相关文档在整个组织如何流通(例如,通过纸质文件或者通过公司内联网)?
d)当前的管理体系是否能支持组织的需求?
是否得到充分运行、良好维护且如预期般发挥作用?
管理者目标可作为确定ISMS初步范围的输入,举例如下:
a)促进业务持续性和灾难恢复;b)提高事件恢复的能力;c)解决法律/合同的符合性/义务;d)使能够获得其他ISO/IEC标准的认证;e)使组织能够发展和占据优势地位;f)降低安全控制措施的成本;g)保护具有战略价值的资产;h)建立一个健康的、有效的内部控制环境;i)向利益相关方保证信息资产获得适当保护。
输出本活动的可交付项是:
a)概述ISMS的目标、信息安全优先级和组织要求的文档;b)与组织的信息安全相关的法律法规、规章、合同和行业的要求清单;c)业务、组织、位置、资产和技术等方面的概要特征。
其他信息ISO/IEC9001:
2008,ISO/IEC14001:
2004,ISO/IEC20000-1:
2005。
5.3定义初步的ISMS范围5.3.1制定初步的ISMS范围活动为实现ISMS的目标,宜定义初步的ISMS范围。
输入5.2(阐明组织开发ISMS的优先级)活动的输出。
指南为了执行ISMS实施项目,宜定义组织实施ISMS的结构。
现在宜定义初步的ISMS范围,以便给管理者提供实施决策指南,以及支持进一步的活动。
初步的ISMS范围对于创建业务案例和建议的项目计划以获得管理者的批准而言,是必需的。
本阶段的输出是一份定义初步ISMS范围的文档,内容包括:
a)组织的管理者对信息安全管理的指示概述,以及外部施加于组织的义务;b)ISMS范围内的区域如何与其他管理体系交互的描述;c)信息安全管理的业务目标清单(见5.2);d)ISMS将被应用的关键业务过程、系统、信息资产、组织结构和地理位置的清单;7GB/T314962015/ISO/IEC27003:
2010e)现有管理体系、规章、符合性和组织目标之间的关系;f)业务、组织、位置、资产和技术等方面的特点。
宜识别现有管理体系与被提议的ISMS的过程间的共同要素和运行差异。
输出可交付项是一份描述初步的ISMS范围的文档。
其他信息无其他特定信息。
注:
宜特别注意的是,不论组织内已有的管理体系如何,都要满足GB/T220802008关于ISMS范围的认证特定文件的要求。
5.3.2定义初步的ISMS范围内的角色和责任活动宜定义初步的ISMS范围的全部角色和责任。
输入a)5.3.1(制定初步的ISMS范围)活动的输出;b)将从ISMS项目结果获益的利益相关方清单。
指南为了执行ISMS项目,宜确定组织在该项目中的角色。
因为每个组织中处理信息安全的人数不同,所以一般来说,每个组织的角色通常也不同。
信息安全的组织结构和资源随着组织的规模、类型和组织结构的变化而变化。
例如,在小型组织中,若干角色可由同一个人担任。
然而,管理者宜明确识别负责整个信息安全管理的角色(典型的是首席信息安全官、信息安全管理者或类似的)。
宜基于工作岗位所需要的技能来分配员工的角色和责任。
这对于确保任务被有效地和有力地完成至关重要。
在定义信息安全管理角色时,最重要的考虑事项是:
a)该任务的总体责任由管理者承担;b)指定一个人(通常是首席信息安全官)来促进和协调信息安全过程;c)每个员工对其最初任务与维护工作场所和组织中的信息安全负有同等责任。
管理信息安全的角色宜一起工作;这可通过诸如信息安全论坛或类似机构来促进。
在制定、实施、运行和维护ISMS的所有阶段,宜与适当的业务专家进行协作。
已确定范围内(诸如风险管理)各部门代表是潜在的ISMS实施组成员。
为快速、有效地使用资源,该组宜保持最小的实际规模。
这些区域不仅有ISMS范围所直接包含的部门,还有间接包含的部门,诸如法律部门、风险管理部门和行政管理部门。
输出可交付项是一个描述角色和责任的文档或表格,带有对于成功实施ISMS所需要的名称和组织。
其他信息附录B提供了组织成功实施IS
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB-T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南 GB 31496 2015 信息 安全管理 体系 实施 指南
文档标签
- 信息安全技术信息系统安全管理
- 信息技术信息安全管理实用
- 信息安全技术云计算服务安全指南信息安全技术
- 信息安全技术信息系统安全工程
- BIM技术管理体系措施
- 信息安全技术信息系统安全等级保护实施指南信息安全技术
- 信息安全理论与技术信息安全理论
- 信息安全技术信息安全技术实验
- 信息安全技术实验VPN
- 企业信息安全实施技术
- 安全技术管理体系
- 信息安全技术实施第五
- 信息安全原理与技术信息安全原理
- 201信息技术服务管理体系
- GBT222392019信息安全技术
- 信息安全技术信息安全技术习题
- 信息安全系统技术
- 信息系统安全管理精选
- 信息系统安全管理试题
- 信息技术信息安全精选
- X石化安全管理信息系统
- 管理信息系统设计要求
- 信息安全技术信息安全技术习题