ICS35040

L80.

中華人民共和國國家標準

GB/T28450—2012

信息安全技術

信息安全管理體系審核指南

Informationsecuritytechnology—

Guidelinesforinformationsecuritymanagementsystemauditing

2012-06-29發布2012-10-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T28450—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規范性引用文件…………………………

21

術語和定義………………

31

審核原則…………………

41

通用的審核原則……………………

4.11

審核原則……………………

4.2IS4.11

審核方案的管理…………………………

51

總則…………………

5.11

審核方案的目的和內容……………

5.23

審核方案的職責資源和程序………………………

5.3、4

審核方案的實施……………………

5.44

審核方案的記錄……………………

5.54

審核方案的監視和評審……………

5.65

審核活動…………………

65

總則…………………

6.15

審核的啟動…………………………

6.25

文件評審的實施……………………

6.35

現場審核的準備……………………

6.46

現場審核的實施……………………

6.56

審核報告的編制批準和分發………………………

6.6、7

審核的完成…………………………

6.78

審核后續活動的實施………………

6.88

審核員的能力與評價……………………

78

總則…………………

7.18

個人素質……………

7.28

知識和技能…………………………

7.39

教育工作經歷審核員培訓和審核經歷…………

7.4、、11

能力的保持和提高…………………

7.511

審核員的評價………………………

7.611

附錄資料性附錄各應用領域的典型應用系統示例………………

A()12

附錄資料性附錄的過程審核示例…………

B()ISMS14

附錄資料性附錄控制措施的審核示例……………

C()19

附錄資料性附錄本標準與的對照…………

D()GB/T19011—200321

Ⅰ

GB/T28450—2012

附錄資料性附錄審核組審核員的選擇……………

E()24

參考文獻……………………

27

圖審核方案管理流程圖…………………

12

圖能力的概念……………

28

表典型應用系統舉例…………

A.1IT12

表體系文件建立發布與宣貫過程審核示例………

B.1、14

表風險評估與處理過程審核示例…………………

B.215

表業務連續性的信息安全管理方面過程審核示例………………

B.316

表法律法規符合性判定過程審核示例……………

B.417

表信息處理設施的授權過程審核示例……………

C.119

表處理第三方協議中的安全問題審核示例………

C.219

表信息的標記與處理審核示例……………………

C.320

表本標準與對照表…………

D.1GB/T19011—200321

表審核組審核員的選擇知識能力考慮點示例……………………

E.124

Ⅱ

GB/T28450—2012

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

,。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國信息安全認證中心中國電子技術標準化研究所北京知識安全工程中心

:、、。

本標準主要起草人張劍上官曉麗許玉娜王新杰閔京華陳珍成

:、、、、、。

Ⅲ

GB/T28450—2012

引言

本標準旨在為信息安全管理體系簡稱審核員包括內部審核員和外部審核員執行

(ISMS)()ISMS

審核提供指導以確保審核

,ISMS:

既符合的要求又與質量和或環境管理體系審核

———GB/T22080—2008,GB/T19011—2003《()

指南和信息技術安全技術信息安全管理

》(ISO19011:2002,IDT)ISO/IEC27006:2007《

體系審核認證機構要求標準保持一致

》;

成為幫助受審核的組織持續改進的一項有效活動

———。

本標準在的基礎上為信息安全管理體系的審核原則審核方案管理和審核實

GB/T19011—2003、

施提供了指導并對審核員的能力及其評價提供了指導本標準旨在適用于廣泛的潛在使用者包括審

,。,

核員實施的組織因合同原因需要對實施審核的組織以及合格評定領域中與審核員注冊

、ISMS,ISMS

或培訓管理體系認證注冊認可或標準化有關的組織

、、。

當與其他管理體系一起實施時由本標準使用者決定這些管理體系審核是分別進行還是一

ISMS,

起進行

。

本標準采納質量和或環境管理體系審核指南的標

GB/T19011—2003《()》(ISO19011:2002,IDT)

準正文的格式與內容在此基礎上針對的特點增加了相關內容用加以標識另外第章

,ISMS,“IS”。,7

針對提出了專門要求還增加了個資料性附錄見附錄

ISMS,5(D)。

此外在監視與要求如產品規范或法律法規的符合性方面感興趣的任何其他個人或組織可以發

,(),

現本標準中的指南是有用的

。

Ⅳ

GB/T28450—2012

信息安全技術

信息安全管理體系審核指南

1范圍

本標準在的基礎上為信息安全管理體系簡稱的審核原則審核方案管

GB/T19011—2003(ISMS)、

理和審核實施提供了指導并對審核員的能力及其評價提供了指導

,。

本標準適用于需要實施內部審核外部審核或對審核進行管理的所有組織

ISMS、。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

質量管理體系基礎和術語

GB/T19000—2008(ISO9000:2005,IDT)

質量和或環境管理體系審核指南

GB/T19011—2003()(ISO19011:2002,IDT)

信息技術安全技術信息安全管理體系要求

GB/T22080—2008(ISO/IEC27001:2005,IDT)

信息技術安全技術信息安全管理實用規則

GB/T22081—2008(ISO/IEC27002:2005,IDT)

3