ICS35030

CCSL.80

中華人民共和國國家標準

GB/T31496—2023/ISO/IEC270032017

:

代替GB/T31496—2015

信息技術安全技術

信息安全管理體系指南

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystems—Guidance

ISO/IEC270032017IDT

(:,)

2023-05-23發布2023-12-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T31496—2023/ISO/IEC270032017

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

組織語境

4…………………1

理解組織及其語境

4.1…………………1

理解利益相關方的需求和期望

4.2……………………3

確定信息安全管理體系范圍

4.3………………………4

信息安全管理體系

4.4…………………5

領導

5………………………5

領導和承諾

5.1…………………………5

方針

5.2…………………6

組織的角色責任和權限

5.3、……………7

規劃

6………………………8

應對風險和機會的措施

6.1……………8

信息安全目標及其實現規劃

6.2………………………14

支持

7………………………16

資源

7.1…………………16

勝任力

7.2………………17

意識

7.3…………………17

溝通

7.4…………………18

文件化信息

7.5…………………………19

運行

8………………………22

運行規劃和控制

8.1……………………22

信息安全風險評估

8.2…………………23

信息安全風險處置

8.3…………………23

績效評價

9…………………24

監視測量分析和評價

9.1、、……………24

內部審核

9.2……………25

管理評審

9.3……………27

改進

10……………………28

不符合項及糾正措施

10.1……………28

Ⅰ

GB/T31496—2023/ISO/IEC270032017

:

持續改進

10.2…………………………30

附錄資料性策略框架

A()………………32

參考文獻

……………………34

Ⅱ

GB/T31496—2023/ISO/IEC270032017

:

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術安全技術信息安全管理體系實施指南與

GB/T31496—2015《》,

相比除結構調整和編輯性改動外主要技術變化如下

GB/T31496—2015,,:

更改了范圍按照的要求進行解釋并提供指南

———,GB/T22080—2016;

上一版采用了項目的方法每個項目包含一系列活動在修訂版中不再采用項目的方法而是

———,。,

提供了針對每個要求的指南不需要考慮這些要求的實現順序

,。

本文件等同采用信息技術安全技術信息安全管理體系指南

ISO/IEC27003:2017《》。

本文件做了下列最小限度的編輯性改動

:

增加了的注

———4.2。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國電子技術標準化研究院中國網絡安全審查技術與認證中心中國合格評定

:、、

國家認可中心杭州安恒信息技術股份有限公司中國石油天然氣股份有限公司長慶石化分公司騰訊

、、、

云計算北京有限責任公司中電長城網際系統應用有限公司上海三零衛士信息安全有限公司北京

()、、、

賽西認證有限責任公司西安電子科技大學黑龍江省網絡空間研究中心北京信息安全測評中心中國

、、、、

科學院軟件研究所重慶郵電大學安徽科技學院北京神州綠盟科技有限公司中通服咨詢設計研究院

、、、、

有限公司北京中科微瀾科技有限公司

、。

本文件主要起草人王惠蒞上官曉麗許玉娜付志高任澤君尤其周亞超趙麗華范博

:、、、、、、、、、

閔京華張東舉馬文平干露李媛方舟張立武梁偉黃永洪張恒曹浩尹曉鵬宋雪高麗芬

、、、、、、、、、、、、、、

陳洪楊牧天裴心平

、、。

本文件及其所代替文件的歷次版本發布情況為

:

年首次發布為

———2015GB/T31496—2015;

本次為第一次修訂

———。

Ⅲ

GB/T31496—2023/ISO/IEC270032017

:

引言

本文件提供了關于中規定的信息安全管理體系要求的指南并提供了與之相

GB/T22080(ISMS),

關的建議宜可能性可能和允許可本文件的目的不是提供信息安全的所有方面的一般

(“”)、(“”)(“”)。

指南

。

本文件第章第章反映了的結構

4~10GB/T22080—2016。

本文件沒有增加對的任何新要求及其相關術語和定義組織宜參照的要求和

ISMS。GB/T22080

的定義實施的組織沒有義務遵守本文件中的指南

GB/T29246。ISMS。

強調了以下幾個階段的重要性

ISMS:

理解組織的需求及建立信息安全方針和信息安全目標的必要性

———;

評估組織與信息安全相關的風險

———;

實施和運行信息安全過程控制和其他風險處理措施

———、;

監視和評審的績效和有效性

———ISMS;

進行持續改進

———。

與其他類型的管理體系相似包括以下關鍵組成要素

,ISMS。

方針

a)。

有明確責任的人員

b)。

相關的管理過程

c):

方針建立

1);

意識和能力的提供

2);

規劃

3);

實現

4);

運行

5);

績效評估

6);

管理評審

7);

改進

8)。

文件化信息

d)。

還有其他關鍵組成要素諸如

ISMS,:

信息安全風險評估

e);

信息安全風險處置包括控制的確定和實現

f),。

本文件是通用的旨在適用于所有組織無論其類型規模或性質組織宜根據其特定的組織環境

,,、。

識別本文件對其適用的部分見中第章

(GB/T22080—20164)。

例如一些指南可能更適合大型組織但對于非常小的組織例如少于人這些指南中的一些內

,,(10),

容可能是不必要的或不適合的

。

第章第章的描述結構如下

4~10:

所需活動提出相應條款所要求的關鍵活動

———:GB/T22080;

解釋解釋要求的含義

———:GB/T22080;

指南提供更詳細或支持性的信息來實現所要求活動包括實施的示例

———:“”,;

其他信息提供了可能進一步考慮的信息

———:。

和形成了一套文件支持并提供指

GB/T31496、GB/T31497GB/T31722,GB/T22080—2016

Ⅳ

GB/T31496—2023/ISO/IEC270032017

:

南其中是對的所有要求提供指南的一個基本的和全面的文件但其沒有

。,GB/T31496GB/T22080,

關于監視測量分析和評價和信息安全風險管理的詳細描述和側重于

“、、”。GB/T31497GB/T31722

特定內容并分別對監視測量分析和評價和信息安全風險管理提供了更詳細的指南

,“、、”。

在中有多處明確地提及了文件化信息盡管如此組織仍可能確定持有對其管理體

GB/T22080。,

系有效性所需的附加文件化信息并作為響應中的部分在這些情況

,GB/T22080—20167.5.1b)。

下本文件使用僅在組織確定對其管理體系有效性所需的形式和范圍內有關該活動及其結果的文件

,“,

化信息是強制性的見中的表述

[GB/T22080—20167.5.1b)]”。

Ⅴ

GB/T31496—2023/ISO/IEC270032017

:

信息技術安全技術

信息安全管理體系指南

1范圍

本文件為提供了解釋說明和指南

GB/T22080—2016。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術安全技術信息安全管理體系要求

GB/T22080—2016(ISO/IEC27001:2013,

IDT)