GB/T 28450-2012 信息安全技术 信息安全管理体系审核指南
标准名称: | 信息安全技术 信息安全管理体系审核指南 |
英文名称: | Information security technology—Guidelines for information security management system auditing |
中标分类: | 电子元器件与信息技术 >> 信息处理技术 >> 数据加密 |
ICS分类: | 信息技术、办公机械设备 >> 字符集和信息编码 |
发布部门: | 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 |
发布日期: | 2012-06-29 |
实施日期: | 2012-10-01 |
首发日期: | 2012-06-29 |
作废日期: | |
主管部门: | 全国信息安全标准化技术委员会(SAC/TC 260) |
提出单位: | 全国信息安全标准化技术委员会(SAC/TC 260) |
归口单位: | 全国信息安全标准化技术委员会(SAC/TC 260) |
起草单位: | 中国信息安全认证中心、中国电子技术标准化研究所、北京知识安全工程中心 |
起草人: | 张剑、上官晓丽、许玉娜、王新杰、闵京华、陈珍成 |
出版社: | 中国标准出版社 |
出版日期: | 2012-10-01 |
页数: | 36页 |
本标准在GB/T19011—2003的基础上为信息安全管理体系(简称ISMS)的审核原则、审核方案管理和审核实施提供了指导,并对审核员的能力及其评价提供了指导。
本标准适用于需要实施ISMS内部审核、外部审核或对审核进行管理的所有组织。
没有内容
前言 Ⅲ 引言 Ⅳ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 审核原则 1 4.1 通用的审核原则 1 4.2 IS4.1审核原则 1 5 审核方案的管理 1 5.1 总则 1 5.2 审核方案的目的和内容 3 5.3 审核方案的职责、资源和程序 4 5.4 审核方案的实施 4 5.5 审核方案的记录 4 5.6 审核方案的监视和评审 5 6 审核活动 5 6.1 总则 5 6.2 审核的启动 5 6.3 文件评审的实施 5 6.4 现场审核的准备 6 6.5 现场审核的实施 6 6.6 审核报告的编制、批准和分发 7 6.7 审核的完成 8 6.8 审核后续活动的实施 8 7 审核员的能力与评价 8 7.1 总则 8 7.2 个人素质 8 7.3 知识和技能 9 7.4 教育、工作经历、审核员培训和审核经历 11 7.5 能力的保持和提高 11 7.6 审核员的评价 11 附录A (资料性附录) 各应用领域的典型应用系统示例 12 附录B(资料性附录) ISMS的过程审核示例 14 附录C (资料性附录) 控制措施的审核示例 19 附录D (资料性附录) 本标准与GB/T19011-2003的对照 21 附录E (资料性附录) 审核组审核员的选择 24 参考文献 27 图1 审核方案管理流程图 2 图2 能力的概念 8 表A.1 典型IT应用系统举例 12 表B.1 体系文件建立、发布与宣贯过程审核示例 14 表B.2 风险评估与处理过程审核示例 15 表B.3 业务连续性的信息安全管理方面过程审核示例 16 表B.4 法律法规符合性判定过程审核示例 17 表C.1 信息处理设施的授权过程审核示例 19 表C.2 处理第三方协议中的安全问题审核示例 19 表C.3 信息的标记与处理审核示例 20 表D.1 本标准与GB/T19011-2003对照表 21 表E.1 审核组审核员的选择知识能力考虑点示例 24
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T19000—2008 质量管理体系 基础和术语(ISO9000:2005,IDT)
GB/T19011—2003 质量和(或)环境管理体系审核指南(ISO19011:2002,IDT)
GB/T22080—2008 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC27001:2005,IDT)
GB/T22081—2008 信息技术 安全技术 信息安全管理实用规则(ISO/IEC27002:2005,IDT)