標準解讀

《GB/T 31496-2015 信息技術 安全技術 信息安全管理體系實施指南》是一份國家標準,旨在為組織建立、實施、維護和持續改進信息安全管理體系(ISMS)提供指導。該標準基于ISO/IEC 27001國際標準框架下制定,并結合了中國國情的特點。它適用于各種規模和類型的組織,幫助它們保護信息資產免受威脅,確保業務連續性。

在內容上,《GB/T 31496-2015》首先介紹了信息安全管理體系的基本概念、原則以及與之相關的術語定義,為讀者理解后續章節奠定基礎。接著,詳細描述了如何規劃ISMS的過程,包括確定ISMS范圍、進行風險評估的方法論、設定風險管理策略等關鍵步驟。此外,還強調了高層管理者對于ISMS成功實施的重要性,指出需要獲得他們的承諾和支持。

文件進一步闡述了ISMS的設計階段,涵蓋了選擇控制措施以應對已識別的風險、準備必要的文檔記錄等方面。之后是關于如何運行ISMS的具體說明,如執行選定的安全控制、監控系統性能、定期審核等操作指南。同時,也提到了當發生安全事故時應采取的響應措施及事后恢復流程。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現行標準GB/T 31496-2023
  • 2015-05-15 頒布
  • 2016-01-01 實施
?正版授權
GB/T 31496-2015信息技術安全技術信息安全管理體系實施指南_第1頁
GB/T 31496-2015信息技術安全技術信息安全管理體系實施指南_第2頁
GB/T 31496-2015信息技術安全技術信息安全管理體系實施指南_第3頁
GB/T 31496-2015信息技術安全技術信息安全管理體系實施指南_第4頁
GB/T 31496-2015信息技術安全技術信息安全管理體系實施指南_第5頁
已閱讀5頁,還剩51頁未讀, 繼續免費閱讀

下載本文檔

GB/T 31496-2015信息技術安全技術信息安全管理體系實施指南-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T31496—2015/ISO/IEC270032010

:

信息技術安全技術

信息安全管理體系實施指南

Informationtechnology—Securitytechniques—

Informationsecuritymanagementsystemimplementationguidance

(ISO/IEC27003:2010,IDT)

2015-05-15發布2016-01-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

中華人民共和國

國家標準

信息技術安全技術

信息安全管理體系實施指南

GB/T31496—2015/ISO/IEC27003:2010

*

中國標準出版社出版發行

北京市朝陽區和平里西街甲號

2(100029)

北京市西城區三里河北街號

16(100045)

網址

:

服務熱線

:400-168-0010

年月第一版

20156

*

書號

:155066·1-51118

版權專有侵權必究

GB/T31496—2015/ISO/IEC270032010

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

本標準的結構

4……………1

章條的總結構

4.1………………………1

每章的一般結構

4.2……………………2

圖表

4.3…………………3

獲得管理者對啟動項目的批準

5ISMS…………………4

獲得管理者對啟動項目的批準的概要

5.1ISMS……………………4

闡明組織開發的優先級

5.2ISMS……………………5

定義初步的范圍

5.3ISMS……………7

制定初步的范圍

5.3.1ISMS…………7

定義初步的范圍內的角色和責任

5.3.2ISMS………8

為了管理者的批準而創建業務案例和項目計劃

5.4…………………8

定義范圍邊界和方針策略

6ISMS、ISMS……………10

定義范圍邊界和方針策略的概述

6.1ISMS、ISMS………………10

定義組織的范圍和邊界

6.2……………11

定義信息通信技術的范圍和邊界

6.3(ICT)…………12

定義物理范圍和邊界

6.4………………13

集成每一個范圍和邊界以獲得的范圍和邊界

6.5ISMS……………14

制定方針策略和獲得管理者的批準

6.6ISMS………14

進行信息安全要求分析

7…………………15

進行信息安全要求分析的概述

7.1……………………15

定義過程的信息安全要求

7.2ISMS…………………17

標識范圍內的資產

7.3ISMS…………17

進行信息安全評估

7.4…………………18

進行風險評估和規劃風險處置

8…………19

進行風險評估和規劃風險處置的概述

8.1……………19

進行風險評估

8.2………………………21

選擇控制目標和控制措施

8.3…………21

獲得管理者對實施和運行的授權

8.4ISMS…………22

設計

9ISMS………………23

設計的概述

9.1ISMS…………………23

設計組織的信息安全

9.2………………25

GB/T31496—2015/ISO/IEC270032010

:

設計信息安全的最終組織結構

9.2.1………………25

設計的文件框架

9.2.2ISMS………………………26

設計信息安全方針策略

9.2.3………………………27

制定信息安全標準和規程

9.2.4……………………28

設計安全和物理信息安全

9.3ICT…………………29

設計特定的信息安全

9.4ISMS………………………31

管理評審的計劃

9.4.1………………31

設計信息安全意識培訓和教育方案

9.4.2、………32

產生最終的項目計劃

9.5ISMS………………………33

附錄資料性附錄檢查表的描述

A()……………………34

附錄資料性附錄信息安全的角色和責任

B()…………37

附錄資料性附錄有關內部審核的信息

C()……………40

附錄資料性附錄方針策略的結構

D()…………………41

附錄資料性附錄監視和測量

E()………………………45

參考文獻

……………………49

GB/T31496—2015/ISO/IEC270032010

:

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準使用翻譯法等同采用信息技術安全技術信息安全管理體系實施

ISO/IEC27003:2010《

指南

》。

本標準做了以下編輯性修改

:

在引言部分增加了有關信息安全管理體系標準族情況的介紹

———。

本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術標準化研究院上海三零衛士信息安全有限公司山東省計算中心

:、、、

黑龍江省電子信息產品監督檢驗院北京信息安全測評中心中電長城網際系統應用有限公司

、、。

本標準主要起草人上官曉麗許玉娜董火民閔京華趙章界周鳴樂方舟李剛

:、、、、、、、。

GB/T31496—2015/ISO/IEC270032010

:

引言

信息安全管理體系標準族簡稱標準族是國際

(InformationSecurityManagementSystem,ISMS)

信息安全技術標準化組織制定的信息安全管理體系系列國際標準標準

(ISO/IECJTC1SC27)。ISMS

族旨在幫助各種類型和規模的組織開發和實施管理其信息資產安全的框架并為保護組織信息諸如

,,(,

財務信息知識產權員工詳細資料或者受客戶或第三方委托的信息的的獨立評估做準備

、、,)ISMS。

標準族包括的標準定義了的要求及其認證機構的要求提供了對整個規劃實施檢

ISMS:a)ISMS;b)“--

查處置過程和要求的直接支持詳細指南和或解釋闡述了特定行業的指南闡

-”(PDCA)、();c)ISMS;d)

述了的一致性評估

ISMS。

目前標準族由下列標準組成

,ISMS:

信息技術安全技術信息安全管理體系概述

———GB/T29246—2012/ISO/IEC27000:2009

和詞匯

信息技術安全技術信息安全管理體系要求

———GB/T22080—2008/ISO/IEC27001:2005

信息技術安全技術信息安全管理實用規則

———GB/T22081—2008/ISO/IEC27002:2005

信息技術安全技術信息安全管理體系實施

———GB/T31496—2015/ISO/IEC27003:2010

指南

信息技術安全技術信息安全管理測量

———GB/T31497—2015/ISO/IEC27004:2009

信息技術安全技術信息安全風險管理

———GB/T31722—2015/ISO/IEC27005:2008

信息技術安全技術信息安全管理體系審核認

———GB/T25067—2010/ISO/IEC27006:2007

證機構的要求

信息技術安全技術信息安全管理體系審核指南

———ISO/IEC27007

信息技術安全技術基于的電信行業組織的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

信息技術安全技術和集成實施指南

———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1

信息技術安全技術信息安全治理

———ISO/IEC27014:2013

信息技術安全技術金融服務信息安全管理指南

———ISO/IECTR27015:2012

本標準作為標準族之一其目的是為組織按照制定信息安全管理體系

ISMS,GB/T22080—2008

的實施計劃提供實用指導實際情況下的實施通常作為一個項目來執行

(ISMS),。,ISMS。

本標準所描述的過程旨在為實施提供支持第章第章和第章所包含的

GB/T22080—2008;4、57

相關部分和文件可用于

:

準備啟動組織的實施計劃定義該項目的組織結構及獲得管理者的批準

a)ISMS、,;

該項目的關鍵活動

b)ISMS;

實現要求的示例

c)GB/T22080—2008。

通過使用本標準組織將能夠制定信息安全管理的過程并向利益相關方保證信息資產的風險可

,,,

持續保持在組織定義的可接受的信息安全邊界內

。

本標準不涉及運行活動和其他活動但涉及了如何設計這些活動的概念這些活動是在開始

ISMS,,

運行后所產生的這些概念導致了最終的項目實施計劃項目的組織特定部分的

ISMS。ISMS。ISMS

實際執行不在本標準范圍內

。

項目的實施宜使用標準的項目管理方法學來執行更多信息請參見和有關項

ISMS(ISOISO/IEC

目管理的標準

)。

GB/T31496—2015/ISO/IEC270032010

:

信息技術安全技術

信息安全管理體系實施指南

1范圍

本標準依據關注設計和實施一個成功的信息安全管理體系所需要的

GB/T22080—2008,(ISMS)

關鍵方面本標準描述了規范及其設計的過程從開始到產生實施計劃本標準為實施

。ISMS,。ISMS

描述了獲得管理者批準的過程為實施定義了一個項目本標準稱作項目并就如何規劃

,ISMS(ISMS),

該項目提供了相應的指導產生最終的項目實施計劃

ISMS,ISMS。

本標準可供實施一個的組織使用適用于各種規模和類型的組織例如商業企業政府機

ISMS,(,、

構非贏利組織每個組織的復雜性和風險都是獨特的并且其特定的要求將驅動的實施小

、)。,ISMS。

型組織將發現本標準中所提及的活動可適用于他們并可進行簡化大型組織或復雜的組織可能會發

,,。

現為了有效地管理本標準中的活動需要層次化的組織架構或管理體系然而無論是大型組織還是

,,。,

小型組織都可應用本標準來規劃相關的活動

,

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論