國家標準報批稿資料一、工作簡況1、任務來源根據國家標準化管理委員會2018年下達的國家標準制修訂計劃：《信息技術安全技術信息安全管理體系審核指南》，該標準由北京時代新威信息技術有限公司負責承辦，計劃號：2018BZXD-WG7-001。該標準由全國信息安全標準化技術委員會歸口管理。2、主要起草單位和工作組成員該標準由北京時代新威信息技術有限公司主要負責起草，協作起草單位為中國網絡安全審查技術與認證中心、中國電子技術標準化研究院、全國組織機構統一社會信用代碼數據服務中心，主要起草人：王新杰、王連強、鄭瑋、陳劍博、張劍、程瑜琦、上官曉麗、王姣、孫鎮、趙捷、孫泰、李晟飛。其中，王新杰、王連強、張劍、上官曉麗、孫鎮、趙捷負責編制過程總體領導，標準前言的編寫，以及全文校對；鄭瑋、陳劍博、程瑜琦、王姣、孫泰、李晟飛負責標準正文編寫以及相關背景資料的調研。3、主要工作過程標準制定的主要工作過程如下：成立編制組。2018年8月，接到全國信息安全標準化技術委員會關于標準制定任務之后，課題組負責人隨即召集標準編制組的相關成員開會，具體討論和分配了小組的任務、標準修訂的重要事項以及需注意的事項。形成標準草案。2018年8月-9月，標準編制組開展信息安全管理體系審核指南的研究。標準編制組分析梳理了國內外信息安全管理體系審核指南的應用情況，對ISO/IEC27007標準等文檔進行了深入研究，據此編制完成《信息技術安全技術信息安全管理體系審核指南》標準草案。2018年10月18日，召開專家評審會，就標準草案征求部分專家意見，并根據意見對草案進行了修改完善。形成標準征求意見稿。2018年10月24日-26日，WG7工作組面向全體工作組成員單位進行草案標準投票，表決通過，工作組建議形成征求意見稿。標準編制組根據意見進行修改完善，形成征求意見稿第一稿。2018年11月28日，WG7開展工作組標準審查，編制組根據審查意見對標準征求意見稿進行了修改完善。二、標準編制原則和確定主要內容的論據及解決的主要問題1、標準編制原則本標準在編制過程中遵循了等同采用、準確理解和語言通暢的原則。等同采用：基于目前國內對國際ISMS標準族相關標準的研究和轉化情況，以及我國整體信息安全管理理論和技術發展現狀，決定等同采用國際標準ISO/IEC27007《信息技術安全技術信息安全管理體系審核指南》最新版本。準確理解：在充分理解國際標準原文的基礎上進行等同翻譯，做到準確表達原意。語言通暢：在等同翻譯時，盡量符合中文的語言習慣，做到表述通暢。2、標準解決的問題及主要內容國家標準《信息安全技術信息安全管理體系審核指南》（GB/T28450-2012）所引用的《質量和（或）環境管理體系審核指南》（GB/T19011-2003）和《信息安全安全技術信息安全管理體系要求》（GB/T22080-2008）均已修訂，管理體系審核的基本流程、思路和方法已調整，且審核對象的內容也隨著GB/T22080的修訂發生了變化，因此亟需制定并發布新版國家標準《信息安全管理體系審核指南》。國際標準化組織也于2017年10月發布了新版標準《信息技術安全技術信息安全管理體系審核指南》（ISO/IEC27007:2017）。因此，為給我國ISMS審核認證機構及審核人員實施ISMS體系審核提供更加成熟的方法論和指導，有必要等同采納國際標準，重新修訂GB/T28450-2012，為ISMS相關技術和應用提供最新的基礎標準支撐。該標準在GB/T19011—2013的基礎上，為信息安全管理體系（InformationSecurityManagementSystem，以下簡稱ISMS）審核方案管理、審核實施提供了指南，并對ISMS審核員能力提供了評價指南。該標準適用于需要理解或實施ISMS的內部或外部審核，或需要管理ISMS審核方案的所有組織。三、主要試驗[或驗證]情況分析標準編制組已請中國網絡安全審查技術與認證中心等認證機構對《信息技術安全技術信息安全管理體系審核指南》進行了試用，標準試用效果良好。四、知識產權情況說明本標準不涉及專利。五、產業化情況、推廣應用論證和預期達到的經濟效果該標準作為實施指南，可為ISMS審核認證機構或內部審核組織的審核人員提供ISMS審核（包括外部審核和內部審核）的指南，幫助其完成審核方案管理、審核啟動、審核活動準備、審核活動實施、審核報告編制和分發、審核完成、審核后續活動實施等相關工作，此外，該標準還可為ISMS審核認證機構或內部審核組織提供審核員管理指南，幫助其對ISMS審核員實施有效管理，對ISMS審核員的能力進行定期評價，以督促審核員能力的不斷提升。六、采用國際標準和國外先進標準情況該標準等同采用國際標準ISO/IEC27007:2017《信息技術安全技術信息安全管理體系審核指南》。該標準宜與ISO19011:2011中包含的指南一起使用。該標準遵循ISO19011:2011的結構，在ISMS審核中應用GB/T19011—2013實施的ISMS特定指南，用字母“IS”加以標識。七、與現行相關法律、法規、規章及相關標準的協調性該標準符合現有法律法規的要求。該標準與現有國家標準不矛盾、不沖突，也不重復。八、重大分歧意見的處理經過和依據無。九、標準性質的建議根據該標準的性質，建議該標準為推薦性標準。十、貫徹標準的要求和措施建議該標準是信息安全管理體系的基礎性標準，是ISMS審核人員開展ISMS審核工作的基本工具，因此建議在所有ISMS審核人員（包括內部審核人員和外部審核人員）中進行宣貫和培訓。十一、替代或廢止現行相關標準的建議建議該標準替代《信息安全技術信息安全管理體系審核指南》（GB/T28450-2012）。十二、其它應予說明的事項無。國家標準《信息技術安全技術信息安全管理體系審核指南》（征求意見稿）編制說明國家標準《信息技術安全技術信息安全管理體系審核指南》（征求意見稿）編制說明國家標準《信息技術安全技術信息安全管理體系審