GB T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南.pdf
《GB T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南.pdf》由会员分享,可在线阅读,更多相关《GB T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南.pdf(56页珍藏版)》请在麦多课文档分享上搜索。
1、ICS 35.040 L 80 自昌中华人民共和国国家标准GB/T 31496-2015月SO/IEC27003: 20 1 0 a 信息技术安全技术信息安全管理体系实施指南Infonnation technology-Security techniques一Information securitymanagement system implementation guidance (lSO/IEC 27003: 2010 , IDT) 2015-05圄15发布2016-01-01实施?三中华人民共和国国家质量监督检验检菇总局也td地F中国国家标准化管理委员会。叩中华人民共和国国家标准信息技术安
2、全技术倍息安全管理体系实施指南GB/T 31496-2015/ISO/IEC 27003 :2010 * 中国标准出版社出版发行北京市鞠阳区和平墨西街甲2号(100029)北京市西城区三里河北街16号(10004日网址总编室:(010)68533533发行中心:(010)51780238读者服务部:(010)68523946中国标准出版社秦皇岛印刷厂印刷各地新华书店经销* 开本880X1230 1/16 印张3.5字数100千字2015年6月第一版2015年6月第一次印刷* 书号:155066 1-51118定价48.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68
3、510107a GB/T 31496-20 15/ISO/IEC 2700312010 目次前言. . . . . . m 引言. . . . . . N 1 范围. 2 规范性引用文件. 3 术语和定义. . 4 本标准的结构4.1 章条的总结构4.2 每章的一般结构4.3 图表. . . . . . 3 5 获得管理者对启动ISMS项目的批准. . . 4 5.1 获得管理者对启动ISMS项目的批准的概要. . . 4 5.2 阐明组织开发ISMS的优先级. 5.3 定义初步的ISMS范围. . 7 5.3.1 制定初步的ISMS范围. 5.3.2 定义初步的ISMS范围内的角色和责任.
4、. . . 8 5.4 为了管理者的批准而创建业务案例和项目计划. . . 8 6 定义ISMS范围、边界和ISMS方针策略.10 6.1 定义ISMS范围、边界和ISMS方针策略的概述 . . 10 6.2 定义组织的范围和边界. . . . 11 6.3 定义信息通信技术(lCT)的范围和边界. . . 12 6.4 定义物理范围和边界. . . . . 13 6.5 集成每一个范围和边界以获得ISMS的范围和边界. . . 14 6.6 制定ISMS方针策略和获得管理者的批准. . . 14 7 进行信息安全要求分析. . . . 15 7.1 进行信息安全要求分析的概述. 7.2 定义
5、ISMS过程的信息安全要求. . . . 17 7.3 标识ISMS范围内的资产7.4 进行信息安全评估. . . 18 8 进行风险评估和规划风险处置. . . . 19 8.1 进行风险评估和规划风险处置的概述. . . . 19 8.2 进行风险评估. . . . . 21 8.3 选择控制目标和控制措施. 8.4 获得管理者对实施和运行ISMS的授权. . 22 9 设计ISMS. . . . . . 23 9.1 设计ISMS的概述. . 23 9.2 设计组织的信息安全. . . . 25 GB/T 31496-20 15/ISO/IEC 27003:2010 9.2.1 设计信息
6、安全的最终组织结构. . . . . 25 9.2.2 设计ISMS的文件框架. . . 26 9.2.3 设计信息安全方针策略. . . . 27 9.2.4 制定信息安全标准和规程. . . . 28 9.3 设计ICT安全和物理信息安全 . . 29 9.4 设计ISMS特定的信息安全. . . . . 31 9.4.1 管理评审的计划. . . . 31 9.4.2 设计信息安全意识、培训和教育方案9.5 产生最终的ISMS项目计划. . . 33 附录A(资料性附录检查表的描述. . . . . . . . . . . . 34 附录B(资料性附录)信息安全的角色和责任. . . .
7、 37 附录C(资料性附录有关内部审核的信息. . 40 附录D(资料性附录方针策略的结构. . 41 附录E(资料性附录监视和测量. . . . 45 参考文献. . . . 49 n GB/T 31496-2015/ISO/IEC 27003:2010 前言本标准按照GB/T1.1-2009给出的规则起草。本标准使用翻译法等同采用ISO/IEC27003,2010时间计划GB/T 31496-20 15/ISO/IEC 27003: 20 1 0 输入输入描述了起点,例如,存在的文档化决定,或描述在本标准中其他活动的输出。输人可能或者引自相关章节所陈述活动的完整输出,或者引自指该引用章节之
8、后可能添加活动的特定信息。指南指南提供了使这一活动能够得以执行的详细信息。有些指南可能不适合所有情况,获得结果的其他方式也许更加适合。输出输出描述了活动完成后的结果或可交付项,例如一个文挡。不论组织的规模或ISMS范围的大小,其活动完成后的结果或可交付项统称为输出。其他信息其他信息提供了可能有助于执行该活动的任何补充信息,例如,对其他标准的引用.本标准描述的阶段和活动包括了基于相互依辙关系而建议的执行活动的顺序,这些相互依赖关系通过每个活动的输入和输出的描述来识别。然而,组织可按所需要的任何次序来选择活动,以便为ISMS的建立和实施做准备,这取决于很多不同的因素例如,目前到位的管理体系的有效性
9、、对信息安全重要性的理解和实施ISMS的原因。4.3 固表定义一个组织的ISMS项目,通常以固的形式概要给出相应的活动及其输出。图2概要给出了每一阶段条款的示意圈,示意图对每一阶段中所包含的活动进行了高度慨括。a)图示出一个ISMS项目的规划阶段,其中强调了特定章节中所解释的阶段及其关键的输出文件。b)图(阶段的活动包括a)圈中所强调的阶段包含的关键活动和每一个活动的主要输出文件。b)圈中的时间段基于a)团中的时间段。活动A和活动B可能同时执行.活动C宜在活动A和活动B完成后开始。ISMS项目规划的各阶段|阶段.)阳y)阶段.) 产飞产一飞时间计划a) 固2流程示意圈圈例3 G/T 31496
10、-2015/皿,C27003:2010 一个阶段的活动|活动|文件飞|文件飞动.)活动c) |文件飞|蝉飞|文件飞|文件飞时间计划b) 圄2(续5 获得管理者对启动ISMS项目的批准5.1 黯得管理者对启动脑MS项目的批准的概要当决定实施ISMS时,宜考虑若干因素。为了强调这些因素,管理者宜了解ISMS实施项目的业务案例并批准它。因此该阶段的目标是E目标z通过定义业务案例和项目计划来获得管理者对启动ISMS项目的批准。为了获得管理者的批准,组织宜创建业务案例。该业务案例除了包括实施ISMS的组织结构之外,还包括实施一个ISMS的优先级和目标。组织还宜创建初步的ISMS项目计划。这一阶段所执行的
11、工作将使组织能够了解ISMS的相关事宜,并使组织能够阐明白MS项目所需要的组织内信息安全角色和责任。这一阶段的预期输出是,就ISMS的实施以及执行本标准所描述的活动,获得管理者的初步批准和承诺。本章的可交付项包括业务案例和一个具有关键里程碑的ISMS项目计划草案。图3示出获得管理者对启动ISMS项目的批准过程。第5章的输出(对计划和实施一个ISMS的文档化管理承诺和第7章的输出信息安全状况的概述文档),它们并不是GB/T22080-2008的要求。但是,建议这些活动的输出作为本标准所描述的其他活动的输入。GB/T 31496-20 15/ISO/IEC 27003: 20 10 |时间计划a)
12、 阐二|阴阳|叶飞一一一议一一一一建一-Mme=同同-一割=睛一一务=M一-也应-guim-时间计划b) 固3摸得管理者对启动ISMS项目的批准的梅览5.2 阎明组织开发ISMS的优先组活动在考虑组织的信息安全优先级和要求时,宜将实施ISMS的目的一并考虑。5 GB/T 31496-20 15/ISO/IEC 27003:2010 输入a) 组织的战略目标Fb) 现有管理体系极要F。可用于组织的法律法规、规章和合同上的信息安全要求清单.指南启动ISMS项目,通常需要管理者的批准。因此,宜执行的第一个活动是收集那些对组织可显示ISMS价值的相关信息.组织宜阐明需要ISMS的原因,并决定ISMS实
13、施的目标,启动ISMS项目。实施ISMS的目标可通过回答以下问题来决定za) 风险管理一-ISMS如何产生更好地管理信息安全风险?b) 效率一ISMS如何能改进信息安全的管理?c) 业务优势-ISMS如何能为组织创造竞争优势?为回答上述问题,尽可能通过以下因素来阐明组织的安全优先级和要求zd 关键的业务域和组织域z1) 关键业务域和关键组织域是什么?2) 组织哪些域提供该业务以及关注什么?3) 有什么第三方关系及其协议?的是否有外包服务?b) 敏感信息或有价值的信息=1) 什么信息对组织是至关重要的?2) 如果某些信息被泄露给未授权方,可能产生什么后果例如,失去竞争优势、损害晶牌或名誉、引起法
14、律诉讼等)?。对信息安全测量有要求的相关法律s1) 什么法律适用于组织的风险处置或信息安全?2) 组织是否是必须对外进行财务报告的公众性全球性组织的一部分?d) 与信息安全有关的合同协议或组织协议z。对数据存储的要求包括保留期限是什么?别是否有任何与隐私或质量有关的合同要求例如,服务级别协议一-SLA)?e) 规定特定信息安全控制措施的行业要求z1) 有哪些行业特定的要求适用于组织?f) 威胁环境z1) 需要什么类型的保护,及需要应对哪些威胁?2) 需要保护的信息的特定类别是什么?的需要保护的信息活动的特定类型是什么?g) 竞争动力z。对倍息安全的最小化市场要求是什么?2) 哪些另外的信息安全
15、控制措施可为组织提供竞争优势?h) 业务持续性要求z1) 关键业务过程是什么?2) 对每个关键业务过程而言,组织能够容忍其中断的时间是多长?通过回答上述问题,可以确定初步的ISMS范围。并且这对创建要得到管理者批准的业务案例和实施ISMS的计划是需要的。详细的ISMS范围将在ISMS项目期间予以定义。GB/T 31496-2015/ISO/IEC 27003:2010 GB/T 22080-2008 4.2.1 a)中所提及的要求,从业务、组织、位置、资产和技术等方面特点,据要描述了范围。以上所产生的信息支持ISMS范围的确定。在做出ISMS范围的初步决定时,宜考虑一些主题,具体包括2a) 组
16、织管理者对建立信息安全管理的指示及外部对组织的强制性义务是什么?b)建议的范围内系统的责任是否由不止一个管理团队例如,不同的分支机构或不同的部门承担?c) ISMS相关文档在整个组织如何流通例如,通过纸质文件或者通过公司内联网)?d) 当前的管理体系是否能支持组织的需求?是否得到充分运行、良好维护且如预期般发挥作用?管理者目标可作为确定ISMS韧步植围的输入,举例如下=输出a) 促进业务持续性和灾难恢复,b) 提高事件恢复的能力,c) 解决法律/合同的符合性/义务,d) 使能够我得其他ISO/IEC栋准的认证se) 使组织能够发展和占据优势地位,f) 降低安全控制措施的戚本;g) 保护具有战略
17、价值的资产sh) 建立一个健康的、有效的内部控制环境,i) 向利益相关方保证信息资产获得适当保护。本活动的可交付项是Ea) 概述ISMS的目标、信息安全优先级和组织要求的文档,b) 与组织的信息安全相关的法律法规、规章、合同和行业的要求清单Fd 业务、组织、位置、资产和技术等方面的概要特征。其他铺息ISO/IEC 9001:2008 , ISO/IEC 14001: 2004 , ISO/IEC 20000-1: 2005. 5.3 定义初步的ISMS范围5.3.1 制定初步的困MS范围活动为实现ISMS的目标,宜定义初步的ISMS范围。输入5.2(阐明组织开发ISMS的优先级)活动的输出。指
18、南为了执行ISMS实施项目,宜定义组织实施ISMS的结构。现在宜定义初步的ISMS范围,以便给管理者提供实施决策指南,以及支持进一步的活动。初步的ISMS范围对于创建业务案例和建议的项目计划以获得管理者的批准而言,是必需的。本阶段的输出是一份定义初步ISMS范围的文挡,内容包括za) 组织的管理者对信息安全管理的指示概述,以及外部施加于组织的义务gb) ISMS范围内的区域如何与其他管理体系交互的描述FO 信息安全管理的业务目标清单见5.2), d) ISMS将被应用的关键业务过程、系统、信息资产、组织结构和地理位置的清单z7 GB/T 31496-2015/ISO/mC 27003 1201
19、0 e) 现有管理体系、规章、符合性和组织目标之间的关系,f) 业务、组织、位置、资产和技术等方面的特点。宜识别现有管理体系与被提议的ISMS的过程阔的共同要素和运行差异。输出可交付项是一份描述初步的ISMS范围的文挡。其他信息无其他特定信息。注,宜特别注意的是,不论组织内已有的管理体系如何,都要满足GB/T22080-2008关于ISMS范围的认证特定文件的要求。5.3.2 定义初步的ISMS范围内的角色和责任活动宜定义初步的ISMS范围的全部角色和责任.输入a) 5.3.1(制定初步的ISMS范围活动的输出sb) 将从ISMS项目结果获益的利益相关方清单。指南为了执行ISMS项目,宜确定组
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
5000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB 31496 2015 信息技术 安全技术 信息 安全 管理体系 实施 指南
