信息安全技术 信息安全管理体系审核指南 |
 |
| 标准编号:GB/T 28450-2012 |
标准状态:已作废 |
|
| 标准价格:59.0 元 |
客户评分:  |
|
|
本标准有现货可当天发货一线城市最快隔天可到! |
|
|
|
|
|
本标准在GB/T19011—2003的基础上为信息安全管理体系(简称ISMS)的审核原则、审核方案管理和审核实施提供了指导,并对审核员的能力及其评价提供了指导。
本标准适用于需要实施ISMS内部审核、外部审核或对审核进行管理的所有组织。 |
|
|
|
| 英文名称: |
Information security technology—Guidelines for information security management system auditing |
| 标准状态: |
已作废 |
 替代情况: |
被GB/T 28450-2020代替 |
| 中标分类: |
电子元器件与信息技术>>信息处理技术>>L80数据加密 |
| ICS分类: |
信息技术、办公机械设备>>35.040字符集和信息编码 |
| 发布部门: |
中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 |
| 发布日期: |
2012-06-29 |
| 实施日期: |
2012-10-01
|
| 作废日期: |
2021-07-01
|
| 首发日期: |
2012-06-29 |
| 提出单位: |
全国信息安全标准化技术委员会(SAC/TC 260) |
| 归口单位: |
全国信息安全标准化技术委员会(SAC/TC 260) |
| 主管部门: |
全国信息安全标准化技术委员会(SAC/TC 260) |
| 起草单位: |
中国信息安全认证中心、中国电子技术标准化研究所、北京知识安全工程中心 |
| 起草人: |
张剑、上官晓丽、许玉娜、王新杰、闵京华、陈珍成 |
| 页数: |
36页 |
| 出版社: |
中国标准出版社 |
| 出版日期: |
2012-10-01 |
|
|
|
本标准按照GB/T1.1—2009给出的规则起草。
本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国信息安全认证中心、中国电子技术标准化研究所、北京知识安全工程中心。
本标准主要起草人:张剑、上官晓丽、许玉娜、王新杰、闵京华、陈珍成。 |
|
|
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 审核原则 1
4.1 通用的审核原则 1
4.2 IS4.1审核原则 1
5 审核方案的管理 1
5.1 总则 1
5.2 审核方案的目的和内容 3
5.3 审核方案的职责、资源和程序 4
5.4 审核方案的实施 4
5.5 审核方案的记录 4
5.6 审核方案的监视和评审 5
6 审核活动 5
6.1 总则 5
6.2 审核的启动 5
6.3 文件评审的实施 5
6.4 现场审核的准备 6
6.5 现场审核的实施 6
6.6 审核报告的编制、批准和分发 7
6.7 审核的完成 8
6.8 审核后续活动的实施 8
7 审核员的能力与评价 8
7.1 总则 8
7.2 个人素质 8
7.3 知识和技能 9
7.4 教育、工作经历、审核员培训和审核经历 11
7.5 能力的保持和提高 11
7.6 审核员的评价 11
附录A (资料性附录) 各应用领域的典型应用系统示例 12
附录B(资料性附录) ISMS的过程审核示例 14
附录C (资料性附录) 控制措施的审核示例 19
附录D (资料性附录) 本标准与GB/T19011-2003的对照 21
附录E (资料性附录) 审核组审核员的选择 24
参考文献 27
图1 审核方案管理流程图 2
图2 能力的概念 8
表A.1 典型IT应用系统举例 12
表B.1 体系文件建立、发布与宣贯过程审核示例 14
表B.2 风险评估与处理过程审核示例 15
表B.3 业务连续性的信息安全管理方面过程审核示例 16
表B.4 法律法规符合性判定过程审核示例 17
表C.1 信息处理设施的授权过程审核示例 19
表C.2 处理第三方协议中的安全问题审核示例 19
表C.3 信息的标记与处理审核示例 20
表D.1 本标准与GB/T19011-2003对照表 21
表E.1 审核组审核员的选择知识能力考虑点示例 24 |
|
|
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T19000—2008 质量管理体系 基础和术语(ISO9000:2005,IDT)
GB/T19011—2003 质量和(或)环境管理体系审核指南(ISO19011:2002,IDT)
GB/T22080—2008 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC27001:2005,IDT)
GB/T22081—2008 信息技术 安全技术 信息安全管理实用规则(ISO/IEC27002:2005,IDT) |
|
|
|
| |