GB/T 31496-2023 信息技术 安全技术 信息安全管理体系 指南.pdf

CCSL80 ICS35.030
GB 中华人民共和国国家标准 GB/T31496-2023/ISO/IEC27003:2017 代替GB/T31496-2015
信息技术安全技术 信息安全管理体系指南 Informationtechnology-Securitytechniques- Information security management systems-Guidance
(ISO/IEC27003:2017,IDT)
2023-05-23发布2023-12-01实施 国家市场监督管理总局发布 国家标准化管理委员会
GB/T31496-2023/ISO/IEC27003:2017
目次
前言 引言V 1范围 2规范性引用文件 3术语和定义. 4组织语境 4.1理解组织及其语境 4.2理解利益相关方的需求和期望 4.3确定信息安全管理体系范围 4.4信息安全管理体系 5领导 5.1领导和承诺 5.2方针 5.3组织的角色、责任和权限 6规划 6.1应对风险和机会的措施 6.2信息安全目标及其实现规划14 7支持.16 7.1资源...16 7.2 7.3意识17 7.4沟通18 7.5文件化信息.19 8运行.22 8.1运行规划和控制22 8.2信息安全风险评估.23 8.3信息安全风险处置23 9绩效评价24 9.1监视、测量、分析和评价24 9.2内部审核.25 9.3管理评审27 10改进28 10.1不符合项及纠正措施
GB/T 31496-2023/ISO/IEC27003:2017 10.2持续改进30 附录A（资料性）策略框架32 参考文献34
GB/T31496-2023/ISO/IEC27003:2017
前言
本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。

GB/T31496一2015相比，除结构调整和编辑性改动外，主要技术变化如下： -更改了范围，按照GB/T22080-2016的要求进行解释并提供指南； 一上一版采用了项目的方法，每个项目包含一系列活动。

在修订版中不再采用项目的方法，而是 提供了针对每个要求的指南，不需要考虑这些要求的实现顺序。

本文件等同采用ISO/IEC27003：2017《信息技术安全技术信息安全管理体系指南》。

本文件做了下列最小限度的编辑性改动： 增加了4.2的注。

请注意本文件的某些内容可能涉及专利。

本文件的发布机构不承担识别专利的责任。

本文件由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。

本文件起草单位：中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国合格评定 国家认可中心、杭州安恒信息技术股份有限公司、中国石油天然气股份有限公司长庆石化分公司、腾讯 云计算（北京)有限责任公司、中电长城网际系统应用有限公司、上海三零卫士信息安全有限公司、北京 赛西认证有限责任公司、西安电子科技大学、黑龙江省网络空间研究中心、北京信息安全测评中心、中国 科学院软件研究所、重庆邮电大学、安徽科技学院、北京神州绿盟科技有限公司、中通服咨询设计研究院 有限公司、北京中科微澜科技有限公司。

本文件主要起草人：王惠莅、上官晓丽、许玉娜、付志高、任泽君、尤其、周亚超、赵丽华、范博、 闵京华、张东举、马文平、干露、李媛、方舟、张立武、梁伟、黄永洪、张恒、曹浩、尹晓鹏、宋雪、高丽芬、 陈洪、杨牧天、裴心平。

本文件及其所代替文件的历次版本发布情况为： -2015年首次发布为GB/T31496-2015； -本次为第一次修订。

GB/T31496-2023/ISO/IEC27003:2017
引言
本文件提供了关于GB/T22080中规定的信息安全管理体系（ISMS)要求的指南，并提供了与之相 关的建议（“宜”）、可能性（“可能”）和允许（“可”）。

本文件的目的不是提供信息安全的方面的一般 指南。

本文件第4章～第10章反映了GB/T22080-一2016的结构。

本文件没有增加对ISMS的任何新要求及其相关术语和定义。

组织宜参照GB/T22080的要求和 GB/T29246的定义。

实施ISMS的组织没有义务遵守本文件中的指南。

ISMS强调了以下几个阶段的重要性： 一理解组织的需求及建立信息安全方针和信息安全目标的必要性； 一评估组织与信息安全相关的风险； 一实施和运行信息安全过程、控制和其他风险处理措施； 监视和评审ISMS的绩效和有效性； "-进行持续改进。

与其他类型的管理体系相似，ISMS包括以下关键组成要素。

a）方针。

b）有明确责任的人员。

c）相关的管理过程： 1）方针建立； 2）意识和能力的提供； 3）规划； 4）实现； 5）运行； 6）绩效评估； 7）管理评审； 8）改进。

d）文件化信息。

ISMS还有其他关键组成要素，诸如： e）信息安全风险评估； f）信息安全风险处置，包括控制的确定和实现。

本文件是通用的，旨在适用于组织，无论其类型、规模或性质。

组织宜根据其特定的组织环境 识别本文件对其适用的部分（见GB/T22080一2016中第4章）。

例如，一些指南可能更适合大型组织，但对于非常小的组织（例如少于10人），这些指南中的一些内 容可能是不必要的或不适合的。

第4章～第10章的描述结构如下： 一所需活动：提出GB/T22080相应条款所要求的关键活动； -解释：解释GB/T22080要求的含义； -指南：提供更详细或支持性的信息来实现“所要求活动”，包括实施的示例； 一其他信息：提供了可能进一步考虑的信息。

GB/T31496、GB/T31497和GB/T31722形成了一套文件，支持GB/T22080-2016并提供指 IV...