中华人民共和国国家标准
GB/T 31497-2024/ISO/IEC 27004:2016代替GB/T 31497-2015
Information technology-Security techniques-Information securitymanagementMonitoringmeasurement.analysis and evaluation
(ISO/IEC27004:2016 IDT)
国家标准化管理委员会 国家市场监督管理总局 发布
目次
前言引言2规范性引用文件 1范围3术语和定义4结构和概述5基本原理.5.1测量的必要性5.2满足GB/T22080的要求5.3结果的有效性 5.4益处 .........6特征6.1述6.2监视内容6.3测量内容6.5监视、测量、分析和评价的执行者 6.4监视、测量、分析和评价的时间7测度的类型7.1述7.2实施进度的测度7.3有效性测度8过程 8.1述8.2识别信息需求8.3建立和维护测度8.4建立规程.8.5监视和测量 118.6分析结果 8.7评价信息安全绩效和ISMS有效性 118.8评审和改进监视、测量、分析和评价过程 128.9保留和沟通文档化信息 12附录A(资料性)信息安全测量模型 13附录B(资料性)测量构造示例 15附录C(资料性)自由文本测量构造示例“ 42参考文献 附录NA(资料性)GB/T22081-2016与ISO/IEC27002:2022控制的对应关系 49 43
前言
本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
本文件代替GB/T31497-2015《信息技术安全技术信息安全管理测量》,与GB/T31497-2015相比,除结构调整和编辑性改动外,主要技术变化如下:
a)更改了“范围"的表述(见第1章,2015年版的第1章);b)更改了第5章的标题和内容,标题由“信息安全测量概述”修改为“基本原理”,删掉了“信息安全测量模型"相关内容(见第5章,2015年版的第5章);c)删除了“管理职责”(见2015年版的第6章); d)增加了“特征”(见第6章);e)更改了测度的类型,将”基本测度”和”导出测度”更改为”实施进度的测度”和”有效性测度”见第7章,2015年版的第5章):f)更改了信息安全管理监视、测量、分析和评价的过程(见第8章,2015年版的第8章、第9章和第10章).
本文件等同采用1SO/IEC27004:2016《信息技术安全技术信息安全管理监视、测量、分析和评价》
本文件做了下列最小限度的编辑性改动:
a)增加了有利于理解本文件的注(见第4章,5.2);
b)增加了资料性附录NA,给出了GB/T22081-2016与ISO/IEC27002:2022中控制的对应关系(见附录NA).
请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别专利的责任.
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口.
本文件起草单位:中国电子技术标准化研究院、中国合格评定国家认可中心、北京赛西认证有限责术有限公司、中电长城网际系统应用有限公司、北京航空航天大学、华为技术有限公司、中国科学院信息工程研究所、西安电子科技大学、重庆邮电大学、中国网络安全审查技术与认证中心、国家工业信息安全发展研究中心、北京中关村实验室、上海观安信息技术股份有限公司、北京天融信网络安全技术有限公司、国家计算机网络应急技术处理协调中心、公安部第三研究所、山东正中信息技术股份有限公司、重庆 市信息通信咨询设计院有限公司、启明星辰信息技术集团股份有限公司、西安交大捷普网络技术有限公司、国网新疆电力有限公司电力科学研究院、广东省信息安全测评中心、长扬科技(北京)股份有限公司、北京源堡科技有限公司、云智慧(北京)科技有限公司、远江盛邦(北京)网络安全科技股份有限公司、新华三技术有限公司.
本文件主要起草人:上官晓丽、王惠莅、付志高、许玉娜、王东滨、周亚超、赵丽华、闵京华、伍前红、史文征、张东举、干露、邵萌、刘俊荣、谢江、马文平、黄永洪、魏立茹、陈雪鸿、杨光、陆月明、张静、崔牧凡、郭峰、吕明、陈长松、张晓琴、陈星佑、何建锋、邹振婉、叶劲宏、赵华、梁露露、戚依军、王晶、权晓文、万晓兰、陈纪肠.
本文件及其所代替文件的历次版本发布情况为:
2015年首次发布为GB/T31497-2015;
-本次为第一次修订.
