正式版 GB/T 28450-2020 信息技术 安全技术 信息安全管理体系审核指南.pdf

ICS35.040 L80
GB中华人民共和国国家标准
GB/T28450-2020/ISO/IEC27007:2017 代替GB/T28450—2012
信息技术 安全技术
信息安全管理体系审核指南
Information technology-Security techniques-Guidelines for information security management systems auditing
(ISO/IEC27007:2017,IDT)
2020-12-14发布
2021-07-01实施
国家市场监督管理总局
国家标准化管理委员会发布

本标准按照GB/T1.1一2009给出的规则起草。
本标准代替GB/T28450一2012《信息安全技术信息安全管理体系审核指南》，与GB/T28450一2012相比，主要技术性变化如下：
删除了ISMS特定审核原则的内容（见2012年版的4.2）；
删除了审核方案管理流程图（见2012年版的5.1）；
删除了审核方案内容（见2012年版的5.2.2）；
增加了审核方案管理人员能力的内容（见5.3.2）；
增加了审核方案范围和详略程度确定的内容（见5.3.3）；
增加了审核方案风险识别和评估的内容（见5.3.4）；
修改了审核方案实施的内容（见5.4,2012年版的5.4）；
删除了审核方案记录的内容（见2012年版的5.5）；
删除了审核组长指定的内容（见2012年版的6.2.1）；
删除了实用帮助一一信息收集注意事项（见2012年版的6.5.4.1）；
删除了审核报告批准的内容（见2012年版的6.6.2）；
删除了能力概念图（见2012年版的7.1.1）；
删除了个人素质的内容（见2012年版的7.2）；
增加了个人行为的内容（见7.2.2）；
删除了ISMS特定及相关专业知识和技能的内容（见2012年版的7.3.3）；
增加了管理体系审核员特定领域与专业知识和技能的内容（见7.2.3.3）；
增加了多领域管理体系审核知识和技能的内容（见7.2.3.5）；
删除了教育、工作经历、审核员培训和审核经历的内容（见2012年版的7.4）；
增加了审核员能力获得的内容（见7.2.4）；
修改了审核员评价的内容（见7.3、7.4、7.5,2012年版的7.6）；
一重新组织了附录的内容，删除了原标准的五个附录，增加了附录A:IMS审核实践指南，与ISO/IEC27007:2017附录A保持一致。
本标准使用翻译法等同采用ISO/IEC27007:2017《信息技术安全技术信息安全管理体系审核指南》。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下：
GB/T19011一2013管理体系审核指南(ISO19011:2011,IDT)
GB/T22080一2016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013,IDT)
GB/T29246一2017信息技术
安全技术信息安全管理体系概述和词汇(ISO/IEC27000:2016,IDT)
本标准做了下列编辑性修改：
一在引言中对本标准中涉及的部分术语和定义，与其他标准相关内容的关系进行了说明；
一在参考文献中增加了国际文件ISO/IEC27017。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位：北京时代新威信息技术有限公司、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、全国组织机构统一社会信用代码数据服务中心。
本标准主要起草人：王新杰、王连强、张剑、上官晓丽、孙镇、赵捷、郑玮、陈剑博、郭乐宇、汪洋、曹宇、程瑜琦、王姣、孙泰、李晟飞。
本标准所代替标准的历次版本发布情况为：
GB/T28450—2012。

本标准提供了下列指南：
信息安全管理体系(ISMS)审核方案的管理；
遵循GB/T22080一2016实施内部和外部审核；
一ISMS审核员的能力和评价。
本标准宜与GB/T19011一2013中包含的指南一起使用。
本标准遵循GB/T19011一2013的结构，ISMS审核所需的ISMS特定指南，用字母“IS”进行标识。
开展ISMS审核时，本标准新增的ISMS特定指南宜与GB/T19011一2013配合使用，用字母“IS”进行标识”。
GB/T19011一2013提供了关于审核方案管理、管理体系内部或外部审核实施以及管理体系审核员能力和评价的指南。
本标准未声明组织规模要求，可适用于所有用户，包括中小型组织。
本标准中涉及的部分术语和定义，与其他标准相关内容的关系说明如下；
国际标准中的“Procedure”,在GB/T19011一2013中翻译为“程序”，而在GB/T22080一2016中翻译为“规程”，因本标准同时引用了这两个标准的原文，故本标准中出现该术语的地方均采用其原标准中的定义；
国际标准中的“Implement'”,在GB/T19011一2013中翻译为“实施”，而在GB/T22080一2016中翻译为“实现”，因本标准同时引用了这两个标准的原文，故本标准中出现该术语的地方均采用其原标准中的定义；
国际标准中的“Maintain”,在GB/T19011一2013中翻译为“保持”，而在GB/T22080一2016中翻译为“维护”，因本标准同时引用了这两个标准的原文，故本标准中出现该术语的地方均采用其原标准中的定义；
国际标准中的“Documented information”,在GB/T29246一2017中翻译为“文档化信息”，而在GB/T22080一2016中翻译为“文件化信息”，因本标准引用了GB/T22080一2016的原文，故本标准中出现该术语的地方均采用GB/T22080一2016中的定义；
国际标准中的“Context'”,在GB/T29246一2017中翻译为“语境”，而在GB/T22080一2016中翻译为“环境”，因本标准引用了GB/T22080一2016的原文，故本标准中出现该术语的地方均采用GB/T22080一2016中的定义；
国际标准中的“Continuity”,在GB/T29246一2017中翻译为“持续性”，而在GB/T22080一2016中翻译为“连续性”，因本标准引用了GB/T22080一2016的原文，故本标准中出现该术语的地方均采用GB/T22080一2016中的定义。

1范围
本标准在GB/T19011一2013的基础上，为信息安全管理体系（以下简称ISMS)审核方案管理和审核实施提供了指南，并对ISMS审核员能力提供了评价指南。
本标准适用于需要理解或实施ISMS的内部或外部审核，或需要管理ISMS审核方案的所有组织。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T19011一2013管理体系审核指南(ISO19011:2011,IDT)
GB/T22080一2016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013,IDT)
GB/T29246—2017信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC27000:2016,IDT)
3术语和定义
GB/T19011一2013和GB/T29246一2017界定的术语和定义适用于本文件。
4审核原则
GB/T19011一2013的第4章审核原则适用。
5审核方案的管理
5.1总则
GB/T19011一2013的5.1的指南适用。并且，以下ISMS特定的指南适用。
5.1.1 IS5.1总则
需要实施审核的组织宜建立审核方案，并考虑规划ISMS时所确定的风险和机会。
5.2确立审核方案的目标
GB/T19011一2013的5.2中的指南适用。并且，以下ISMS特定的指南适用。

投稿会员：匿名用户