【标准】GBT 网络安全技术 信息安全管理体系审核指南

微信扫码，打开到小程序

ICS 35.040 CCS L80 GB/T 28450—XXXX/ISO/IEC 27007:2020 代替 GB/T 28450—2020 ` 中 华 人 民 共 和 国 国 家 标 准 网络安全技术 信息安全管理体系审核指南 Cybersecurity technology—Guidelines for information security management systems auditing （ISO/IEC 27007:2020，Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing，MOD） 征求意见稿 （本草案完成时间：2025-05-14） 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX - XX - XX发布 XXXX - XX - XX实施 GB/T 28450—XXXX/ISO/IEC 27007:2020 目 次 前 言......................................................................................................................................................III 1 范围..........................................................................................................................................................1 2 规范性引用文件.......................................................................................................................................1 3 术语和定义...............................................................................................................................................1 4 审核原则..................................................................................................................................................1 5 审核方案的管理.......................................................................................................................................1 5.1 总则...................................................................................................................................................1 5.2 确立审核方案的目标.........................................................................................................................1 5.3 确定和评价审核方案风险和机遇......................................................................................................2 5.4 建立审核方案....................................................................................................................................2 5.5 实施审核方案....................................................................................................................................3 5.6 监视审核方案....................................................................................................................................4 5.7 评审和改进审核方案.........................................................................................................................4 6 审核的实施...............................................................................................................................................4 6.1 总则...................................................................................................................................................4 6.2 审核的启动........................................................................................................................................4 6.3 审核活动的准备................................................................................................................................4 6.4 审核活动的实施................................................................................................................................5 6.5 审核报告的编制和分发.....................................................................................................................6 6.6 审核的完成........................................................................................................................................6 6.7 审核后续活动的实施.........................................................................................................................6 7 审核员的能力和评价................................................................................................................................6 7.1 总则...................................................................................................................................................6 7.2 确定审核员能力................................................................................................................................6 7.3 建立审核员评价准则.........................................................................................................................8 7.4 选择适当的审核员评价方法.............................................................................................................8 7.5 进行审核员评价................................................................................................................................8 7.6 保持并提高审核员能力.....................................................................................................................8 附 录 A （资料性） ISMS 审核实践指南.............................................................................................9 A.1 概述...................................................................................................................................................9 A.2 总则...................................................................................................................................................9 A.3 关于 GB/T 22080—XXXX 对文件化信息要求的指南.......................................................................9 A.4 适用性声明.....................................................................................................................................11 A.5 其他文件化信息..............................................................................................................................11 A.6 注释................................................................................................................................................11 A.7 ISMS 审核指南...............................................................................................................................11 参 考 文 献..............................................................................................................................................39 I GB/T 28450—XXXX/ISO/IEC 27007:2020 II GB/T 28450—XXXX/ISO/IEC 27007:2020 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规 定起草。 本文件代替 GB/T 28450—2020《信息技术 安全技术 信息安全管理体系审核指南》，与 GB/T 28450—2020 相比，除结构调整和编辑性改动外，主要技术变化如下： a) 删除第 5 章“审核方案的管理”第 5.1 节“总则”的所有内容（见 2020 年版的第 5 章）； b) 删除第 5 章“审核方案的管理”第 5.2 节“确立审核方案的目标”中第 5.2.1 条：“d）规划 ISMS 时 所确定的风险和机会” （见 2020 年版的第 5 章）； c) 删除第 5 章“审核方案的管理”第 5.3 节“建立审核方案”中第 5.3.4 条：“识别和评估审核方案风 险”的所有内容（见 2020 年版的第 5 章）； d) 删除第 5 章“审核方案的管理”第 5.4 节“实施审核方案”中第 5.4.2.1 条“IS 5.4.2 规定每次审核的 目标、范围和准则”的“b) 评价维护和有效改进 ISMS 的过程” （见 2020 年版的第 5 章）； e) 删除第 6 章“实施审核”第 6.5 节“审核报告的编制和分发”中第 6.5.2.1 条：“在分发审核报告时， 宜采取适当措施确保报告的保密性” （见 2020 年版的第 6 章）。 本文件将更新并与 GB/T 19011—2021（ISO 19011:2018，IDT）保持一致，其内容直接引用 GB/T 19011，且不体现 GB/T 19011 的具体文本内容，宜与 GB/T 19011—2021 一起使用。 本文件修改采用 ISO/IEC 27007:2020《信息安全 网络安全和隐私保护 信息安全管理体系审核指 南》，沿用其整体结构框架和主要内容，并考虑所引用标准的更新情况、审核实践等要素，对部分标 准版本、条款及注解等内容进行了适当的更新和调整。 请注意本文件的部分内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由全国网络安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：北京时代新威信息技术有限公司、中国网络安全审查认证和市场监管大数据中 心、中国电子技术标准化研究院、中国合格评定国家认可中心、全国组织机构统一社会信用代码数据 服务中心、广州赛宝认证中心服务有限公司、国家计算机网络应急技术处理协调中心、中国网络空间 研究院、国家计算机病毒应急处理中心、北京赛西认证有限责任公司、绿盟科技集团股份有限公司、 启明星辰信息技术集团股份有限公司、三六零数字安全科技集团有限公司、瀚高基础软件股份有限公 司、长扬科技（北京）股份有限公司、岚图汽车科技有限公司、天翼安全科技有限公司、北京源堡科 技有限公司、罗克佳华科技集团股份有限公司、中标华信（北京）认证中心有限公司、浪潮软件集团 有限公司、陕西省网络与信息安全测评中心、浙江省发展信息安全测评技术有限公司、杭州高新区 （滨江）区块链与数据安全研究院、中移动信息技术有限公司、中检集团天帷网络安全技术（合肥） 有限公司。 本文件主要起草人：王新杰、王连强、杨玉忠、付志高、程瑜琦、王姣、王寒生、翟亚红、魏立 茹、孙镇、赵捷、陈艳、鲁立、潘文博、崔牧凡、宋首友、刘盈颖、赵丽华、张睿、杨天识、张靖琦、 冯明冉、张亚京、徐晓琳、方宇、梁露露、李玮、刘伯钊、孟建、马卓元、陈恩惠、魏遵博、高运霞、 王璞。 本文件及其所代替文件的历次版本发布情况为： ——2012 年首次发布 GB/T 28450—2012； ——2020 年第一次修订并发布 GB/T 28450—2020，代替的文件为 GB/T 28450—2012； ——本次为第二次修订。 III GB/T 28450—XXXX/ISO/IEC 27007:2020 网络安全技术 信息安全管理体系审核指南 1 范围 本文件在 GB/T 19011—2021 的基础上，对信息安全管理体系（ISMS）审核方案管理，审核实施， 以及 ISMS 审核员能力等方面提供了指南。 本文件适用于需要理解或实施 ISMS 的内部或外部审核，或需要管理 ISMS 审核方案的所有组织。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T 19011—2021 管理体系审核指南（ISO 19011:2018，IDT） GB/T 29246—2023 信 息 技 术 安 全 技 术 信 息 安 全 管 理 体 系 概 述 和 词 汇 （ ISO/IEC 27000:2018，IDT） 3 术语和定义 GB/T 19011—2021 和 GB/T 29246—2023 界定的术语和定义适用于本文件。 4 审核原则 GB/T 19011—2021 的第 4 章中的原则适用。 5 审核方案的管理 5.1 总则 GB/T 19011—2021 的 5.1 中的指南适用。 5.2 确立审核方案的目标 5.2.1 GB/T 19011—2021 的 5.2 中的指南适用。 5.2.2 确立 ISMS 审核方案目标时，应考虑以下内容： a) 识别的信息安全要求； 1 GB/T 28450—XXXX/