ICS 35,040 L 80
中华人民共和国国家标准 GB/T ××××—××××
信息安全管理体系审核指南
Guidelines for Information Security Management Systems Auditing
(征求意见稿)
××××-××-××发布 ××××-××-××实施
中华人民共和国国家质量监督检验检疫总局 发布
中 国 国 家 标 准 化 管 理 委 员 会
GB/T ××××—××××
目 次
I
GB/T ××××—××××
前 言
本标准由全国信息安全标准化技术委员会提出并归口; 本标准起草单位: 本标准主要起草人:。
2
GB/T ××××—××××
引 言
GB/T22080-2008/ISO/IEC 27001:2005是基于过程的。标准的4 - 8章规定了一组ISMS过程。过程可有简单过程和复杂过程。复杂过程又可包含许多较为简单的过程。例如,GB/T22080-2008/ISO/IEC 27001:2005标准的5-8章:“管理职责”、“内部ISMS审核”、“ISMS的管理评审”和“ISMS改进”,可以看作构成ISMS管理体系的相互关系的4大主要过程。而每一个大过程又包含许多较小的过程。GB/T22080-2008/ISO/IEC 27001:2005标准建议:组织使用PDCA模型,构建ISMS过程。这意味着,每一个过程都应有P(即计划),D(即实施、运行与维护),C(即监视、审核和评审)和A(即保持和改进)阶段。本指南旨在为信息安全管理体系(简称ISMS)审核员 (包括内部审核员和外部审核员)执行ISMS审核提供指南,以确保ISMS审核:
? 既能符合GB/T 22080-2008/ISO/IEC 27001:2005标准的要求,又能与GB/T19011
-2003/ISO 19011:2002和ISO/IEC 27006标准保持一致;
? 成为帮助受审核的组织完成其目标、改进其工作的一个增值活动。 本标准为审核方案管理、内部和外部ISMS 审核的实施以及审核员的能力评价提供了指南。本标准旨在适用于广泛的潜在使用者,包括审核员、实施ISMS 的组织,因合同原因需要对ISMS 实施审核的组织以及合格评定领域中与审核员注册或培训、管理体系认证注册、认可或标准化有关组织。
本标准旨在提供能够灵活运用的指南。如标准中多处所述,这些指南的使用可根据受审核方的规模、性质以及实施审核的目的和范围的不同而不同。本标准方框中的内容以实用帮助方式,针对特定的问题提供了补充指南或示例。在某些情况下,这些内容旨在为小型组织使用本标准提供支持。
第4章描述了审核的原则,这些原则帮助使用者认识审核的基本性质,是第5,6,7 章所必要的序言。
第5章提供了管理审核方案的指南,覆盖了诸如为审核方案的管理分配职责、建立审核方案目的、协调审核活动和提供充分审核组所需资源等内容。
第6章提供了ISMS审核的指南,包括审核组的选择。
第7章提供了审核员所需能力的指南,描述了评价审核员的过程。
附录还提供了基于业务流程审核的指南和针对27001具体条款的审核指南。
当ISMS 与其他管理体系一起实施时,由本标准使用者决定这些管理体系审核是分别进
行还是一起进行。
本标准仅提供指南,但使用者可以应用该指南制定自己与审核有关的要求。
此外,在监视与要求(如产品规范或法律法规)的符合性方面感兴趣的任何其他个人或组织,可以发现本标准中的指南是有用的。
3
GB/T ××××—××××
信息安全管理体系审核指南
1.范围
本标准为审核原则、审核方案管理、信息安全管理体系(ISMS)审核的实施提供了指南,也对审核员的能力提供了指南。
本标准适用于需要实施信息安全管理体系内部审核和外部审核或需要管理审核的所有组织。
2. 规范性引用文件
下列参考文件对于本文件的应用是必不可少的,其中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。
GB/T 22080-2008/ISO/IEC 27001:2005, 信息技术 — 安全技术 — 信息安全管理体系要求
GB/T 22081-2008/ISO/IEC 27002:2005, 信息技术 — 安全技术 — 信息安全管理实用规则
ISO/IEC 27006:2005, 信息技术 — 安全技术 — 信息安全管理体系审核认证机构要求
GB/T 27021-2007/ISO/IEC 17021:2005, 合格评定—管理体系审核认证机构的要求 GB/T 19000-2005/ISO 9000:2005 质量管理体系 基础和术语 GB/T 19011-2003/ISO 19011:2002质量和(或)环境管理体系审核指南
3. 术语和定义
本标准接受包括GB/T 19000-2000/ISO9000;GB/T 19011-2003/ ISO 19011:2002、GB/T 22080-2008/ ISO/IEC 27001:2005和GB/T 22081-2008/ ISO/IEC 27002:2005标准的相关术语和定义。
4. 审核原则
4.1 审核原则
直接采用GB/T 19011-2003/ISO19011:2002的第4章。
5.审核方案的管理
5.1 总则
4