《信息技术 安全技术 信息安全管理体系实施指南》编制说明.pdfVIP

一、 工作简况 1.1任务来源 《信息技术 安全技术 信息安全管理体系实施指南》是国家标准化管理委 员会 2010 年下达的信息安全 国家标准制定项 目，国标计划号为： T-469。由中国电子技术标准化研究院主要负责起草。上海三零卫士有 限公司、北京信息安全测评中心、山东计算中心、黑龙江电子信息产品监督检验 院等单位共同参与了该标准的起草工作。 1.2主要工作过程 1、2007年，承担了全国信安标委信息安全专项预编制项目《信息安全管理 体系实施指南》；2008-2009年，跟踪研究了国际标准ISO/IEC 27003的发展动 态，重点掌握了ISO/IEC 27003各阶段的标准内容；2009年底，该项目通过了 验收，课题组编制完成了ISO/IEC FDIS 27003翻译稿；在此基础上，成功申请 了2010年度国家标准 《信息安全管理体系实施指南》编制工作。 2、2010年6月至2011年3月，由中国电子技术标准化研究院牵头，成立 由上海三零卫士、北京测评中心、山东计算中心、黑龙江电子信息产品监督检验 院等单位共同组成的标准编制组，共同参与编制国家标准《信息安全管理体系实 施指南》、《信息安全管理 测量》和 《信息安全风险管理》等工作。对国际标准 ISO/IEC 27003:2010 《信息技术 安全技术 信息安全管理体系实施指南》、 ISO/IEC 27004:2009 《信息技术 安全技术 信息安全管理 测量》和 ISO/IEC 27005:2008 《信息技术 安全技术 信息安全风险管理》等三个标准文本，进行了 等同翻译，完成了初稿。 3、2011年5月18-19 日，正式召开上述三项国家标准编制工作启动会，会 上，主要对各标准范围、主要内容和框架、理解难点以及三项标准中相关术语 概念的协同处理等进行了交流和讨论。根据会议讨论情况及存在的问题，安排 对标准初稿进一步完善。 4、2011年6-10月，各标准具体负责人根据5月会议讨论决定，对标准初 稿文本进行了修改完善，形成了第一版标准草案。 5、2011年11月24-25 日，标准编制组再一次集中召开会议，对修改后的 标准进行讨论和研究，并结合信息安全管理体系在我国的实施与推广情况，确 定等同采用国际标准ISO/IEC 27003:2010，为国内信息安全管理体系的建设与 实施工作提供参考。 6、2012年2月，就已形成的标准草案小范围征求专家意见，并根据专家意 见，本着对国际标准内容理解更加准确、表达更加通畅等原则，对标准草案进 行了再次校对，形成了第二版标准草案。 7、2012年8月28 日，编制组就第二版标准草案召开了专家征求意见会， 征求了专家意见。会后根据专家意见，进一步修改完善标准草案，形成第三版 标准草案。 8、2012年11月27 日，编制组就第三版标准草案召开了工作组专家评审会， 征求了专家意见，通过了专家评审。会后根据评审会专家意见，对标准草案进 行了修改。2013年1月15 日，通过了WG7组的全体成员单位投票会议，对标 准文本修改后，形成标准征求意见稿。 二、编制原则和主要内容 2.1 编制原则 本标准编制过程中遵循了以下原则： （一） 等同采用国际标准ISO/IEC 27003:2010。目前我国已经等同转化了 国际ISO/IEC 27000的核心标准，且ISMS标准在国内不同领域和行业得到了广 泛的应用和推广，ISMS认证在国内发展也越来越快，因此，如何规范化ISMS的 规划和实施过程，成为ISMS 需求方要考虑的重点。而本标准恰恰提供了基于 ISO/IEC 27001的实施指南，对于组织规划和建立ISMS具有非常实用的指导意 义。因此编制组经讨论，决定等同采用国际标准ISO/IEC 27003:2010 《信息技 术 安全技术 信息安全管理体系实施指南》。 （二） 准确理解国际标准内容。本标准是对国际标准ISO/IEC 27003:2010 的等同转化，因此，本标准翻译过程中，坚持以准确理解国际标准原文及含义为 准绳，同时采用中文语言习惯进行表述，使文本语言的描述尽可能顺利、通畅。 （三） 遵从已有的术语和定义。由于本标准与已有ISMS 国家标准有密切相 关性，且本标准中的术语和定义较少，因此，本标准在术语和定义的使用上，采 用了如下原则：已有信息安全术语定义的，遵从其定义；在其他ISMS标准中已 经定义过的术语，遵从其定义。 2.2 主要内容