《信息技术 安全技术 信息安全控制措施审核员指南》编制说明.pdfVIP

一、 工作简况 1.1任务来源： 《信息技术 安全技术 信息安全控制措施审核员指南》是全国信息安全标准 化技术委员会 （全国信息安全标准化技术委员会秘书处）2012年下达的信息安 全国家标准制定项目，由中国电子技术标准化研究院主要负责起草。工业和信息 化部电子第五研究所、中国合格评定国家认可中心、北京赛西认证有限责任公司、 北京时代新威信息技术有限公司等单位共同参与了该技术规范的起草工作。本指 导性技术文件由全国信息安全标准化技术委员秘书处提出并归口，由中国电子技 术标准化研究院承担。 1.2主要工作过程： 1. 2012.12-2013.3系统化查阅并梳理标准法、审计法、安全法、认证认可 条例等文件与信息安全相关内容的总结，提出标准草案。 2.2013.4-2013.6对已形成的《信息技术 安全技术 信息安全控制措施审核 员指南》标准草案组织两次专家项目组内部评审，并就技术性翻译和标准中信息 技术说明进行了修订。专家来自中国合格评定国家认可委员会、工业和信息化部 电子第五研究所、中国电子技术标准化研究院等。 3. 2013.7--2013.11 草案组内专家评审会，会后按照专家意见对文本进行 了修改完善，形成了第二版草案文本。 4.2013.12-2013.12通过了安标委WG7组的草案专家审查会。会后按照专家 意见，对文本进行了修改完善，形成了最终草案文本。 5．2014年3月18 日通过WG7组全体成员单位投票，投票通过率100%。会 后根据各成员单位意见对标准草案文本进行了修改完善，形成标准征求意见稿文 本。 二、编制原则和主要内容 2.1 编制原则： 《信息技术 安全技术 信息安全控制措施审核员指南》是信息安全管理体系 标准族中标准之一。目前，我国在参考借鉴国际信息安全管理体系标准族 （ISO/IEC27000系列）的基础上，等同转化了ISO/IEC27001:2005 《信息技术 安全技术 信息安全管理体系 要求》（对应国家标准GB/T22080:2008）、ISO/IEC 27002:2005 《信息技术 安全技术 信息安全管理使用规则》（对应国家标准GB/T 22081:2008）、ISO/IEC 27006:2007 《信息技术 安全技术 信息安全管理体系认 证机构认可要求》（对应国家标准GB/T25067-2010）和ISO/IEC27007:2007 《信 息安全管理体系审核指南》（对应国家标准GB/T 28450-2012），为国内各机构开 展信息安全管理体系认证工作提供了依据和技术支撑。 本指导性技术文件编制过程中，按照GB/T 1.1-2009给出的规则起草，同 时参考国家、信息安全相关法律、法规和标准的要求实施。鉴于该技术规范在整 个信息安全管理体系标准族中的定位是一个技术性、指导性的标准，对于指导用 户了解和落实该系列标准具有重要的作用；结合我国信息安全管理体系相关标准 的研制现状，从国际信息安全管理体系系列标准转化的完整性上讲，应为国内标 准用户提供一份标准前后内容一致的参考指南。鉴于此编制组决定本指导性技术 文件等同采用国际标准ISO/IEC 27008:2011 《信息技术 安全技术 审核员信息 安全控制措施审核指南》。 2.2 主要内容 本指导性技术文件是对GB/T 22080—2008 ISMS 要求 （ISO 27001:2005 IDT ）、GB/T22081—2008ISMS 实施规范（ISO27002 :2005IDT）、GB/Txxxxxx —yyyy （ISO/IEC27007:2008 IDT）信息安全管理体系审核指南相关审核活动的 技术性补充，定位为对信息安全管理体系安全控制措施审核提供技术性指南。 本指导性技术文件主要框架如下： 前 言 引 言 1．范围 2．规范性引用文件 3．术语和定义 4．技术报告的结构 5．背景 6．信息安全控制措施评审概述 6.1评审过程 6.2 资源配置 7． 评审方法 7.1 概述 7.2 评审方法：检查 7.2.1 概述 7.2.2 属性 7.3 评审方法：访谈 7.3.1 概述 7.3.2 深度属性 7.3.3 广度属性 7.4 评审方法：测试 7.4.1 概述 7.4.2 测试类型