ICS 35.040 L 80 GB 中华人民共和国国家标准 GB/T31496—2015/ISO/IEC27003:2010 信息技术 安全技术 信息安全管理体系实施指南 Information technology-Security techniques- Information securitymanagement system implementation guidance (ISO/IEC 27003:2010,IDT) 2015-05-15 发布 2016-01-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 中华人民共和国 国家标准 信息技术 安全技术 信息安全管理体系实施指南 GB/T31496—2015/ISO/IEC27003:2010 中国标准出版社出版发行 北京市朝阳区和平里西街甲2号(100029) 北京市西城区三里河北街16号(100045) 网址www.spc.net.cn 总编室：（010)68533533 发行中心：(010)51780238 读者服务部：(010)68523946 中国标准出版社秦皇岛印刷厂印刷 各地新华书店经销 * 开本880×12301/16 印张3.5 字数100千字 2015年6月第一版 2015年6月第一次印刷 书号：155066·1-51118定价48.00元 如有印装差错 由本社发行中心调换 版权专有 侵权必究 举报电话：（010)68510107 GB/T31496—2015/ISO0/IEC27003:2010 目 次 前言 I 引言 1范围 2 规范性引用文件 3 术语和定义 4 本标准的结构 4.1章条的总结构 4.2每章的一般结构 5获得管理者对启动ISMS项目的批准 5.1获得管理者对启动ISMS项目的批准的概要 5.2 阐明组织开发ISMS的优先级 5.3定义初步的ISMS范围 5.3.1制定初步的ISMS范围 5.3.2定义初步的ISMS范围内的角色和责任· 5.4为了管理者的批准而创建业务案例和项目计划 6 定义ISMS范围、边界和ISMS方针策略 10 6.1定义ISMS范围、边界和ISMS方针策略的概述 10 6.2定义组织的范围和边界… 6.3 定义信息通信技术(ICT)的范围和边界 12 6.4 定义物理范围和边界· 13 6.5集成每一个范围和边界以获得ISMS的范围和边界... 14 6.6制定ISMS方针策略和获得管理者的批准 进行信息安全要求分析 15 7.1 进行信息安全要求分析的概述 15 7.2 定义ISMS过程的信息安全要求 7.3标识ISMS范围内的资产 17 7.4 进行信息安全评估 18 8进行风险评估和规划风险处置· 19 8.1进行风险评估和规划风险处置的概述 19 8.2 进行风险评估： 21 8.3 选择控制目标和控制措施· 21 8.4获得管理者对实施和运行ISMS的授权 22 9设计ISMS· 23 9.1 设计ISMS的概述 23 9.2 设计组织的信息安全 25 I GB/T31496—2015/ISO/IEC27003:2010 9.2.1设计信息安全的最终组织结构 9.2.2 设计ISMS的文件框架 26 9.2.3设计信息安全方针策略 27 9.2.4制定信息安全标准和规程 28 9.3 设计ICT安全和物理信息安全 29 9.4 设计ISMS特定的信息安全. 31 9.4.1管理评审的计划 31 9.4.2设计信息安全意识、培训和教育方案 32 9.5产生最终的ISMS项目计划 33 附录A(资料性附录) 检查表的描述 34 附录B（资料性附录） 信息安全的角色和责任 37 附录C（资料性附录） 有关内部审核的信息 40 附录D(资料性附录) 方针策略的结构 41 附录E(资料性附录) 监视和测量 45 参考文献 49 I GB/T31496—2015/ISO/IEC27003:2010 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准使用翻译法等同采用ISO/IEC27003:2010《信息技术 安全技术信息安全管理体系实施 指南》。 本标准做了以下编辑性修改： 在引言部分增加了有关信息安全管理体系标准族情况的介绍。 本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本标准起草单位：中国电子技术标准化研究院、上海三零卫士信息安全有限公司、山东省计算中心、 黑龙江省电子信息产品监督检验院、北京信息安全测评中心、中电长城网际系统应用有限公司。 本标准主要起草人：上官晓丽、许玉娜、董火民、闵京华、赵章界、周鸣乐、方舟、李刚。 Ⅲ GB/T31496—2015/ISO/IEC27003:2010 引言 信息安全管理体系标准族（InformationSecurityManagementSystem，简称ISMS标准族）是国际 信息安全技术标准化组织（ISO/IECJTC1SC27)制定的信息安全管理体系系列国际标准。ISMS标准 族旨在帮助各种类型和规模的组织，开发和实施管理其信息资产安全的框架，并为保护组织信息（诸如， 财务信息、知识产权、员工详细资料，或者受客户或第三方委托的信息）的ISMS的独立评估做准备。 ISMS标准族包括的标准：a)定义了ISMS的要求及其认证机构的要求；b)提供了对整个“规划-实施-检 查-处置”(PDCA)过程和要求的直接支持、详细指南和(或)解释;c)阐述了特定行业的ISMS指南;d)阐 述了ISMS的一致性评估。 目前，ISMS标准族由下列标准组成： GB/T29246—2012/ISO/IEC27000:2009.1 信息技术安全技术信息安全管理体系概述 和词汇 GB/T22080—2008/ISO/IEC27001:2005 信息技术安全技术信息安全管理体系要求 GB/T22081—2008/ISO/IEC27002:2005 信息技术安全技术信息安全管理实用规则 -GB/T31496—2015/ISO/IEC27003:2010 信息技术安全技术信息安全管理体系实施 指南 GB/T31497—2015/ISO/IEC27004:2009 信息技术安全技术信息安全管理测量 GB/T31722—2015/ISO/IEC27005:2008 信息技术安全技术信息安全风险管理 GB/T25067—2010/ISO/IEC27006:2007 信息技术安全技术信息安全管理体系审核认 证机构的要求 —ISO/IEC270071 信息技术安全技术信息安全管理体系审核指南 -ISO/IEC27011:2008信息技术安全技术基于ISO/IEC27002的电信行业组织的信息 安全管理指南 -ISO/IEC27013:2012信息技术安全技术ISO/IEC27001和ISO/IEC20000-1集成实施指南 —ISO/IEC27014:2013信息技术安全技术信息安全治理 本标准作为ISMS标准族之一，其目的是为组织按照GB/T22080一2008制定信息安全管理体系 (ISMS)的实施计划，提供实用指导。实际情况下，ISMS的实施通常作为一个项目来执行。 本标准所描述的过程旨在为实施GB/T22080一2008提供支持；第4章、第5章和第7章所包含的 相关部分和文件可用于： a）准备启动组织的ISMS实施计划、定义该项目的组织结构，及获得管理者的批准； b）该ISMS项目的关键活动; c）实现GB/T22080—2008要求的示例。 通过使用本标准，组织将能够制定信息安全管理的过程，并向利益相关方保证，信息资产的风险可 持续保持在组织定义的可接受的信息安全边界内。 本标准不涉及运行活动和其他ISMS活动，但涉及了如何设计这些活动的概念，这些活动是在开始 运行ISMS后所产生的。这些概念导致了最终的ISMS项目实施计划。ISMS项目的组织特定部分的 实际执行不在本标准范围内。 ISMS项目的实施宜使用标准的项目管理方法学来执行（更多信息请参见ISO和ISO/IEC有关项 目管理的标准）。 IV GB/T 31496—2015/IS0/IEC 27003:2010 信息技术安全技术 信息安全管理体系实施指南 1范围 本标准依据GB/T22080一2008，关注设计和实施一个成功的信息安全管理体系（ISMS)所需要的 关键方面。本标准描述了ISMS规范及其设计的过程，从开始到产生实施计划。本标准为实施ISMS 描述了获得管理者批准的过程，为实施ISMS定义了一个项目（本标准称作ISMS项目），并就如何规划 该ISMS项目提供了相应的指导，产生最终的ISMS项目实施计划。 本标准可供实施一个ISMS的组织使用，适用于各种规模和类型的组织（例如，商业企业、政府机 构、非赢利组织）。每个组织的复杂性和风险都是独特的，并且其特定的要求将驱动ISMS的实施。小 型组织将发现，本标准中所提及的活动可适用于他们，并可进行简化。大型组织或复杂的组织可能会发 现，为了有效地管理本标准中的活动，需要层次化的组织架构或管理体系。然而，无论是大型组织还是 小型组织，都可应用本标准来规划相关的活动。 本标准提出了一些建议及其说明，但并没有规定任何要求。期望把本标准与GB/T22080一2008 和GB/T22081一2008一起使用，但不期望修改和/或降低GB/T22080—2008中所规定的要求，或修 改和/或降低GB/T22081一2008所提供的建议。因此，不宜声称符合这一标准。