ICS35.030 CCSL80 中华人民共和国国家标准 GB/T32916—2023/ISO/IECTS27008:2019 代替GB/Z32916—2016 信息安全技术 信息安全控制评估指南 Informationsecuritytechniques— Guidelinesfortheassessmentofinformationsecuritycontrols (ISO/IECTS27008:2019,Informationtechnology—Securitytechniques— Guidelinesfortheassessmentofinformationsecuritycontrols,IDT) 2023-09-07发布 2024-04-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 本文件的结构 1 …………………………………………………………………………………………… 5 背景 1 ……………………………………………………………………………………………………… 6 信息安全控制措施评估概述 2 …………………………………………………………………………… 6.1 评估过程 2 …………………………………………………………………………………………… 6.2 资源和能力 4 ………………………………………………………………………………………… 7 评估方法 5 ………………………………………………………………………………………………… 7.1 总则 5 ………………………………………………………………………………………………… 7.2 过程分析 6 …………………………………………………………………………………………… 7.3 检查 6 ………………………………………………………………………………………………… 7.4 测试与确认 7 ………………………………………………………………………………………… 7.5 抽样 8 ………………………………………………………………………………………………… 8 控制措施评估过程 8 ……………………………………………………………………………………… 8.1 准备工作 8 …………………………………………………………………………………………… 8.2 策划评估 9 …………………………………………………………………………………………… 8.3 实施评估 13 …………………………………………………………………………………………… 8.4 分析和报告结果 14 …………………………………………………………………………………… 附录A(资料性) 初始信息收集(除信息技术以外) 15 …………………………………………………… 附录B(资料性) 技术性安全评估实践指南 18 …………………………………………………………… 附录C(资料性) 云服务(基础设施即服务)技术性评估指南 50 ………………………………………… 附录NA(资料性) GB/T22081—2016与ISO/IEC27002:2022控制措施的对应关系 79 …………… 参考文献 84 …………………………………………………………………………………………………… ⅠGB/T32916—2023/ISO/IECTS27008:2019