ICS35.030 CCSL80 中华人民共和国国家标准 GB/T31496—2023/ISO/IEC27003:2017 代替GB/T31496—2015 信息技术 安全技术 信息安全管理体系 指南 Informationtechnology—Securitytechniques— Informationsecuritymanagementsystems—Guidance (ISO/IEC27003:2017,IDT) 2023-05-23发布 2023-12-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 组织语境 1 ………………………………………………………………………………………………… 4.1 理解组织及其语境 1 ………………………………………………………………………………… 4.2 理解利益相关方的需求和期望 3 …………………………………………………………………… 4.3 确定信息安全管理体系范围 4 ……………………………………………………………………… 4.4 信息安全管理体系 5 ………………………………………………………………………………… 5 领导 5 ……………………………………………………………………………………………………… 5.1 领导和承诺 5 ………………………………………………………………………………………… 5.2 方针 6 ………………………………………………………………………………………………… 5.3 组织的角色、责任和权限 7 …………………………………………………………………………… 6 规划 8 ……………………………………………………………………………………………………… 6.1 应对风险和机会的措施 8 …………………………………………………………………………… 6.2 信息安全目标及其实现规划 14 ……………………………………………………………………… 7 支持 16 ……………………………………………………………………………………………………… 7.1 资源 16 ………………………………………………………………………………………………… 7.2 胜任力 17 ……………………………………………………………………………………………… 7.3 意识 17 ………………………………………………………………………………………………… 7.4 沟通 18 ………………………………………………………………………………………………… 7.5 文件化信息 19 ………………………………………………………………………………………… 8 运行 22 ……………………………………………………………………………………………………… 8.1 运行规划和控制 22 …………………………………………………………………………………… 8.2 信息安全风险评估 23 ………………………………………………………………………………… 8.3 信息安全风险处置 23 ………………………………………………………………………………… 9 绩效评价 24 ………………………………………………………………………………………………… 9.1 监视、测量、分析和评价 24 …………………………………………………………………………… 9.2 内部审核 25 …………………………………………………………………………………………… 9.3 管理评审 27 …………………………………………………………………………………………… 10 改进 28 …………………………………………………………………………………………………… 10.1 不符合项及纠正措施 28 …………………………………………………………………………… ⅠGB/T31496—2023/ISO/IEC27003:2017