ICS35. 040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 31496—2015/ I SO/ IEC27003: 2010 信息技术 安全技术 信息安全管理体系实施指南 I n f o rma t i ont e chno l o e c u r i t e chn i e s— gy—S yt qu I n f o rma t i ons e c u r i t emen ts s t emimp l emen t a t i ongu i danc e ymana g y ( I SO/ IEC27003: 2010, IDT) 2015 05 15 发布 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 2016 01 01 实施 发 布 中 华 国 人 民 家 共 标 信息技术 和 国 准 安全技术 信息安全管理体系实施指南 GB/T31496—2015/ I SO/ IEC27003: 2010 * 中国标准出版社出版发行 北京市朝阳区和平里西街甲 2 号( 100029) 北京市西城区三里河北街 16 号( 100045) 网址: www. cn gb168. 服务热线: 400 168 0010 010 68522006 2015 年 6 月第一版 * 书号:155066·1 51118 版权专有 侵权必究 GB/T 31496—2015/I SO/IEC27003: 2010 目 次 前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 本标准的结构 …………………………………………………………………………………………… 1 4. 1 章条的总结构 ……………………………………………………………………………………… 1 4. 2 每章的一般结构 …………………………………………………………………………………… 2 4. 3 图表 ………………………………………………………………………………………………… 3 5 获得管理者对启动I SMS 项目的批准 ………………………………………………………………… 4 5. 1 获得管理者对启动I SMS 项目的批准的概要 …………………………………………………… 4 5. 2 阐明组织开发I SMS 的优先级 …………………………………………………………………… 5 5. 3 定义初步的I SMS 范围 …………………………………………………………………………… 7 5. 3. 1 制定初步的ISMS 范围 ………………………………………………………………………… 7 5. 3. 2 定义初步的ISMS 范围内的角色和责任 ……………………………………………………… 8 5. 4 为了管理者的批准而创建业务案例和项目计划 ………………………………………………… 8 6 定义I SMS 范围、边界和I SMS 方针策略 …………………………………………………………… 10 6. 1 定义I SMS 范围、边界和I SMS 方针策略的概述 ……………………………………………… 10 6. 2 定义组织的范围和边界 …………………………………………………………………………… 11 6. 3 定义信息通信技术( ICT)的范围和边界 ………………………………………………………… 12 6. 4 定义物理范围和边界 ……………………………………………………………………………… 13 6. 5 集成每一个范围和边界以获得I SMS 的范围和边界 …………………………………………… 14 6. 6 制定I SMS 方针策略和获得管理者的批准 ……………………………………………………… 14 7 进行信息安全要求分析 ………………………………………………………………………………… 15 7. 1 进行信息安全要求分析的概述 …………………………………………………………………… 15 7. 2 定义I SMS 过程的信息安全要求 ………………………………………………………………… 17 7. 3 标识I SMS 范围内的资产 ………………………………………………………………………… 17 7. 4 进行信息安全评估 ………………………………………………………………………………… 18 8 进行风险评估和规划风险处置 ………………………………………………………………………… 19 8. 1 进行风险评估和规划风险处置的概述 …………………………………………………………… 19 8. 2 进行风险评估 ……………………………………………………………………………………… 21 8. 3 选择控制目标和控制措施 ………………………………………………………………………… 21 8. 4 获得管理者对实施和运行I SMS 的授权 ………………………………………………………… 22 9 设计I SMS ……………………………………………………………………………………………… 23 9. 1 设计I SMS 的概述 ………………………………………………………………………………… 23 9. 2 设计组织的信息安全 ……………………………………………………………………………… 25 Ⅰ GB/T 31496—2015/I SO/IEC27003: 2010 9. 2. 1 设计信息安全的最终组织结构 ……………………………………………………………… 25 9. 2. 2 设计I SMS 的文件框架 ……………………………………………………………………… 26 9. 2. 3 设计信息安全方针策略 ……………………………………………………………………… 27 9. 2. 4 制定信息安全标准和规程 …………………………………………………………………… 28 9. 3 设计ICT 安全和物理信息安全 ………………………………………………………………… 29 9. 4 设计I SMS 特定的信息安全 ……………………………………………………………………… 31 9. 4. 1 管理评审的计划 ……………………………………………………………………………… 31 9. 4. 2 设计信息安全意识、培训和教育方案 ……………………………………………………… 32 9. 5 产生最终的I SMS 项目计划 ……………………………………………………………………… 33 附录 A (资料性附录) 检查表的描述 …………………………………………………………………… 34 附录 B (资料性附录) 信息安全的角色和责任 ………………………………………………………… 37 附录 C (资料性附录) 有关内部审核的信息 …………………………………………………………… 40 附录 D (资料性附录) 方针策略的结构 ………………………………………………………………… 41 附录 E (资料性附录) 监视和测量 ……………………………………………………………………… 45 参考文献 …………………………………………………………………………………………………… 49 Ⅱ GB/T 31496—2015/I SO/IEC27003: 2010 前 本标准按照 GB/T1. 1—2009 给出的规则起草。 言 本标准使用翻译法等同采用ISO/ IEC27003: 2010《信息技术 指南》。 安全技术 信息安全管理体系实施 本标准做了以下编辑性修改: ———在引言部分增加了有关信息安全管理体系标准族情况的介绍。 本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本标准起草单位:中国电子技术标准化研究院、上海三零卫士信息安全有限公司、山东省计算中心、 黑龙江省电子信息产品监督检验院、北京信息安全测评中心、中电长城网际系统应用有限公司。 本标准主要起草人:上官晓丽、许玉娜、董火民、闵京华、赵章界、周鸣乐、方舟、李刚。 Ⅲ GB/T 31496—2015/I SO/IEC27003: 2010 引 言 信息安全管理体系标准族( I n f o rma t i onSe cu r i t tSys t em,简 称 I SMS 标 准 族)是 国 际 y Managemen 信息安全技术标准化组织( I SO/ IECJTC1SC27)制定的信息安全管理体系系列国际标准。ISMS 标 准 族旨在帮助各种类型和规模的组织,开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如, 财务信息、知识产权、员 工 详 细 资 料,或 者 受 客 户 或 第 三 方 委 托 的 信 息)的 I SMS 的 独 立 评 估 做 准 备。 ISMS 标准族包括的标准: a)定义了ISMS 的要求及其认证机构的要求; b)提供了对整个“规划-实施-检 ( ) ) 查-处置”PDCA 过程和要求的直接支持、详细指南和(或)解释; c 阐述了特定行业的 ISMS 指南; d)阐 述了I SMS 的一致性评估。 目前, ISMS 标准族由下列标准组成: ———GB/T29246—2012/ I SO/ IEC27000: 2009 信息技术 安全技术 信息安全管理体系 概述 安全技术 信息安全管理体系 要求 安全技术 信息安全管理实用规则 和词汇 ———GB/T22080—2008/ I SO/ IEC27001: 2005 信息技术 ———GB/T22081—2008/ ISO/ IEC27002: 2005 信息技术 ———GB/T31496—2015/ ISO/ IEC27003: 2010 信 息 技 术 安全技术 信息安全管理体系实施 指南 ———GB/T31497—2015/ ISO/ IEC27004: 2009 信息技术 安全技术 信息安全管理 ———GB/T25067—2010/ I SO/ IEC27006: 2007