国家标准信息技术安全技术信息安全控制措施审核员指南 .pdf

国家标准《信息技术安全技术信息安全控制措施审核员指

南》（报批稿)编制说明

一、工作简况

1.1任务来源：

《信息技术安全技术信息安全控制措施审核员指南》是全国信息安全标准

化技术委员会(全国信息安全标准化技术委员会秘书处）2012年下达的信息安全

国家标准制定项目,由中国电子技术标准化研究院主要负责起草。工业和信息化

部电子第五研究所、中国合格评定国家认可中心、北京赛西认证有限责任公司、

北京时代新威信息技术有限公司等单位共同参与了该技术规范的起草工作.本指

导性技术文件由全国信息安全标准化技术委员秘书处提出并归口，由中国电子技

术标准化研究院承担。

1.2主要工作过程：

1。2012.12-2013。3系统化查阅并梳理标准法、审计法、安全法、认证认

可条例等文件与信息安全相关内容的总结,提出标准草案。

2。2013.4-2013.6对已形成的《信息技术安全技术信息安全控制措施审

核员指南》标准草案组织两次专家项目组内部评审，并就技术性翻译和标准中信

息技术说明进行了修订.专家来自中国合格评定国家认可委员会、工业和信息化

部电子第五研究所、中国电子技术标准化研究院等。

3.2013.7——2013。11草案组内专家评审会，会后按照专家意见对文本进

行了修改完善,形成了第二版草案文本。

4。2013。12-2013。12通过了安标委WG7组的草案专家审查会.会后按照专

家意见，对文本进行了修改完善，形成了最终草案文本。

5．2014年3月18日通过WG7组全体成员单位投票,投票通过率100％。会

后根据各成员单位意见对标准草案文本进行了修改完善，形成标准征求意见稿文

本.

二、编制原则和主要内容

2。1编制原则：

《信息技术安全技术信息安全控制措施审核员指南》是信息安全管理体系

标准族中标准之一。目前，我国在参考借鉴国际信息安全管理体系标准族

（ISO/IEC27000系列）的基础上，等同转化了ISO/IEC27001:2005《信息技术

安全技术信息安全管理体系要求》（对应国家标准GB/T22080：2008）、ISO/IEC

27002:2005《信息技术安全技术信息安全管理使用规则》(对应国家标准GB/T

22081：2008）、ISO/IEC27006：2007《信息技术安全技术信息安全管理体系

认证机构认可要求》（对应国家标准GB/T25067-2010)和ISO/IEC27007:2007

《信息安全管理体系审核指南》(对应国家标准GB/T28450-2012），为国内各机

构开展信息安全管理体系认证工作提供了依据和技术支撑.

本指导性技术文件编制过程中，按照GB/T1。1-2009给出的规则起草，同

时参考国家、信息安全相关法律、法规和标准的要求实施.鉴于该技术规范在整

个信息安全管理体系标准族中的定位是一个技术性、指导性的标准，对于指导用

户了解和落实该系列标准具有重要的作用；结合我国信息安全管理体系相关标准

的研制现状，从国际信息安全管理体系系列标准转化的完整性上讲，应为国内标

准用户提供一份标准前后内容一致的参考指南。鉴于此编制组决定本指导性技术

文件等同采用国际标准ISO/IEC27008:2011《信息技术安全技术审核员信息

安全控制措施审核指南》。

2。2主要内容

本指导性技术文件是对GB/T22080-2008ISMS要求（ISO27001：2005

IDT)、GB/T22081—2008ISMS实施规范(ISO27002：2005IDT）、GB/Txxxxxx

—yyyy(ISO/IEC27007：2008IDT）信息安全管理体系审核指南相关审核活动的

技术性补充,定位为对信息安全管理体系安全控制措施审核提供技术性指南。

本指导性技术文件主要框架如下：

前言

引言

1．范围

2．规范性引用文件

3．术语和定义

4．技术报告的结构

5．背景

6．信息安全控制措施评审概述

6.1评审过程

6。2资源配置

7．评审方法

7。1概述

7.2评审方法:检查

7.2。1概述

7.2.2属性

7.3评审方法：访谈