GB∕T 31496-2015标准规范下载简介
GB∕T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南简介:
GB/T 31496-2015,全称为《信息技术 安全技术 信息安全管理体系实施指南》,是中国的一项国家标准,旨在为组织提供实施信息安全管理体系(Information Security Management System,ISMS)的详细指导。ISMS是一个系统的管理过程,它将信息安全融入到组织的业务流程中,以保护组织的重要信息资产免受各种威胁。
该标准基于国际标准ISO/IEC 27001:2013,覆盖了ISMS的建立、实施、运行、监视、评审、保持和改进等全过程。标准内容包括ISMS的规划设计、风险评估与管理、控制措施的实施、信息安全管理的文档化、内部审核、管理评审、持续改进等多个方面。
GB/T 31496-2015的实施,有利于组织建立科学、规范的信息安全管理机制,提升组织的信息安全防护能力,保护组织的敏感信息,预防和减少因信息安全事件可能带来的损失,同时也有助于提升组织的商业信誉,满足相关法律法规的要求。
简单来说,GB/T 31496-2015是一个为组织提供信息安全管理系统建设与运行的详细指导手册,帮助组织建立、实施和维护一套有效的ISMS,以保护组织的业务和信息资产。
GB∕T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南部分内容预览:
b)(续) 图7(续)
有关信息安全的组织功能、角色和责任,宜紧密结合风险处置。 输入 a) 5.3.2(定义初步的ISMS范围的角色和责任)活动的输出一一角色和责任表; 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出 ISMS的范围和 边界; 6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出—ISMS的方针策略; 7.2(定义ISMS过程的信息安全要求)活动的输出; e) 7.3(标识ISMS范围内的资产)活动的输出; 7.4(进行信息安全评估)活动的输出; g) 8.2(进行风险评估)活动的输出风险评估结果; h) 8.3(选择控制目标和控制措施)活动的输出; i) GB/T22081—2008。 指南 为了内部运行ISMS,宜适当依赖并集成已有的各个方面,寻求构建相应组织结构和组织过程的设
有关信息安全的组织功能、角色和责任,宜紧密结合风险处置。 输入 a) 5.3.2(定义初步的ISMS范围的角色和责任)活动的输出一一角色和责任表; 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出 一ISMS的范围和 边界; 6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出ISMS的方针策略; 7.2(定义ISMS过程的信息安全要求)活动的输出; e) 7.3(标识ISMS范围内的资产)活动的输出; 7.4(进行信息安全评估)活动的输出; g) 8.2(进行风险评估)活动的输出风险评估结果; h) 8.3(选择控制目标和控制措施)活动的输出; i) GB/T22081—2008。 指南 为了内部运行ISMS,宜适当依赖并集成已有的各个方面,寻求构建相应组织结构和组织过程的设
计。同样地,要把ISMS集成到更宽泛的已有管理结构(例如内部审核)之中,就宜考虑ISMS的设计 过程。 为ISMS所设计的组织结构,宜反映ISMS实施和运行的活动,并强调活动实施方法,例如监视和 记录方法,作为ISMS运行的一部分。 因此,ISMS运行结构宜基于规划的ISMS实施JT∕T 329.1-1997 公路桥梁预应力钢绞线用YM锚具、连接器规格系列,通过考虑以下事宜来设计: a)ISMS实施的每一个角色,是否对ISMS的运行是必需的? b)所定义的角色,是否不同于ISMS实施的其他角色? c)宜为ISMS实施,增加什么角色? 例如,对于ISMS运行,可增加的角色有: a)负责每一个部门信息安全运行的人员; b)负责每一个部门ISMS测量的人员。 考虑附录B中概述的要点,可有助于通过修改ISMS实施的结构和角色来决定ISMS运行的结构 和角色。 输出 本活动的可交付项是一个文件,这个文件概述以下内容: 组织结构及其角色和责任。 其他信息 附录B—角色和责任的信息。 附录C—规划审核的信息。
9.2.2设计ISMS的文件框架
GB/T314962015/ISO/IEC27003.2010
9.2.3设计信息安全方针策略
对于ISMS的运行,宜建立有关信息安全目标的决策管理者和行政管理者战略定位的文件。 输入 5.2(阐明组织开发ISMS的优先级)活动的输出一概述的目标和要求清单; b)5.4(为了管理者的批准而创建业务案例和项目计划)活动的输出一一管理者对ISMS项目的 初始批准; c) 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出一一ISMS的范围和 边界; d) 6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出一ISMS的方针策略; ? 7.2(定义ISMS过程的信息安全要求)活动的输出; f) 7.3(标识ISMS范围内的资产)活动的输出; g) 7.4(进行信息安全评估)活动的输出; h) 8.2(进行风险评估)活动的输出一一8.3(选择控制目标和控制措施)活动的风险评估输出的 结果; i)9.2.1(设计信息安全的最终组织结构)活动的输出; i)9.2.2(设计ISMS文件的框架)活动的输出:
GB/T314962015/ISO/IEC27003:2010
k)见GB/T22081—2008的5.1.1。 指南 信息安全方针策略记录了组织的战略定位,以及整个组织相关的信息安全目标。 该方针策略是基于信息和知识而拟定的。管理者在以前进行分析中所标识的事宜是非常重要的, 宜把它们作为证据,并在方针策略中予以强调,以便提供组织的动机和动力。要重点指出,如果不遵守 该方针策略将会发生什么。还宜强调影响组织解决问题的法律和法规。 可以参照参考文献、互联网以及行业协会等,给出一些信息安全方针策略的例子。可以依据年度报 告、其他方针策略文件或管理者支持的其他文件,配置并联想一些安全方针策略。 关于一个方针策略的实际篇幅,可能存在一些不同的说明和要求。方针策略宜简明要的给出,以 使有关人员能理解该方针策略的意图。此外,方针策略宜充分地凸现需要什么目标,以便强调相关的一 组规章和组织目标。 信息安全方针策略的篇幅和结构,宜支持下一阶段(引入信息安全管理体系过程)中所使用的文件 (参见附录D一一方针策略结构的信息)。 对于大型和复杂的组织(例如,拥有大量不同的运行域),可能有必要拟定一个总方针策略和一些运 作上经改编的基础性方针策略。 关于信息安全方针策略内容的指南见GB/T22081一2008的5.1.1。 所提议的方针策略(带版本号和日期)宜在组织内由运行管理人员进行反复核对和建立。运作管理 人员逐条批准管理小组或相关小组内所建立的方针策略,接之以对读者可访问和可理解的方式,在组织 内有关人员之间进行沟通。 输出 本活动的可交付项是信息安全方针策略文件。 其他信息 附录B一一角色和责任的信息。 附录D一方针策略结构的信息
9.2.4制定信息安全标准和规程
宜制定强调整个组织或者强调组织特定部分的信息安全标准和规程。 输入 a) 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出—ISMS的范围和 边界; b)6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出一—ISMS的方针策略; c) 8.2(进行风险评估)活动的输出; d)8.3(选择控制目标和控制措施)活动的输出; e) 8.4(获得管理者对实施和运行ISMS的授权)活动的输出一—适用性声明,包括控制目标和已 选择的控制措施; f) 9.2.1(设计信息安全的最终组织结构)活动的输出; g) 9.2.2(设计ISMS文件的框架)活动的输出; h)9.2.3(设计信息安全方针策略)活动的输出; GB/T 22081—2008。 指南 为了给组织的信息安全工作提供一个基础,宜为那些需要知道的人员提供一些可用的信息安全标 准和一组适用的法律法规和规章的要求。
宜制定强调整个组织或者强调组织特定部分的信息安全标准和规程。 输入 a) 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出一—ISMS的范围和 边界; b)6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出一—ISMS的方针策略; c) 8.2(进行风险评估)活动的输出; d)8.3(选择控制目标和控制措施)活动的输出; e) 8.4(获得管理者对实施和运行ISMS的授权)活动的输出一适用性声明,包括控制目标和已 选择的控制措施; f) 9.2.1(设计信息安全的最终组织结构)活动的输出; g) 9.2.2(设计ISMS文件的框架)活动的输出; h)9.2.3(设计信息安全方针策略)活动的输出; GB/T 22081—2008。 指南 为了给组织的信息安全工作提供一个基础JC∕T 994-2006 微晶玻璃陶瓷复合砖,宜为那些需要知道的人员提供一些可用的信息安全标 准和一组适用的法律法规和规章的要求。
GB/T314962015/ISO/IEC27003:2010
由ISMS范围所覆盖的组织的各个不同部分的代表,宜参与制定标准和规程的过程。这些参与宜 有权威机构,并是组织的代表。例如,可包括以下角色: a)信息安全管理人员; b)物理安全的代表; c)信息系统责任人; d)战略域和运行域的过程责任人。 建议成立一个规模尽可能小的编辑组,选择一些指定的专家临时加人到该编辑组。每一个代表宜 积极地与各自的组织域保持联系,以便得到无缝的运行支持。这有助于以后在运行层面上有关规程和 例程内容的细化工作。 这样,安全标准和规程就宜作为设计详细的技术规程或操作规程的基础予以使用。 编制信息安全标准和规程的一种有用的途径是,基于风险评估结果,考虑GB/T22080一2008和 GB/T22081一2008的实现指导中那些真正可用的每一条款,并精确地描述宜如何应用之。 宜对现有的信息安全标准和规程的评价加以评审。例如,它们是否可以加以细化并开发之?或者 它们是否需要被完全取代? 宜向范围内的每一个人员,提供相关的最新文档。信息安全标准和规程宜适用于整个组织,或使它 们可清楚地表明所涉及的角色、系统和域。宣及时产生第一版本。 宜在早期阶段,定义信息安全标准和规程的修订和评审过程。因此,方针策略变更信息宜如何发 布,宜拟定一个战略。 输出 a) 本活动的可交付项是一个结构化、详细的实施计划,该计划是有关组织安全的控制,并作为最 终ISMS项目计划一部分,包括该信息安全标准集的一个文档化框架; b)涵盖组织基线的信息安全标准; c)实现信息安全标准的信息安全规程。 其他信息 附录D一方针策略结构的信息
9.3设计ICT安全和物理信息安全
宜为ICT和物理安全环境设计相应的控制措施。 输入 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出一一ISMS的范围和 边界; b) 6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出 ISMS的方针策略; c)7.2(定义ISMS过程的信息安全要求)活动的输出; d) 7.3(标识ISMS范围内的资产)活动的输出; 7.4(进行信息安全评估)活动的输出; f) 8.3(选择控制目标和控制措施)活动的输出; g) 8.4(获得管理者对实施和运行ISMS的授权)活动的输出一一适用性声明,包括控制目标和已 选择的控制措施; h) GB/T 22081—2008。 指南 在本活动中,宜为每一个控制措施建立如下文档,它们宜作为ISMS项目计划的一部分: a)负责实施一个控制措施的责任人姓名;
CJ∕T 3018.11-1993 生活垃圾渗沥水 五日生化需氧量(BOD5)的测定 稀释与培养法GB/T314962015/ISO/IEC27003.2010