GB/T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南

ICS35.040

L80

中华人民共和国国家标准

/—//:

GBT314962015ISOIEC270032010

信息技术安全技术

信息安全管理体系实施指南

——

InformationtechnoloSecurittechniues

gyyq

Informationsecuritmanaementsstemimlementationuidance

ygypg

(/:,)

ISOIEC270032010IDT

2015-05-15发布2016-01-01实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

中华人民共和国

国家标准

信息技术安全技术

信息安全管理体系实施指南

/—//:

GBT314962015ISOIEC270032010

*

中国标准出版社出版发行

北京市朝阳区和平里西街甲号()

2100029

北京市西城区三里河北街号()

16100045

网址:

g

服务热线:

400-168-0010

010-68522006

年月第一版

20156

*

书号:·

1550661-51118

版权专有侵权必究

/—//:

GBT314962015ISOIEC270032010

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4本标准的结构……………1

4.1章条的总结构………………………1

4.2每章的一般结构……………………2

4.3图表…………………3

5获得管理者对启动ISMS项目的批准…………………4

5.1获得管理者对启动ISMS项目的批准的概要……………………4

5.2阐明组织开发ISMS的优先级……………………5

5.3定义初步的ISMS范围……………7

5.3.1制定初步的ISMS范围…………7

5.3.2定义初步的ISMS范围内的角色和责任………8

5.4为了管理者的批准而创建业务案例和项目计划…………………8

、……………

6定义ISMS范围边界和ISMS方针策略10

、………………

6.1定义ISMS范围边界和ISMS方针策略的概述10

6.2定义组织的范围和边界……………11

定义信息通信技术()的范围和边界…………

6.3ICT12

6.4定义物理范围和边界………………13

6.5集成每一个范围和边界以获得ISMS的范围和边界……………14

6.6制定ISMS方针策略和获得管理者的批准………14

7进行信息安全要求分析…………………15

7.1进行信息安全要求分析的概述……………………15

7.2定义ISMS过程的信息安全要求…………………17

7.3标识ISMS范围内的资产…………17

7.4进行信息安全评估…………………18

8进行风险评估和规划风险处置…………19

8.1进行风险评估和规划风险处置的概述……………19

8.2进行风险评估………………………21

8.3选择控制目标和控制措施…………2