GB/T 28450-2012 信息安全技术 信息安全管理体系审核指南

ICS35.040

L80

中华人民共和国国家标准

/—

GBT284502012

信息安全技术

信息安全管理体系审核指南

Informationsecurittechnolo—

ygy

Guidelinesforinformationsecuritmanaementsstemauditin

ygyg

2012-06-29发布2012-10-01实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

/—

GBT284502012

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4审核原则…………………1

4.1通用的审核原则……………………1

4.2IS4.1审核原则……………………1

5审核方案的管理…………………………1

5.1总则…………………1

5.2审核方案的目的和内容……………3

、

5.3审核方案的职责资源和程序………………………4

5.4审核方案的实施……………………4

5.5审核方案的记录……………………4

5.6审核方案的监视和评审……………5

6审核活动…………………5

6.1总则…………………5

6.2审核的启动…………………………5

6.3文件评审的实施……………………5

6.4现场审核的准备……………………6

6.5现场审核的实施……………………6

、

6.6审核报告的编制批准和分发………………………7

6.7审核的完成…………………………8

6.8审核后续活动的实施………………8

7审核员的能力与评价……………………8

7.1总则…………………8

7.2个人素质……………8

7.3知识和技能…………………………9

、、

7.4教育工作经历审核员培训和审核经历…………11

7.5能力的保持和提高…………………11

7.6审核员的评价………………………11

()

附录资料性附录各应用领域的典型应用系统示例………………

A12

()

附录资料性附录的过程审核示例…………

BISMS14