GB/T 28450-2026 网络安全技术 信息安全管理体系审核指南

ICS35.030

CCSL80

中华人民共和国国家标准

/—//:

GBT284502026ISOIEC270072020

代替/—

GBT284502020

网络安全技术

信息安全管理体系审核指南

—

CbersecurittechnoloGuidelinesforinformationsecuritmanaement

yygyyg

sstemsauditin

yg

(/:,,—

ISOIEC270072020Informationsecuritcbersecuritandrivacrotection

yyypyp

,)

GuidelinesforinformationsecuritmanaementsstemsauditinIDT

ygyg

2026-05-25发布2026-12-01实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—//:

GBT284502026ISOIEC270072020

目次

前言…………………………Ⅲ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4审核原则…………………1

5审核方案的管理…………………………1

5.1总则…………………1

5.2确立审核方案的目标………………1

5.3确定和评价审核方案的风险和机遇………………2

5.4建立审核方案………………………2

5.5实施审核方案………………………3

5.6监视审核方案………………………4

5.7评审和改进审核方案………………4

6审核的实施………………4

6.1总则…………………4

6.2审核的启动…………………………4

6.3审核活动的准备……………………4

6.4审核活动的实施……………………5

6.5审核报告的编制和分发……………6

6.6审核的完成…………………………6

6.7审核后续活动的实施………………6

7审核员的能力和评价……………………6

7.1总则…………………6

7.2确定审核员能力……………………6

7.3建立审核员评价准则………………7

7.4选择适当的审核员评价方法………………………7

7.5进行审核员评价……………………7

7.6保持并提高审核员能力……………7

()……………………

附录A资料性ISMS审核实践指南8

A.1概述…………………8

A.2总则…………………8

关于/—对文件化信息要求的指南……………

A.3GBT2208020258

A.4适用性声明………………………10

Ⅰ

/—//:

GBT284502026ISOIEC270072020

A.5其他文件化信息…………………10

A.6注释………………10

A.7ISMS审核指南……………………10

参考文献……………………34

Ⅱ

/—//:

GBT284502026ISOIEC270072020

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

/—《》,

本文件代替信息技术安全技术信息安全管理体系审核指南与

GBT284502020

/—,,:

GBT284502020相比除结构调整和编辑性改动外主要技术变化如下

———“”“”“”“”

删除了审核方案的管理一章中总则建立审核方案及识别和评估审核方案风险的所有

(、);

内容见2020年版的5.15.3.4

———“”“”[

删除了审核方案的管理一章中规划ISMS时所确定的风险和机会见2020年版的

5.2.1d)];

———“”“”“、

删除了审核方案的管理一章中实施审核方案中的IS5.4.2规定每次审核的目标范围和

”“”[、)];

准则的评价维护和有效改进ISMS的过程见2020年版的5.45.4.2.1b

———“”“”“,

删除了实施审核一章中审核报告的分发中在分发审核报告时宜采取适当措施确保报告

”(、)。

的保密性见2020年版的6.56.5.2.1

本文件等同采用/:《信息安全网络安全和隐私保护信息安全管理体系审核

ISOIEC270072020

指南》。

本文件做了下列最小限度的编辑性改动:

———《》;

将标准名称改为网络安全技术信息安全管理体系审核指南

———();

增加了附录中针对变更的规划见

AA.3.3

———更改了附录持续改进和不符合纠正措施顺序。

A

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由全国网络安全标准化技术委员会(/)提出并归口。

SACTC260

:、

本文件起草单位北京时代新威信息技术有限公司中国网络安全审查认证和市场监管大数据中

、、、

心中国电子技术标准化研究院中国合格评定国家认可中心全国组织机构统一社会信用代码数据服

、、、

务中心广州赛宝认证中心服务有限公司国家计算机网络应急技术处理协调中心中国网络空间研究

、、、、

院国家计算机病毒应急处理中心北京赛西认证有限责任公司北京神州绿盟科技有限公司启明星辰

、、、

信息技术集团股份有限公司三六零数字安全科技集团有限公司瀚高基础软件股份有限公司长扬科

()、、、、

技北京股份有限公司岚图汽车科技股份有限公司天翼安全科技有限公司北京源堡科技有限公司

、()、、

罗克佳华科技集团股份有限公司中标华信北京认证中心有限公司浪潮软件集团有限公司中国民

、、、

航信息网络股份有限公司陕西省网络与信息安全测评中心浙江省发展信息安全测评技术有限公司

()、、

杭州高新区滨江区块链与数据安全研究院中移动信息技术有限公司中检集团天帷网络安全技术

()。

合肥有限公司

:、、、、、、、、、、

本文件主要起草人王新杰王连强杨玉忠付志高程瑜琦王姣王寒生翟亚红魏立茹孙镇

、、、、、、、、、、、、、、

赵捷陈艳鲁立潘文博崔牧凡宋首友刘盈颖赵丽华叶晓虎张睿杨天识张靖琦冯明冉张亚京

、、、、、、、、、、、、、

徐晓琳方宇梁露露李玮薛学琴刘伯钊孟建李恩哲马卓元陈恩惠魏遵博高运霞胡兴元

、、、、。

孙苏炜陈明辉毕建发张巍巍石巍

本文件及其所代替文件的历次版本发布情况为:

———年首次发布为/—,年第一次修订;

2012GBT2845020122020

———本次为第二次修订。

Ⅲ

/—//:

GBT284502026ISOIEC270072020

网络安全技术

信息安全管理体系审核指南

1范围

/—,()、

本文件在GBT190112021的基础上提供了对信息安全管理体系ISMS审核方案管理审核

,。

实施以及ISMS审核员能力等方面的指南

,。

本文件适用于需要理解或实施ISMS的内部或外部审核或需要管理ISMS审核方案的所有组织

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/—管理体系审核指南(:,)

GBT190112021ISO190112018IDT

/—信息安全技术信息安全管理体系概述和词汇(/:,

GBT292462023ISOIEC270002018

IDT)

3术语和定义

/—和/—界定的术语和定义适用于本文件。

GBT190112021GBT292462023

4审核原则

/—中第章的原则适用。

GBT1901120214

5审核方案的管理

5.1总则

/—中的指南适用。

GBT1901120215.1

5.2确立审核方案的目标

/—。。

中的指南适用增加了的内容

5.2.1GBT1901120215.25.2.2

,:

5.2.2确立ISMS审核方案目标时可能包括以下内容

)识别的信息安全要求;

a

)/—的要求;

bGBT220802025

),;

c发生信息安全事态和事件时所反映出的受审核方的绩效水平以及ISMS的有效性

:、、,/。

注关于绩效监视测量分析和评价的更多信息见ISOIEC27004

),。

d相关方的信息安全风险即受审核方和审核委托方

1