GB/T 28450-2020 信息技术 安全技术 信息安全管理体系审核指南

ICS35.040

L80

中华人民共和国国家标准

/—//:

GBT284502020ISOIEC270072017

代替/—

GBT284502012

信息技术安全技术

信息安全管理体系审核指南

——

InformationtechnoloSecurittechniuesGuidelinesfor

gyyq

informationsecuritmanaementsstemsauditin

ygyg

(/:,)

ISOIEC270072017IDT

2020-12-14发布2021-07-01实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—//:

GBT284502020ISOIEC270072017

目次

前言…………………………Ⅲ

引言…………………………Ⅴ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4审核原则…………………1

5审核方案的管理…………………………1

5.1总则…………………1

5.2确立审核方案的目标………………1

5.3建立审核方案………………………2

5.4实施审核方案………………………3

5.5监视审核方案………………………4

5.6评审和改进审核方案………………4

6实施审核…………………4

6.1总则…………………4

6.2审核的启动…………………………4

6.3审核活动的准备……………………5

6.4审核活动的实施……………………5

6.5审核报告的编制和分发……………6

6.6审核的完成…………………………7

6.7审核后续活动的实施………………7

7审核员的能力和评价……………………7

7.1总则…………………7

7.2确定满足审核方案需求的审核人员能力…………7

7.3审核员评价准则的建立……………8

7.4选择适当的审核员评价方法………………………8

7.5进行审核员评价……………………8

7.6保持并提高审核员能力……………8

()………………

附录A资料性附录ISMS审核实践指南9

参考文献……………………34

Ⅰ

/—//:

GBT284502020ISOIEC270072017

前言

本标准按照/—给出的规则起草。

GBT1.12009

/—《》,/—

本标准代替信息安全技术信息安全管理体系审核指南与

GBT284502012GBT28450

,:

2012相比主要技术性变化如下

———();

删除了ISMS特定审核原则的内容见2012年版的4.2

———();

删除了审核方案管理流程图见2012年版的5.1

———();

删除了审核方案内容见2012年版的5.2.2

———