GB/T 31497-2024 网络安全技术 信息安全管理 监视、测量、分析和评价

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T31497—2024/ISO/IEC270042016

:

代替GB/T31497—2015

网络安全技术信息安全管理

监视测量分析和评价

、、

Cybersecuritytechniques—Informationsecuritymanagement—

Monitorinmeasurementanalsisandevaluation

g,,y

ISO/IEC270042016IDT

(:,)

2024-03-15发布2024-10-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T31497—2024/ISO/IEC270042016

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

结构和概述

4………………1

基本原理

5…………………2

测量的必要性

5.1………………………2

满足的要求

5.2GB/T22080…………2

结果的有效性

5.3………………………3

益处

5.4…………………3

特征

6………………………3

概述

6.1…………………3

监视内容

6.2……………4

测量内容

6.3……………4

监视测量分析和评价的时间

6.4、、……………………5

监视测量分析和评价的执行者

6.5、、…………………5

测度的类型

7………………6

概述

7.1…………………6

实施进度的测度

7.2……………………6

有效性测度

7.3…………………………6

过程

8………………………7

概述

8.1…………………7

识别信息需求

8.2………………………8

建立和维护测度

8.3……………………8

建立规程

8.4……………11

监视和测量

8.5…………………………11

分析结果

8.6……………11

评价信息安全绩效和有效性

8.7ISMS………………12

评审和改进监视测量分析和评价过程

8.8、、…………12

保留和沟通文档化信息

8.9……………12

附录资料性信息安全测量模型

A()……………………13

附录资料性测量构造示例

B()…………15

附录资料性自由文本测量构造示例

C()………………42

附录资料性与控制的对应关系

NA()GB/T22081—2016ISO/IEC27002:2022…43

参考文献

……………………49

Ⅰ

GB/T31497—2024/ISO/IEC270042016

:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技术安全技术信息安全管理测量与

GB/T31497—2015《》,GB/T31497—

相比除结构调整和编辑性改动外主要技术变化如下

2015,,:

更改了范围的表述见第章年版的第章

a)“”(1,20151);

更改了第章的标题和内容标题由信息安全测量概述修改为基本原理删掉了信息安

b)5,“”“”,“

全测量模型相关内容见第章年版的第章

”(5,20155);

删除了管理职责见年版的第章

c)“”(20156);

增加了特征见第章

d)“”(6);

更改了测度的类型将基本测度和导出测度更改为实施进度的测度和有效性测度见

e),“”“”“”“”(

第章年版的第章

7,20155);

更改了信息安全管理监视测量分析和评价的过程见第章年版的第章第章

f)、、(8,20158、9

和第章

10)。

本文件等同采用信息技术安全技术信息安全管理监视测量分析和

ISO/IEC27004:2016《、、

评价

》。

本文件做了下列最小限度的编辑性改动

:

增加了有利于理解本文件的注见第章

a)(4,5.2);

增加了资料性附录给出了与中控制的对应关

b)NA,GB/T22081—2016ISO/IEC27002:2022

系见附录

(NA)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院中国合格评定国家认可中心北京赛西认证有限责

:、、

任公司杭州安恒信息技术股份有限公司北京邮电大学上海三零卫士信息安全有限公司道普信息技

、、、、

术有限公司中电长城网际系统应用有限公司北京航空航天大学华为技术有限公司中国科学院信息

、、、、

工程研究所西安电子科技大学重庆邮电大学中国网络安全审查技术与认证中心国家工业信息安全

、、、、

发展研究中心北京中关村实验室上海观安信息技术股份有限公司北京天融信网络安全技术有限公

、、、

司国家计算机网络应急技术处理协调中心公安部第三研究所山东正中信息技术股份有限公司重庆

、、、、

市信息通信咨询设计院有限公司启明星辰信息技术集团股份有限公司西安交大捷普网络技术有限公

、、

司国网新疆电力有限公司电力科学研究院广东省信息安全测评中心长扬科技北京股份有限公司

、、、()、

北京源堡科技有限公司云智慧北京科技有限公司远江盛邦北京网络安全科技股份有限公司新

、()、()、

华三技术有限公司

。

本文件主要起草人上官晓丽王惠莅付志高许玉娜王东滨周亚超赵丽华闵京华伍前红

:、、、、、、、、、

史文征张东举干露邵萌刘俊荣谢江马文平黄永洪魏立茹陈雪鸿杨光陆月明张静崔牧凡

、、、、、、、、、、、、、、

郭峰吕明陈长松张晓琴陈星佑何建锋邹振婉叶劲宏赵华梁露露戚依军王晶权晓文万晓兰

、、、、、、、、、、、、、、

陈纪旸

。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2015GB/T31497—2015;

本次为第一次修订

———。

Ⅲ

GB/T31497—2024/ISO/IEC270042016

:

引言

本文件旨在帮助组织评价信息安全绩效和信息安全管理体系的有效性以满足

,GB/T22080—

中监视测量分析和评价的要求

20169.1“、、”。

信息安全管理体系的监视和测量结果会对的治理管理有效运行和持续改进有关

(ISMS)ISMS、、

的决策提供支持

。

与其余系列标准一样组织根据自身实际情况和需要考虑解释和调整本文件的

ISO/IEC27000,、

内容本文件中的概念和方法是广泛适用的但任何特定组织所需的具体测度取决于在实践中差异很

。,

大的环境因素如其规模行业成熟度信息安全风险合规义务和管理风格

(、、、、)。

依据实施的组织使用本文件但本文件没有为符合的提

GB/T22080ISMS。GB/T22080ISMS

出任何新的要求也没有要求组织一定要遵守本文件提出的指南

,。

按照中的要求对标准文本进行了重新编写前言中仅列出了主要的技术

GB/T22080—20169.1,

变动详细变动见本文件具体内容

,。

Ⅳ

GB/T31497—2024/ISO/IEC270042016

:

网络安全技术信息安全管理

监视测量分析和评价

、、

1范围

本文件提供了旨在协助组织评价信息安全绩效和信息安全管理体系有效性以满足

ISMS(),

中要求的指南本文件规定了

GB/T22080—20169.1。:

信息安全绩效的监视和测量

a);

包括其过程和控制有效性的监视和测量

b)ISMS();

监视和测量结果的分析和评价

c)。

本文件适用于各种类型和规模的组织

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息技术安全技术信息安全管理体系要求

GB/T22080—2016(ISO/IEC27001:2013,

IDT)

信息技术安全技术信息安全管理体系概述和词汇

ISO/IEC27000(Informationtechnolo-

gy—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary)

注信息安全技术信息安全管理体系概述和词汇

:GB/T29246—2023(ISO/IEC27000:2018,IDT)

3术语和定义

界定的术语和定义适用于本文件

ISO/IEC27000。

4结构和概述

本文件的结构如下

:

基本原理第章

a)(5);

特征第章

b)(6);

测度的类型第章

c)(7);

过程第章

d)(8)。

这几章的排序旨在帮助理解并与中的要求形成如图所示的对应关系

GB/T22080—20169.11。

组织首先识别满足要求所需的信息称之为信息需求然后确定用于满足信息需求的测度监

(“”),。

视和测量过程产生了随后要被分析的数据用分析结果来评价是否满足组织的信息需求

,。

注测量是确定一个值的过程测度是作为测量结果赋值的变量

:,。

此外附录描述了信息安全测量模型包括测量模型的组成部分与中的

,A,GB/T22080—20169.1

要求之间的关系

。

1

GB/T31497—2024/ISO/IEC270042016

:

附录提供了一系列的示例这些示例旨在就组织如何监视测量分析和评价其所选择的

B。、、

过程和信息安全绩效领域提供实际指导附录中的示例使用了表中给出的建议模板附件

ISMS。B1,C

则提供了使用另一种基于自由文本格式的示例

。

图1与GB/T22080—201691的对应

,.

5基本原理

51测量的必要性

.

的总体目标是在其范围内保持信息的保密性完整性和可用性通过活动制定实现该

ISMS、,ISMS

目标的计划以及这些计划的实施但是仅这些活动本身并不能保证完成这些计划就能达到信息安全

。,

目标因此在规定的中有多处要求组织评价计划和活动是否确保实现了信息安

。,GB/T22080ISMS,

全目标

。

52满足GB/T22080的要求

.

的要求组织评价信息安全绩效和有效性在第章给出了能够满足

GB/T22080—20169.1ISMS,7

这些要求的测度类型

。

的还要求组织确定

GB/T22080—20169.1:

需要被监视和测量的内容包括信息安全过程和控制

a),;

适用的监视测量分析和评价的方法以确保得到有效的结果

b)、、,;

注所选的方法产生可比较和可再现的有效结果

:。

何时应执行监视和测量

c);

谁应监视和测量

d);

何时应分析和评价监视和测量的结果

e);

谁应分析和评价这些结果

f)。

图提供了本文件与这些要求的对应

1。

最后的要求组织保留适当的文件作为监视和测量结果的证据见

,GB/T22080—20169.1(8.9)。

2

GB/T31497—2024/ISO/IEC270042016

:

的还指出所选择的方法宜产生可比较和可再现的结果以便确认它们是

GB/T22080—20169.1,,

有效的见

(6.4)。

53结果的有效性

.

的要求组织选择测量监视分析和评价的方法以确保有效的结果该

GB/T22080—20169.1b)、、,。

条款指出为了获得有效的结果结果宜是可比较的和可再现的为实现这一目标组织宜考虑以下几

:,。,

个方面来收集分析和报告测度

、。

为了从基于不同时间点的监视中获得测度的可比较结果确保的范围及其环境没有变

a),ISMS

化是很重要的

。

测量和监视的方法或技术发生改变时一般不会产生可比较的结果为了保持可比性可以要

b),。,

求进行特定的测试比如同时分别使用原方法和变化后的方法

,。

如果测量和监视所用方法或技术包括主观要素则需要采取特定的步骤以获得可再现的结果

c),。

例如宜对照设定的准则来评价问卷调查结果

,。

在某些情况下只能在特定情况下才会产生再现性例如有些情况下结果是不可再现的但

d),。,,,

在将其汇总后结果是有效的

,。

54益处

.

实现过程与控制并确保信息安全实施能产生大量的组织效益和经济效益主要效益可能

ISMS,。

包括如下内容

。

强化责任监视测量分析和评价能通过帮助识别未正确实施的未实施的或无效的特定信息

a):、、、

安全过程或控制来强化对信息安全的责任

,。

改进信息安全绩效和过程监视测量分析和评价能使组织量化其在范围内保

b)ISMS