国家标准《信息技术安全技术信息安全管理测量》草案编制说明.docx

国家标准信息技术安全技术信息安全管理测量（草案）编制说明一、工作简况任务来源信息技术安全技术信息安全管理测量是全国信息安全标准化技术委 员会2010年下达的信息安全国家标准制定项目，国标计划号为：-T-469。由中 国电子技术标准化研究院主要负责起草。山东计算中心、上海三零卫士有限公司、 北京信息安全测评中心等单位共同参与了该标准的起草工作。1.1 主要工作过程1、2010年，承担全国信息安全标准化技术委员会信息安全专项项目信息 技术安全技术信息安全管理测量。2、2011年3月，山东省计算中心、中国电子技术标准化研究院、上海三零 卫士有限公司和北京信息安全测评中心组成标准编制组，对标准编制的组织形式 及任务分工进行了安排。3、2011年3月至5月，标准编制组对IS0/IEC 27004:2009进行了翻译和 校对工作，形成IS0/IEC 27004:2009翻译稿。4、2011年5月，标准编制组召开会议对翻译稿进行了讨论，各参编单位提 出修改意见。5、2011年6月-10月，根据修改意见对翻译稿进行了修改完善，形成信 息技术安全技术信息安全管理测量（初稿）。6、2011年11月，标准编制组召开工作会议，针对已形成的标准初稿和存 在的问题进行讨论，提出修改建议。7、2011年12月-2012年2月，根据修改建议对标准初稿进行了修改完善, 形成信息技术安全技术信息安全管理测量（草案）。8、2012年3月，北京大学王立福教授对标准草案进行了审核，提出了修改 意见和建议。9、2012年4月，根据王立福教授的意见和建议，对标准草案进行了修改完 善，形成第二版标准草案。10、2012年8月28日，编制组就第二版标准草案召开了专家征求意见会， 征求了专家意见。会后根据专家意见，进一步修改完善标准草案，形成第三版标准草案。11、2012年11月27日，编制组就第三版标准草案召开了工作组专家评审 会，征求了专家意见，通过了专家评审。会后根据评审会专家意见，对标准草 案进行了修改。2013年1月15日，通过了 WG7组的全体成员投票工作会议， 会后对文本进行了修改完善，形成了征求意见稿。二、编制原则和主要内容2.1编制原则（一）等同采用国际标准ISO/IEC27004:2009。信息技术安全技术信息 安全管理测量是信息安全管理体系标准族中的标准之一。目前，我国在参考 借鉴国际信息安全管理体系标准族（ISO/IEC 27000系列）的基础上，等同转化 了 ISO/IEC 27001:2005信息技术安全技术信息安全管理体系要求（对应 国家标准GB/T 22080:2008）, ISO/IEC 27002:2005信息技术 安全技术 信息 安全管理使用规则（对应国家标准GB/T 22081:2008）. ISO/IEC 27006:2007信 息技术安全技术信息安全管理体系审核认证机构的要求（对应国家标准GB/T 25067:2010）和ISO/IEC 27000:2009信息技术 安全技术 信息安全管理体系 概 述和词汇。本标准编制过程中，考虑到本标准提供了如何测度和测量信息安全 管理体系以及如何使用的指南，并用以验证已实施的信息安全管理体系和控制措 施的有效性，以及推进信息安全管理体系过程或控制措施的改进，具有十分重要 的作用。结合我国信息安全管理体系相关标准的研制现状，从国际信息安全管理 体系系列标准转化的完整性上讲，应为国内标准用户提供一份标准前后内容一致 的参考指南。鉴于此，编制组决定本标准等同采用国际标准ISO/IEC 27004:2009 信息技术安全技术信息安全管理测量。（二）准确理解国际标准内容。本标准是对国际标准ISO/IEC 27004:2009 的等同转化，因此，本标准翻译过程中，坚持以准确理解国际标准原文及含义为 准绳，同时采用中文语言习惯进行表述，使文本语言的描述尽可能顺利、通畅。（三）遵从已有的术语和定义。由于本标准与已有ISMS国家标准有密切相 关性，因此，本标准在术语和定义的使用上，采用了如下原则：已有信息安全术 语定义的，遵从其定义；在其他ISMS标准中己经定义过的术语，遵从其定义。 2. 2主要内容本标准提供了如何开发测度和测量以及如何使用的指南，以评估按照GB/T 22080-2008规定的已实施的信息安全管理体系和控制措施或控制措施集的有效 性，包括方针、信息安全风险管理、控制目标、控制措施、过程和规程，并且支 持其校验过程，以助于决定信息安全管理体系过程或控制措施是否需要改变或改 进。本标准主要框架如下：刖百引言1范围2规范性引用文件3术语和定义4本标准的结构5信息安全测量概述5.1 信息安全测量目标5.2 信息安全测量方案5.3 成功因素5.4 信息安全测量模型6管理职责6.1 概述6.2 资源管理6.3 测量培训、意识和能力7测度和测量的开发7.1 概述7.2 测量范围的定义7.3 信息需要的识别7.4 对象和属性的选择7.5 测量构造的开发7.6 测量构造7.7 数据收集、分析和报告7.8 测量实施和文件编制8测量运行8.1 概述8.2 规程整合8.3 数据收集、存储和验证8.4 分析和测量结果报告9.1 概述9.2 分析数据和产生测量结果9.3 沟通测量结果10信息安全测量方案的评价和改进10.1 概述10.2 信息安全测量方案的评价准则识别10.3 监视、评审和评价信息安全测量方案10.4 实施改进附录A （资料性附录）信息安全测量构造模板附录B （资料性附录）测量构造示例三、主要试验（或睑证）的分析、综述报告，技术经济论证，预期的经济效果 本标准提供了如何开发测度和测量以及如何使用的指南，以评估按照GB/T 22080-2008规定的已实施的信息安全管理体系和控制措施或控制措施集的有效 性。通过本标准的实施将形成信息安全测量方案，主要包括方针、信息安全风险 管理、控制目标、控制措施、过程和规程，并且支持其校验过程，以助于决定信 息安全管理体系过程或控制措施是否需要改变或改进。本标准将协助管理者识别 和评价不相容的、无效的信息安全管理体系过程和控制措施，优化、改进或改变 这些过程和控制的活动，并协助组织证明GB/T 22080-2008的符合性。因此，本 标准不产生直接的经济效益，通过本标准的有效实施，将提高相关人员对测量结 果的信任，并使其利用这些测量结果实现对信息安全和信息安全管理体系的持续 改进。四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的 对比情况，或与测试的国外样品、样机的有关数据对比情况本标准等同采用国际标准TSO/TEC 27004:2009c五、与相关法律法规及国家有关规定、国内相关标准的关系本标准与现有国家标准GB/T 22080:2008信息技术安全技术信息安全管 理体系要求、GB/T 22081:2008信息技术安全技术信息安全管理实用规则、 GB/T 25067:2010信息技术 安全技术 信息安全管理体系审核认证机构的要 求W IS0/IEC 27000:2009信息技术安全技术信息安全管理体系概述和词 汇都属于信息安全管理体系标准族标准。本标准提供了如何开发测度和测量以 及如何使用的指南，以评估按照GB/T 22080-2008规定的已实施的信息安全管理 体系和控制措施或控制措施集的有效性，包括方针、信息安全风险管理、控制目 标、控制措施、过程和规程，并且支持其校验过程，以助于决定信息安全管理体 系过程或控制措施是否需要改变或改进。本标准可以协助组织证明GB/T 22080-2008的符合性，并提供管理评审和信息安全风险管理过程的额外证据。 GB/T 22080:2008提供了建立信息安全管理体系的模型及每个过程的具体活动， 可供用户建立和实施满足自身业务需求和安全需要的信息安全管理体系。GB/T 22081:2008提供了一套通用的安全控制目标和最佳实践控制措施，可指导用户 选择和实施控制措施以实现信息安全。GB/T 25067:2010为依据GB/T 22080:2008 提供审核和ISMS认证的机构规定了要求并提供相关指导。ISO/IEC 27000:2009 信息技术安全技术信息安全管理体系概述和词汇提供了信息安全管理体 系标准族的概述，定义了信息安全管理体标准族所用的术语和定义。六、重大分歧意见的处理经过和依据详见意见汇总处理表。七、国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标准发布实施。八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等 内容）本标准主要用于支撑国家标准GB/T 22080:2008信息技术安全技术信息 安全管理体系要求和GB/T 22081:2008信息技术安全技术信息安全管理 实用规则的实施，提供如何测度和测量信息安全管理体系以及如何使用的指南, 验证已实施的信息安全管理体系和控制措施的有效性，推进信息安全管理体系过 程或控制措施的改进。因此，本标准贯彻实施时，应与上述两个标准结合在一起 进行。九、其他事项说明本标准与国家标准GB/TAAAAA-AAAA信息技术安全技术信息安全管理体 系概述和词汇（待发布）、GB/T BBBBB-BBBB信息技术安全技术信息安全管 理体系实施指南（待发布）和GB/T DDDDD-DDDD信息技术安全技术信息安 全风险管理（待发布）均属于信息安全管理体系标准族，标准内容相关性强， 且在标准文本中存在相互引用、相互参考的关系。因此，为了方便区分，本标准 中对其余几个标准的引用之处进行采用GB/T AAAAA-AAAA至GB/T DDDDD-DDDD 进行标识。而在其他标准中对本标准的引用可采用GB/T CCCCC-CCCC进行标识。 在这几个标准正式发布时，应使用其各自的国家标准编号来替换这些标识。标准编制组2013年1月