信息安全技术保护轮廓和安全目标的产生指南(GB-T 20283-2020).pdf

《信息安全技术保护轮廓和安全目标的产生指南(GB-T 20283-2020).pdf》由会员分享，可在线阅读，更多相关《信息安全技术保护轮廓和安全目标的产生指南(GB-T 20283-2020).pdf（43页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T 28450XXXX/ISO/IEC 27007:2017代替 GB/T 284502012信息技术安全技术信息安全管理体系审核指南Information technology Security techniques Guidelines forinformation security management systems auditing（ISO/IEC 27007:2017，IDT）在提交反馈意见时，请将您知道的相关专利与支持性文件一并附上。（报批稿）2019-10-14XXXX-XX-XX

2、发布XXXX-XX-XX 实施GB/T 28450XXXXI目次前言.II引言.III1 范围.12 规范性引用文件.13 术语和定义.14 审核原则.15 审核方案的管理.15.1 总则.15.2 确立审核方案的目标.15.3 建立审核方案.25.4 实施审核方案.35.5 监视审核方案.45.6 评审和改进审核方案.46 实施审核.46.1 总则.46.2 审核的启动.46.3 审核活动的准备.56.4 审核活动的实施.56.5 审核报告的编制和分发.66.6 审核的完成.76.7 审核后续活动的实施.77 审核员的能力和评价.77.1 总则.77.2 确定满足审核方案需求的审核人员能力.

3、77.3 审核员评价准则的建立.87.4 选择适当的审核员评价方法.87.5 进行审核员评价.87.6 保持并提高审核员能力.8附录A（资料性附录）ISMS 审核实践指南.9参考文献.37GB/T 28450XXXXII前言本标准按照GB/T 1.12009标准化工作导则 第1部分：标准的机构和编写给出的规则起草。本标准代替GB/T 284502012信息安全技术 信息安全管理体系审核指南。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准与GB/T 284502012的主要差异如下：重新组织了第5章、第6章和第7章的内容；重新组织了附录的内容，删除了原标准的五个附录

4、，增加了附录A：ISMS审核实践指南，与ISO/IEC 27007:2017附录A保持一致。本标准起草单位：北京时代新威信息技术有限公司、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、全国组织机构统一社会信用代码数据服务中心。本标准主要起草人：王新杰、王连强、张剑、上官晓丽、孙镇、赵捷、郑玮、陈剑博、郭乐宇、汪洋、曹宇、程瑜琦、王姣、孙泰、李晟飞。本标准所代替的历次版本发布情况为：GB/T 284502012。GB/T 28450XXXXIII引言本标准提供了下列指南：1）信息安全管理体系（ISMS）审核方案的管理；2）遵循GB/T 22080实施内部和外部审核；3）ISMS审核员

5、的能力和评价。本标准宜与GB/T 190112013中包含的指南一起使用。本标准遵循GB/T 190112013的结构，ISMS审核所需的ISMS特定指南，用字母“IS”进行标识。开展ISMS审核时，本标准新增的ISMS特定指南宜与GB/T 190112013配合使用，用字母“IS”进行标识”。GB/T 190112013提供了关于审核方案管理、管理体系内部或外部审核实施以及管理体系审核员能力和评价的指南。本标准未声明组织规模要求，可适用于所有用户，包括中小型组织。本标准中涉及的部分术语与定义，与其他标准相关内容的关系说明如下；1）国际标准中的“Procedure”，在GB/T 1901120

6、13翻译为“程序”，而在GB/T 220802016中翻译为“规程”，因本标准同时引用了这两个标准的原文，故本标准中出现该术语的地方均采用其原标准中的定义。2）国际标准中的“Implement”，在GB/T 190112013翻译为“实施”，而在GB/T 220802016中翻译为“实现”，因本标准同时引用了这两个标准的原文，故本标准中出现该术语的地方均采用其原标准中的定义。3）国际标准中的“Maintain”，在GB/T 190112013翻译为“保持”，而在GB/T 220802016中翻译为“维护”，因本标准同时引用了这两个标准的原文，故本标准中出现该术语的地方均采用其原标准中的定义。4

7、）国际标准中的“Documented information”，在GB/T 292462017翻译为“文档化信息”，而在GB/T 220802016中翻译为“文件化信息”，因本标准引用了GB/T 220802016的原文，故本标准中出现该术语的地方均采用GB/T 220802016中的定义。5）国际标准中的“Context”，在GB/T 292462017翻译为“语境”，而在GB/T 220802016中翻译为“环境”，因本标准引用了GB/T 220802016的原文，故本标准中出现该术语的地方均采用GB/T 220802016中的定义。6）国际标准中的“Continuity”，在GB/T 2

8、92462017翻译为“持续性”，而在GB/T 220802016中翻译为“连续性”，因本标准引用了GB/T 220802016的原文，故本标准中出现该术语的地方均采用GB/T 220802016中的定义。GB/T 28450XXXX1信息技术安全技术信息安全管理体系审核指南1范围本标准在GB/T 190112013的基础上，为信息安全管理体系（Information Security ManagementSystem，以下简称ISMS）审核方案管理和审核实施提供了指南，并对ISMS审核员能力提供了评价指南。本标准适用于需要理解或实施ISMS的内部或外部审核，或需要管理ISMS审核方案的所有组

9、织。2规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本标准。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 190112013 管理体系审核指南（ISO 19011:2011，IDT）GB/T 292462017 信息技术 安全技术 信息安全管理体系概述和词汇（ISO/IEC 27000:2016，IDT）GB/T 220802016 信息技术 安全技术 信息安全管理体系要求（ISO/IEC 27001:2013，IDT）3术语和定义GB/T 190112013和GB/T 292462017界定的术语和定义适用于本文

10、件。4审核原则GB/T 190112013的第4章中的原则适用。5审核方案的管理5.1总则GB/T 190112013的5.1中的指南适用。并且，以下ISMS特定的指南适用。5.1.1IS 5.1 总则需要实施审核的组织宜建立审核方案，并考虑规划ISMS时所确定的风险和机会。5.2确立审核方案的目标GB/T 190112013 的 5.2 中的指南适用。并且，以下 ISMS 特定的指南适用。5.2.1IS 5.2 确立审核方案的目标确立审核方案目标时，ISMS还宜考虑下列事项：a)确定的信息安全要求；b)GB/T 22080的要求；GB/T 28450XXXX2c)发生信息安全事态和事件时所反

11、映出的受审核方的绩效水平，以及ISMS的有效性；d)规划ISMS时所确定的风险和机会；e)相关方的信息安全风险，例如受审核方和审核委托方。ISMS特定审核方案的目标可包括：相关法律、合同要求、其他要求及其安全影响的符合性验证；获得并保持对受审核方在风险管理能力方面的信心；评价应对信息安全风险和机会的措施的有效性。5.3建立审核方案5.3.1审核方案管理人员的作用和职责GB/T 190112013的5.3.1中的指南适用。5.3.2审核方案管理人员的能力GB/T 190112013的5.3.2中的指南适用。5.3.3确定审核方案的范围和详略程度GB/T 190112013的5.3.3中的指南适用

12、。并且，以下ISMS特定的指南适用。5.3.3.1IS5.3.3 确定审核方案的范围和详略程度审核方案的范围和详略程度会有所不同，并受下列因素影响：a)ISMS规模，包括1)在组织控制下开展工作的人员总数，以及与ISMS有关的相关方和合同方；2)信息系统的数量；3)ISMS覆盖的场所数量；b)ISMS的复杂程度（包括过程和活动的数量和关键性），并考虑ISMS范围内场所间的差异；c)与业务有关的信息安全风险的重要性；d)规划ISMS时所确定的风险和机会的重要性；e)在ISMS范围内保持信息的保密性、完整性和可用性的重要性；f)待审核信息系统的复杂度，包括所部署信息技术的复杂度；g)相似办公场所的

13、数量。宜在审核方案中确定优先事项，以便根据信息安全风险的重要性和ISMS范围内的业务要求开展更详细的审核。5.3.4识别和评估审核方案风险GB/T 190112013的5.3.4中的指南适用。并且，以下ISMS特定的指南适用。5.3.4.1IS 5.3.4 识别和评估审核方案风险审核方案风险还可能涉及保密要求相关的风险。5.3.5建立审核方案的程序GB/T 190112013的 5.3.5中的指南适用。并且，以下ISMS特定的指南适用。5.3.5.1IS 5.3.5 建立审核方案的程序GB/T 28450XXXX3宜根据受审核方和其他相关方的要求确定信息安全和保密的保障措施。其他方要求包括相关

14、的法律和合同要求。5.3.6识别审核方案资源GB/T 190112013的 5.3.6中的指南适用。并且，以下ISMS特定的指南适用。5.3.6.1IS 5.3.6 识别审核方案资源ISMS审核员尤其宜分配足够的时间，针对适用于受审核方且与审核方案目标相关的所有重大风险，评审应对信息安全风险以及ISMS相关风险和机会所采取措施的有效性。5.4实施审核方案5.4.1总则GB/T 190112013 的5.4.1中的指南适用。5.4.2规定每次审核的目标、范围和准则GB/T 190112013的 5.4.2中的指南适用。并且，以下ISMS特定的指南适用。5.4.2.1IS 5.4.2 规定每次审核

15、的目标、范围和准则审核目标可包括以下内容：a)评价ISMS是否充分识别并解决信息安全要求；b)评价维护和有效改进ISMS的过程；c)确定信息安全控制对ISMS要求和规程的符合程度。审核范围宜考虑到信息安全风险，以及相关方（即审核委托方和受审核方）对ISMS带来的风险和机会。如果ISMS处于审核范围内，那么审核组宜根据内部和外部事项以及相关方的需求和期望，确认受审核方ISMS的范围和边界。审核组宜确认受审核方在ISMS范围内满足GB/T 220802016 4.3中规定的与审核范围有关的要求。下列文件可作为审核准则，并用作确认符合性的参考：a)受审核方采用的信息安全方针、信息安全目标、策略和规程

16、；b)法律和合同要求以及与受审核方相关的其他要求；c)受审核方的信息安全风险准则、信息安全风险评估过程以及风险处置过程；d)适用性声明，特定部门或其他必要控制的识别以及对包含必要的控制及其选择的合理性说明（无论该控制是否已实现），以及对GB/T 220802016附录A控制删减的合理性说明；e)可适当处置风险的控制的定义；f)监视、测量、分析和评价信息安全绩效及ISMS有效性的方法和准则；g)客户的信息安全要求；h)供应商或外包商应用的信息安全要求。5.4.3选择审核方法GB/T 190112013 的 5.4.3 中的指南适用。并且，以下 ISMS 特定的指南适用。5.4.3.1IS 5.4

17、.3 选择审核方法GB/T 28450XXXX4如果进行联合审核，则宜特别关注相关方之间的信息泄露问题。在开始审核之前，宜与所有相关方达成协议。5.4.4选择审核组成员GB/T 190112013 的5.4.4中的指南适用。并且，以下ISMS特定的指南适用。5.4.4.1IS 5.4.4 选择审核组成员整个审核组的能力宜包括充分具备和理解：a)信息安全风险管理知识，足以支撑其评价受审核方所使用的方法；b)信息安全及信息安全管理知识，足以支撑其评价控制的确定以及ISMS的规划、实现、维护和有效性。5.4.5为审核组长分配每次的审核职责GB/T 190112013 的5.4.5中的指南适用。5.4

18、.6管理审核方案结果GB/T 190112013的 5.4.6中的指南适用。5.4.7管理和保持审核方案记录GB/T 190112013 的5.4.7中的指南适用。5.5监视审核方案GB/T 190112013 的5.5中的指南适用。5.6评审和改进审核方案GB/T 190112013的5.6中的指南适用。6实施审核6.1总则GB/T 190112013的6.1中的指南适用。6.2审核的启动6.2.1总则GB/T 190112013 的6.2.1中的指南适用。6.2.2与受审核方建立初步联系GB/T 190112013的 6.2.2中的指南适用。并且，以下ISMS特定的指南适用。6.2.2.1

19、IS 6.2.2 与受审核方建立初步联系必要时，宜确保审核员获得使用文件化信息或审核活动所需其他信息（包括但不限于涉密或敏感信息）的必要安全许可。GB/T 28450XXXX56.2.3确定审核的可行性GB/T 190112013的 6.2.3中的指南适用。并且，以下ISMS特定的指南适用。6.2.3.1IS6.2.3 确定审核的可行性在审核开始之前，审核员宜询问受审核方是否存在无法提供审核组评审的ISMS审核证据，例如，因为证据中包含了个人身份信息或其他涉密/敏感信息。负责管理审核方案的人员宜确定在缺少这部分审核证据的情况下是否仍可对ISMS进行充分审核。如果得出的结论为缺少对这部分审核证据

20、的评审将导致无法充分审核ISMS，负责管理审核方案的人员宜告知受审核方，在获得适当的准入安排或向受审核方提出或实施审核的替代手段之前，审核将无法进行。如果审核继续进行，审核计划宜考虑到所有访问限制。6.3审核活动的准备6.3.1审核准备阶段的文件评审GB/T 190112013的 6.3.1中的指南适用。6.3.2编制审核计划GB/T 190112013的 6.3.2中的指南适用。并且，以下ISMS特定的指南适用。6.3.2.1IS6.3.2 编制审核计划审核组长宜意识到审核组成员在现场可能对受审核方造成的风险。审核组在现场可能会影响受审核方的信息安全，产生额外的风险源，例如针对涉密或敏感记录

21、或系统基础设施的意外删除、未授权信息泄露、无意的信息变更等。6.3.3审核组工作分配GB/T 190112013的6.3.3中的指南适用。6.3.4准备工作文件GB/T 190112013 的6.3.4中的指南适用。并且，以下ISMS特定的指南适用。6.3.4.1IS6.3.4 准备工作文件审核组长宜确保所有审核工作文件得以适当分类和处理。6.4审核活动的实施6.4.1总则GB/T 190112013的 6.4.1中的指南适用。6.4.2举行首次会议GB/T 190112013的6.4.2中的指南适用。6.4.3审核实施阶段的文件评审GB/T 190112013 的6.4.3中的指南适用。并且

22、，以下ISMS特定的指南适用。6.4.3.1IS 6.4.3 审核实施阶段的文件评审GB/T 28450XXXX6ISMS审核员宜验证审核准则所要求的且与审核范围相关的文件化信息是否存在，并符合审核准则要求。ISMS审核员宜确认审核范围内所确定的控制与风险评估和风险处置结果相关，并可追溯到信息安全方针和目标。注：附录A为ISMS审核实践提供指南，包括如何使用相关文件化信息审核ISMS。6.4.4审核中的沟通GB/T 190112013的 6.4.4中的指南适用。6.4.5向导和观察员的作用和责任GB/T 190112013的 6.4.5中的指南适用。6.4.6信息的收集和验证GB/T 1901

23、12013 的6.4.6中的指南适用。并且，以下ISMS特定的指南适用。6.4.6.1IS 6.4.6 信息的收集和验证在审核过程中收集相关信息的方法可包括：a)核查记录（包括计算机日志和配置数据）；b)访问信息处理设备；c)观察ISMS过程以及已实现的相关控制；d)使用自动审核工具。注1：附录A提供了关于如何审核ISMS过程的指南。注2：GB/Z 32916提供了如何评价信息安全控制的额外指南。ISMS审核组成员宜根据审核委托方、审核组和受审核方之间的协议，确保从受审核方获取的所有信息得到适当处理。6.4.7形成审核发现GB/T 190112013 的6.4.7中的指南适用。6.4.8准备审

24、核结论GB/T 190112013 的6.4.8中的指南适用。6.4.9举行末次会议GB/T 190112013的 6.4.9中的指南适用。6.5审核报告的编制和分发6.5.1审核报告的编制GB/T 190112013 的6.5.1中的指南适用。并且，以下ISMS特定的指南适用。6.5.1.1IS 6.5.1 审核报告的编制如果审核组在审核过程中由于信息级别或敏感原因无法获得审核证据，则审核组长宜判断其影响审核发现和结论可信度的程度，并在审核报告中予以反映，不能因证据敏感性导致其不可用而进行妥协。GB/T 28450XXXX76.5.2审核报告的分发GB/T 190112013 的6.5.2中

25、的指南适用。并且，以下ISMS特定的指南适用。6.5.2.1审核报告的分发在分发审核报告时，宜采取适当措施确保报告的保密性。注：当使用电子方式进行分发时，可适当加密审核报告。6.6审核的完成GB/T 190112013的 6.6中的指南适用。6.7审核后续活动的实施GB/T 190112013 的6.7中的指南适用。7审核员的能力和评价7.1总则GB/T 190112013 的7.1中的指南适用。7.2确定满足审核方案需求的审核人员能力7.2.1总则7.2.1.1总则GB/T 190112013 的7.2.1中的指南适用。并且，以下ISMS特定的指南适用。7.2.1.2IS 7.2.1 总则在

26、确定ISMS审核员的适当知识和技能时，宜考虑以下内容：a)ISMS的复杂度（例如ISMS内信息系统的重要性，ISMS的风险评估结果）；b)在ISMS范围内开展的业务类型；c)实现ISMS各组成部分（例如实现的控制、文件化信息和/或过程控制、涉及的技术平台和解决方案等）所使用技术的范围和多样性；d)之前已证实的ISMS的绩效；e)ISMS范围内所用的外部方以及外包程度；f)与审核方案相关的标准、法律要求和其他要求。7.2.2个人行为GB/T 190112013的 7.2.2中的指南适用。7.2.3知识和技能7.2.3.1总则GB/T 190112013 的7.2.3.1中的指南适用。7.2.3.

27、2管理体系审核员的通用知识和技能GB/T 28450XXXX8GB/T 190112013 的7.2.3.2中的指南适用。7.2.3.3管理体系审核员的特定领域与专业的知识和技能GB/T 190112013的 7.2.3.3中的指南适用，并且GB/T 190112013中A.7的指南也适用。7.2.3.4审核组长的通用知识和技能GB/T 190112013 的7.2.3.4中的指南适用。7.2.3.5多领域管理体系审核的知识和技能GB/T 190112013 的7.2.3.5中的指南适用。7.2.4审核员能力的获得7.2.4.1总则GB/T 190112013 的7.2.4中的指南适用。并且，

28、以下ISMS特定的指南适用。7.2.4.2IS 7.2.4 审核员能力的获得ISMS审核员宜具备信息技术和信息安全方面的知识和技能，如通过相关认证（例如基于GB/T 27024认可的认证）。ISMS审核员也宜理解相关业务需求。ISMS审核员的个人工作经验宜对他们在ISMS领域的知识和技能有所帮助。注：有关ISMS审核员认证的更多信息可以在GB/T 25067中找到。7.2.5审核组长GB/T 190112013的 7.2.5中的指南适用。7.3审核员评价准则的建立GB/T 190112013 的7.3中的指南适用。7.4选择适当的审核员评价方法GB/T 190112013 的7.4中的指南适用

29、。7.5进行审核员评价GB/T 190112013的 7.5中的指南适用。7.6保持并提高审核员能力GB/T 190112013 的7.6中的指南适用。GB/T 28450XXXX9AA附录A（资料性附录）ISMS 审核实践指南A.1概述本附录对声称符合GB/T 22080的组织提供审核ISMS的通用指南。由于本指南旨在适用于所有ISMS审核，所以无论涉及的组织是何规模或性质，本指南均适用。本指南旨在供开展ISMS内部或外部审核的审核员使用。注：GB/T 31496根据GB/T 22080给出了实施和操作ISMS的指南。A.2总则A.2.1审核目标、范围、准则和审核证据在审核活动期间，宜通过适

30、当的抽样方式获得并验证与审核目标、范围和准则有关的信息，包括职责，活动和过程之间的接口相关信息。只有能够证实的信息才可作为审核证据。宜记录导致审核发现的审核证据。获取信息的方法包括以下内容：访谈；观察；文件评审，包括记录。A.2.2ISMS审核策略GB/T 22080遵循ISO/IEC导则第1部分附录JC和融合的JTC1补充部分中的顶层结构、相同的章节标题、核心文本、通用术语与核心定义JTC1特定规程。GB/T 22080定义了一组相互依赖的要求，这些要求作为一个整体发挥作用（通常被称为“体系方法”），并通过交叉引用予以部署。在审核时最好同时处理实践中密切相关的GB/T 22080条款。相关示

31、例请参见表A.2。例如6.1.3和8.3以及6.2，5.1、5.2，5.3、7.1、7.4、7.5、9.1、9.3和10.2，同时审核这些条款及其关联或相关条款才有意义。GB/T 220802016 7.5提出了有关文件化信息的要求。如表A.2中A.4.5所述，每次审核员检查一份文件化信息时，都是确认其是否符合GB/T 220802016 7.5要求的机会。有关如何执行上述内容的指南在表A.2的A.4.5中。表中每次出现“文件化信息”时，将不再重复对文件化信息的要求。A.2.3审核和文件化信息审核活动涉及文件化信息，即：a)在GB/T 22080中文件化信息的要求条款可用作审核准则；b)以下文

32、件化信息可作为审核证据：1)GB/T 220802016 7.5.1 b）中要求的文件化信息；2)由组织确定的，GB/T 220802016 7.5.1 c）中要求的ISMS有效运行所必需的文件化信息。GB/T 28450XXXX10除A.2.3 b）中所列的审核证据，审核员将通过访谈、观察和文件评审（包括记录）获得其他审核证据。有关GB/T 22080的文件化信息的详细讨论可在A.3中找到。A.3GB/T 22080 文件化信息要求指南A.3.1基本原理审核员提出要求将文件化信息作为符合性证据时宜注意：a)表A.1中所列的对文件化信息的16项明确要求，包括适用性声明；b)其他要求：1)可从上

33、述文件化信息中找出符合性证据；2)文件化信息未体现显性或隐性要求。表 A.1GB/T 22080 中对文件化信息的要求有关的文件有关的文件化化信息要求信息要求参考参考 GB/TGB/T 2208022080ISMS 的范围4.3信息安全策略5.2信息安全风险评估过程6.1.2信息安全风险处置过程6.1.3适用性声明6.1.3 d）信息安全目标6.2能力的证据7.2 d）由组织确定的有效实施 ISMS 所必须的文件化信息7.5.1 b）运行规划和控制8.1信息安全风险评估的结果8.2信息安全风险处置的结果8.3监视和测量结果的证据9.1审核方案和审核结果的证据9.2 g）管理评审结果的证据9.3

34、表明不符合的性质以及后续措施的证据10.1 f）任何纠正措施结果的证据10.1 g）注：审核的定义表明它是一个文件化的过程，因此审核员可以认为 GB/T 220802016 9.2 要求的结果是一个文件化的审核过程。A.3.2对文件化信息有隐性要求的示例作为A.3.1 b）1）的一个示例，在GB/T 220802016 6.1.2中要求组织“保留有关信息安全风险评估过程的文件化信息”。在这条之前的要求GB/T 220802016 6.1.2 a）至e）均涉及风险评估过程。因此，符合上述要求的证据存在于所要求的风险评估过程相关文件化信息中。A.3.3文件化信息未体现显性或隐性要求的示例作为A.3

35、.1 b）2）的一个示例，考虑GB/T 220802016 4.1.1的要求。对外部和内部事项相关的信息未要求文件化。因此，审核员不宜要求看到相关文件化信息。然而，如果组织不能解释其已对这些问GB/T 28450XXXX11题进行决策，将构成对GB/T 220802016 4.1.1条款的不符合。但是，组织有责任确定证明其符合要求的方式。证明方式包括最高管理者的解释（即有人知悉）；在会议中讨论过该主题；在正式配置管理下的文件化信息中得到证明；也可以通过其他方式证明。实际上，证据很可能会分散在ISMS的文件化信息中。例如，GB/T 220802016 4.1.1的目的是帮助组织理解其ISMS环境

36、。该环境贯穿于整个ISMS，尤其是在确定范围、方针以及执行风险评估和风险处置过程时。如果组织符合GB/T 220802016 4.1的要求，其外部和内部事项的知识可能会应用于ISMS的其他领域，这些应用将保持一致，并可能会有这些领域文件化信息的符合证据。A.4适用性声明适用性声明（SOA）是另一个需要注意的领域。SOA宜包含所有必要的控制，即组织已有的控制、作为风险处置过程GB/T 220802016 6.1.3 c）结果的控制（为满足风险接受准则而对信息安全风险进行修改所需的控制）。所有必要的控制均为组织自身的要求。必要的控制可以是GB/T 220802016附录A中的控制（非强制要求），也

37、可以来自其他标准（例如ISO/IEC 27017）或其他来源，或者由组织进行专门设计。在某些情况下，组织所使用的控制对附录A中的控制进行了变更，删减了原附录A中的控制，删减的理由是它已被组织变更后的控制所代替。其实这种变更可以并入附录A的控制中，不作为删减。审核员宜基于组织各类必要的控制规范来判定符合性，而无需依据附录A给出的规范。如果组织的规范要求一个文件化规程，这会形成组织对GB/T 220802016.7.5.1b）的部分符合。如果未要求有文件化规程，那么审核员不宜要求见到该规程。但是，审核员宜关注GB/T 220802016.8.1）中的要求，组织宜“在必要的范围内保存文件化信息，以确

38、保过程按计划进行”。鉴于8.1引用了6.1的内容，组织的风险处置计划及其必要的控制，都在文件化信息要求的范围内。在审核控制的选择时，最好针对风险处置计划进行审核如GB/T 220802016.6.1.3 e）中所述，而不只是审核适用性声明中所列出的个别必要控制。风险处置计划可能详细说明了必要控制之间的相互作用，而仅使用适用性声明则可能忽略这个因素。A.5其他文件化信息GB/T 22080的关注焦点是结果。在文件化信息的16个明确要求中（见表A.1），只有三个涉及的规范（信息安全风险评估过程，信息安全风险处置过程和审核方案）。但是，这并不妨碍组织拥有文件化的规程。此类支持文件属于GB/T 220

39、802016，7.5.1 b）的范围（组织确定的文件化信息对其ISMS的有效性是必要的）。因此，这类文件作为组织的要求，宜包含在审核范围内。A.6注释所需信息可以是网页的一部分，也可以作为数据库查询的结果呈现给阅读人员。此外，除了适用性声明以外，GB/T 22080未给出文件名称。因此，有关信息安全策略的文件化信息可能不在名为“信息安全策略”的文件或网页中。组织有权为信息安全策略定义其它名称。在确保ISMS符合（GB/T 2208020165.3a）要求方面具备责任和权限的人员是相同的，都宜知悉GB/T 22080中强制要求的文件化信息与他们的文件化信息之间的关系。GB/T 28450XXXX

40、12A.7ISMS审核指南表A.2列出了以下信息：第一行：相应的GB/T 22080条款的编号和名称；第二行：相关条款（有关如何使用此行的信息，请参阅A.2.2）；第三行：GB/T 22080相应的条款在GB/T 29246中的相关定义；第四行：“审核证据”，可能来源于GB/T 22080的相应条款；第五行：“审核实践指南”，即审核的指南（参见A.3）；第六行：“支持性文件”，针对相应的GB/T 22080条款参考对审核有帮助的其他文件。表 A.2GB/T 22080 的审核指南A.1A.1 组织组织环境环境（4 4）A.1.1A.1.1 理解理解组织及其组织及其环境环境（4.14.1）GB/

41、T 22080 中相关条款6.1，9.3GB/T 29246 中相关定义外部环境，信息安全，内部环境，管理体系，组织审核证据审核证据可以通过以下方面的文件化信息或其他信息获得：a）可能对 ISMS 产生积极或消极影响的重要事项；b）组织；c）组织的目的；d）ISMS 的预期结果。重要事项的可能来源包括：a）与气候，污染，资源可用性和生物多样性有关的环境特性或情况，以及这些情况可能对组织实现其目标的能力产生的影响；b）来自于国际、国内、地区、当地的各种外部文化的、社会的、政治的、法律的、监管的、金融的、技术的、经济的、自然的和竞争的环境；c）组织的特征或条件，例如组织管理，信息流和决策过程；组织

42、的政策、目标和实现它们的战略；组织的文化；组织采用的标准，准则和模型；组织产品和服务的生命周期；信息系统，过程，科学和技术的潜在信息安全管理；d）审核和风险评估的趋势。审核实践指南审核员宜确认该组织：a）有对可能积极或消极影响 ISMS 的重要事项有一个高层次（如战略的）的理解；b）了解与其目的相关的外部和内部事项，以及影响其实现 ISMS 预期结果能力的事项。注 1：4.3 中的要求是“考虑 4.1 中提到的外部和内部事项”。组织可以考虑在输出中未出现的内容。审核员还宜确认通过应用风险管理过程使风险得到充分管理，来保护信息的保密性，完整性和可用性的预期结果。审核员还宜验证：组织重要主题、辩论

43、和讨论的问题以及变化的环境等相关事项的知识，是否被确认已用于指导组织规划、实现和运行管理体系。支持性文件ISO/IEC 导则第 1 部分2017 年融合的 JTC1 补充部分，附录 JC，JC.9ISO 31000:2009，5.3；ISO/IEC 27003:2017，4.1GB/T 28450XXXX13表 A.2（续）A.1.2A.1.2 理解理解相关方的需求和期望（相关方的需求和期望（4.24.2）GB/T 22080 中相关条款4.1，4.3GB/T 29246 中相关定义相关方审核证据审核证据可以通过下列文件化信息或其他信息获得：a）相关方；b）适用于 ISMS 和 GB/T 22

44、080 的相关方的需求和期望。注 2：潜在的相关方可能包括：a）法律和监管机构（当地、地区、自治区/省、国家或国际）；b）上级组织；c）客户；d）贸易和专业协会；e）社区团体；f）非政府组织；g）供应商；h）邻居；i）组织成员和代表组织工作的其他人；j）信息安全专家。注 3：相关方要求可能包括：a）法律；b）许可、执照或其他形式的授权；c）监管机构发布的决议；d）法院或行政法庭的判决；e）条约、公约和议定书；f）相关行业规范和标准；g）已签订的合同；h）与社区团体或非政府组织达成的协议；i）与公共机构和客户的协议；j）组织要求；k）自愿性原则或行为守则；l）自愿性标识或环境承诺；m）根据与该组

45、织的合同安排产生的义务；n）信息和通信交换。注 4：相关方可以有不同的利益，这些利益可以完全一致、部分一致或与组织的经营目标相对立。与组织的经营目标相对立的相关方示例为黑客。黑客要求组织形成弱安全性。组织宜重视这类完全对立的相关方需求，即加强安全性。审核员宜意识到 ISMS 考虑了所有内部和外部风险源。因此，组织对相对立的相关方及其需求的理解具有高度相关性。GB/T 28450XXXX14表 A.2（续）审核实践指南审核员宜确认组织对适用于 ISMS 和 GB/T 22080 的相关方的需求和期望有一个高层次（如战略性）的理解。审核员宜核实该组织是否已识别出相关方的需求，包括自愿采纳或签订的协

46、议、合同，或因纳入法律、法规、许可、政府授权或法庭诉讼中所导致打强制性需求和期望。值得注意的是，并非所有相关方要求都是组织的要求，有些要求不适用于组织或与 ISMS 不相关。一些相关方的需求（例如黑客的需求）与 ISMS 的目的相反，组织宜通过适当的信息安全控制来确保这些需求和期望不会被满足。审核员还可以确认是否有相关方意识到他们会受到 ISMS 的影响，如果是的话，他们需让组织知道这些情况。审核员还可以验证组织是否使用所获得的知识来指导其规划、实现和运行 ISMS 的工作。支持性文件ISO/IEC 导则第 1 部分2017 年融合的 JTC1 补充部分，附录 JC，JC.9ISO 31000

47、:2009，5.3ISO/IEC 27003:2017，4.2A A.1 1.3 3 确定确定ISMSISMS范围范围（4 4.3 3）GB/T 22080 中相关条款4.1，4.2GB/T 29246 中相关定义外包审核证据审核证据可以通过以下文件化信息或其他信息获得组织管理体系的范围（4.3 中定义）；适用时，组织的认证范围；适用性声明。注 5：组织认证的范围不一定与其 ISMS 的范围相同。通常情况下，认证范围仅限于 ISMS 组织架构。审核实践指南审核员宜确认组织根据自己的意愿确定应用ISMS的物理、信息、法律和组织边界，并选择在整个组织内还是在组织内的特定部门或职能部门实现GB/T

48、22080。审核员宜核实组织对其环境（4.1）、相关方（4.2）的要求以及组织执行的活动和其他组织执行的活动之间的接口和依赖性（4.3 C）的理解，并在确定ISMS的范围时予以充分考虑。审核员宜进一步确认组织的信息安全风险评估和风险处置恰当地反映了其活动，并延伸到ISMS范围内定义的活动边界，再延伸到适用的审核范围。审核员宜核实每一个审核范围内至少有一个适用性声明，并且在适用性声明中包含了风险管理过程中确定的所有控制。这些控制是指GB/T 22080 6.1.3 b）所述的必要控制，不必是GB/T 220802016附录A中所述的控制。这些控制可以包括适用于特定行业的控制，以及组织自行设计或从

49、其他来源识别的控制。审核员还宜确认不完全在ISMS范围内的服务或活动的接口在ISMS中得到解决，并包含在组织的信息安全风险评估中。例如与其他组织共享设施（例如IT系统、数据库、远程通信系统或业务功能的外包）。宜确认已建立范围文件，并根据文件化信息（7.5）的要求进行控制。支持性文件ISO/IEC导则第1部分2017年融合的JTC1补充部分，附录JC，JC.9ISO 31000:2009，5.3ISO/IEC 27003:2017，4.3GB/T 250672019，8.2，9.1.3.5 IS 9.1.3 认证范围GB/T 27021.12017，8.2.2GB/T 28450XXXX15表A

50、.2（续）A A.1.1.4 4 信息安全管理信息安全管理体系体系（4.4.4 4）GB/T 22080 中相关条款6.1.1，6.1.2，6.1.3，8.1，8.2，8.3GB/T 29246 中相关定义持续改进，信息安全，管理体系审核证据审核证据可以通过GB/T 22080要求建立的文件化信息或其他过程信息获得，包括：a）管理体系的过程（GB/T 220802016，4.4）；b）业务规划和控制过程，包括外包过程（8.1）；c）规划ISMS时应对风险和机会的过程，包括信息安全风险评估过程（6.1.2和/或8.1.2）和信息安全风险处置过程（6.1.3和/或8.1.3）；d）实现信息安全目标