ICS 35.040 L 80 GB 中华人民 止 -夕．、和国国家标准 GB/T 31496一2015/1S0/IEC 27003: 2010 信息技术 安全技术 信息安全管理体系实施指南 Information technology 一Security techniques— Information securitymanagement system implementation guidance (ISO/IEC 27003: 2010, IDT) 2015-05-15 发布 2016-01-01 实施 八二网 rg中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布中华人民共和国 国家标准 信息技术安全技术 信息安全管理体系实施指南 GB/T 31496—2015/ISO/IEC 27003,2010 * 中国标准出版社出版发行 北京市朝阳区和平里西街甲 2号(100029) 北京市西城区三里河北街 16号(100045) 网址www.spc.net.cn 总编室：（ 010)68533533 发行中心：（ 010)51780238 读者服务部：（ 010)68523946 中国标准出版社秦皇岛印刷厂印刷 各地新华书店经销 * 开本 880X 1230 1/16 印张 3.5字数 100千字 2015年6月第一版 2015年6月第一次印刷 * 书号： 155066• 1-51118 定价 48.00元 如有印装差错 由本社发行中心调换 版权专有侵权必究 举报电话：（ 010)68510107GB/T 31496一2015/1S0/IEC 27003:2010 目次 、．， 即舌........................................................................................................................皿 弓I言．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． W 1 范围．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． l 2 规范性弓 l用文件．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．…...…......................................................... 1 3 术语和定义..........................................…..............................….............................. 1 4 本标准的结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．…..............................….............................. 1 4.1 章条的总结构..................................................................….............................. 1 4.2 每章的一般结构........................................................................…..................... 2 4.3 图表．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 3 5 获得管理者对启动 ISMS项目的批准……………………………………………………………...… 4 5.1 获得管理者对启动 ISMS项目的批准的概要…………………………………………………… 4 5.2 阐明组织开发 ISMS的优先级……………………………………………………...…………… 5 5.35.3尸:::;~的 MISS范M：三二二二：二：二：二：二二二二：二：二：二：二二： : 5.3.2 定义初步的 ISMS范围内的角色和责任……………………………………………………… 8 5.4 为了管理者的批准而创建业务案例和项目计划………………………………………………… 8 6 定义ISMS范围边界和 ISMS方针策略…………………………………………………………… 10 6.1 定义ISMS范围、边界和 ISMS方针策略的概述 ……………………………………………… 10 6.2 定义组织的范围和边界……………………...…………………………………………………… 11 6.3 定义信息通信技术 (ICT)的范围和边界………………………………………………………… 12 6.4 定义物理范围和边界………………………………………………...…...……………………… 13 6.5 集成每一个范围和边界以获得 ISMS的范围和边界…………………………………………… 14 6.6 制定ISMS方针策略和获得管理者的批准……………………………………………………… 14 7 进行信息安全要求分析………………………………………………………………………………… 15 7.1 进行信息安全要求分析的概述……………...……………………...…………………………… 15 7.2 定义ISMS过程的信息安全要求…………………………………...……………...…………… 17 7.3 标识ISMS范围内的资产…………………………………………………………...…………… 17 7.4 进行信息安全评估．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 18 8 进行风险评估和规划风险处置…………………………...…………………………………………… 19 8.1 进行风险评估和规划风险处置的概述…………………………………………………………… 19 8.2 进行风险评估．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 21 8.3 选择控制目标和控制措施…………………………...…………………......…...……………… 21 8.4 获得管理者对实施和运行 ISMS的授权………………………………………………………… 22 9 设计 ISMS············································································································ 23 9.1 设计 ISMS 的概述．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 23 9.2 设计组织的信息安全…………………………………...…………………...…………………… 25 I GB/T 31496—2015/1S0/IEC 27003: 2010 9.2.1 设计信息安全的最终组织结构……………………………………………………………… 25 9.2.2 设计ISMS的文件框架……………………………………………………………………… 26 9.2.3 设计信息安全方针策略……………………………………………………………………… 27 9.2.4 制定信息安全标准和规程…………………………………………………………………… 28 9.3 设计ICT安全和物理信息安全 ………………………………………………………………… 29 9.4 设计ISMS特定的信息安全……………………………………………………………………… 31 9.4.1 管理评审的计划...........................................................................…............ 31 9.4.2 设计信息安全意识、培训和教育方案 ……………………………………………………… 32 9.5 产生最终的 ISMS项目计划……………………………………………………………………… 33 附录A（资料性附录） 检查表的描述…………………………………………………………………… 34 附录B（资料性附录） 信息安全的角色和责任………………………………………………………… 37 附录C（资料性附录） 有关内部审核的信息……………………………………………………...…… 40 附录D（