GB/T 31496-2023信息技術(shù) 安全技術(shù) 信息安全管理體系指南


一、標(biāo)準(zhǔn)概述

標(biāo)準(zhǔn)號：GB/T 31496-2023
中文名稱：信息技術(shù) 安全技術(shù) 信息安全管理體系 指南
英文名稱：Information technology—Security techniques—Information security management systems—Guidance
標(biāo)準(zhǔn)狀態(tài)：現(xiàn)行
發(fā)布日期：2023-05-23
實(shí)施日期：2023-12-01
主管部門：國家標(biāo)準(zhǔn)化管理委員會
發(fā)布單位：國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會

文件下載：
方式一：關(guān)注公眾號【信安客】，首頁對話框回復(fù)關(guān)鍵詞：20231206
方拾二：微信添加anjie067, 備注GB/T 31496-2023



二、標(biāo)準(zhǔn)概覽

01 前言

本文件代替GB/T 31496-2015《信息技術(shù) 安全技術(shù) 信息安全管理體系實(shí)施 指南》，與GB/T 31496-2015相比，除結(jié)構(gòu)調(diào)整和編輯性改動外,主要技術(shù)變化如下:

-更改了范圍，按照GB/T 22080--2016的要求進(jìn)行解釋并提供指南;

-上一版采用了項目的方法，每個項目包含一系列活動。在修訂版中不再采用項目的方法，而是提供了針對每個要求的指南,不需要考慮這些要求的實(shí)現(xiàn)順序。

本文件等同采用ISO/IEC27003:2017《信息技術(shù) 安全技術(shù) 信息安全管理體系 指南》。

本文件是通用的，旨在適用于所有組織,無論其類型、規(guī)?；蛐再|(zhì)。組織宜根據(jù)其特定的組織環(huán)境識別本文件對其適用的部分(見GB/T 22080-2016中第4章)。


02 ISMS關(guān)鍵組成要素

1)方針。

2)有明確責(zé)任的人員。

3)相關(guān)的管理過程:

    方針建立;

    意識和能力的提供;

    規(guī)劃;

    實(shí)現(xiàn);

    運(yùn)行;

    績效評估;

    管理評審;

    改進(jìn)。

4）文件化信息；

5）信息安全風(fēng)險評估;

6）信息安全風(fēng)險處置,包括控制的確定和實(shí)現(xiàn)。


03 ISMS 強(qiáng)調(diào)了以下幾個階段的重要性

一理解組織的需求及建立信息安全方針和信息安全目標(biāo)的必要性;

一評估組織與信息安全相關(guān)的風(fēng)險;

一實(shí)施和運(yùn)行信息安全過程、控制和其他風(fēng)險處理措施;

一監(jiān)視和評審ISMS的績效和有效性;

一進(jìn)行持續(xù)改進(jìn)。



本文由中科至善（uvsec.com）整理編輯發(fā)布，文件下載：關(guān)注公眾號【信安客】，首頁對話框回復(fù)關(guān)鍵詞：20231206。