1GB/T28450—XXXX/ISO/IEC27007:2020網(wǎng)絡安全技術信息安全管理體系審核指南本文件在GB/T19011—2021的基礎上，對信息安全管理體系（ISMS）審核方案管理，審核實施，以及ISMS審核員能力等方面提供了指南。本文件適用于需要理解或實施ISMS的內部或外部審核，或需要管理ISMS審核方案的所有組織。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T19011—2021管理體系審核指南（ISO19011:2018，IDT）GB/T29246—2023信息技術安全技術信息安全管理體系概述和詞匯（ISO/IEC27000:2018，3術語和定義GB/T19011—2021和GB/T29246—2023界定的術語和定義適用于本文件。4審核原則GB/T19011—2021的第4章中的原則適用。5審核方案的管理5.1總則GB/T19011—2021的5.1中的指南適用。5.2確立審核方案的目標5.2.1GB/T19011—2021的5.2中的指南適用。5.2.2確立ISMS審核方案目標時，應考慮以下內容：a)識別的信息安全要求；b)GB/T22080—XXXX的要求；c)發(fā)生信息安全事態(tài)和事件時所反映出的受審核方的績效水平，以及ISMS的有效性；注：關于績效監(jiān)視、測量、分析和評價的更多信息，可查看GB/T31497-2024。d)相關方的信息安全風險，即受審核方和審核委托方。ISMS特定審核方案的目標示例包括：GB/T28450—XXXX/ISO/IEC27007:20202——相關法律、合同要求、其他要求及其安全影響的符合性驗證；——獲得并保持對受審核方在風險管理能力的信心；——評價信息安全風險和機會應對措施的有效性。5.3確定和評價審核方案風險和機遇5.3.1GB/T19011—2021的5.3中的指南適用。5.3.2考慮到受審核方和其他相關方的要求，宜確定確保信息安全性和保密性的措施。其他方的要求可能包括相關的法律和合同要求。5.4建立審核方案5.4.1審核方案管理人員的作用和職責GB/T19011—2021的5.4.1中的指南適用。5.4.2審核方案管理人員的能力GB/T19011—2021的5.4.2中的指南適用。5.4.3確立審核方案的范圍GB/T19011—2021的5.4.3中的指南適用。審核方案的范圍可能包括：a)ISMS規(guī)模，包括：1)在組織控制下開展工作的人員總數(shù)，以及與ISMS有關的相關方和合同方的關系；2)信息系統(tǒng)的數(shù)量；3)ISMS覆蓋的場所數(shù)量。b)ISMS的復雜程度（包括過程和活動的數(shù)量和關鍵性），并考慮ISMS范圍內場所間的差異；c)與業(yè)務有關的信息安全風險的大??；d)規(guī)劃ISMS時所確定的風險和機會的重要性；e)在ISMS范圍內保持信息的保密性、完整性和可用性的重要性；f)待審核信息系統(tǒng)的復雜度，包括所用信息技術的復雜度；g)相似場所的數(shù)量。在審核方案中，宜考慮根據(jù)信息安全風險的大小和與ISMS范圍相關的業(yè)務要求，設定優(yōu)先次序，以進行更詳細的審查。注：關于確定審核時間的更多信息可在GB/T25067中找到。有關多場所抽樣的更多信息，可參見ISO/IEC27006和國際認可論壇強制性文件1（IAFMD1，參見參考文獻[11]）。GB/T25067和IAFMD1中的信息僅適用于認證審5.4.4確定審核方案資源GB/T19011—2021的5.4.4中的指南適用。對于所有可影響受審核方以及與審核方案目標相關的重大風險，ISMS審核員宜被分配足夠的時間來評審應對信息安全風險以及與ISMS相關風險和機會的行動的有效性。5.5實施審核方案GB/T28450—XXXX/ISO/IEC27007:202035.5.1總則GB/T19011—2021的5.5.1中的指南適用。5.5.2規(guī)定每次審核的目標、范圍和準則GB/T19011—2021的5.5.2中的指南適用。審核目標可包括以下內容：a)評價ISMS是否充分識別并應對信息安全要求；b)確定信息安全控制對ISMS要求和規(guī)程的符合程度。審核范圍宜考慮到信息安全風險，以及相關方（即審核委托方和受審核方）對ISMS帶來的風險和機會。下列文件可作為審核準則，并用作確認符合性的參考：a)受審核方采用的信息安全方針、信息安全目標、策略和規(guī)程；b)法律和合同要求以及與受審核方相關的其他要求；c)受審核方的信息安全風險準則、信息安全風險評估過程以及風險處置過程；d)適用性聲明，特定行業(yè)控制或其他必要控制的識別以及對包含必要的控制（無論該控制是否已實現(xiàn)）及其選擇的合理性說明，以及對GB/T22080—XXXX附錄A控制刪減的合理性說明；e)可適當處置風險的控制的定義；f)監(jiān)視、測量、分析和評價信息安全績效及ISMS有效性的方法和準則；g)客戶的信息安全要求；h)由供應商或外包商實施的信息安全要求。5.5.3選擇和確定審核方法GB/T19011—2021的5.5.3中的指南適用。如果進行聯(lián)合審核，則宜特別關注相關方之間的信息泄露問題。在審核開始之前，宜與所有相關方達成一致。5.5.4選擇審核組成員GB/T19011—2021的5.5.4中的指南適用。審核組整體宜具備對以下內容的充分知識和理解的能力：a)信息安全風險管理知識，足以支撐其評價受審核方所使用的方法；b)信息安全及信息安全管理知識，足以支撐其評價ISMS控制確定、規(guī)劃、實現(xiàn)、維護和有效性。5.5.5為審核組長分配每次的審核職責GB/T19011—2021的5.5.5中的指南適用。5.5.6管理審核方案結果GB/T19011—2021的5.5.6中的指南適用。5.5.7管理和保持審核方案記錄GB/T19011—2021的5.5.7中的指南適用。GB/T28450—XXXX/ISO/IEC27007:202045.6監(jiān)視審核方案GB/T19011—2021的5.6中的指南適用。5.7評審和改進審核方案GB/T19011—2021的5.7中的指南適用。6審核的實施6.1總則GB/T19011—2021的6.1中的指南適用。6.2審核的啟動6.2.1總則GB/T19011—2021的6.2.1中的指南適用。6.2.2與受審核方建立聯(lián)系GB/T19011—2021的6.2.2中的指南適用。必要時，宜確保審核員已獲得必要的安全許可，以便訪問審核活動所需的文件化信息或其他信息（包括但不限于保密或敏感信息）。6.2.3確定審核的可行性GB/T19011—2021的6.2.3中的指南適用。在審核開始前，審核組宜詢問受審核方是否存在無法提供ISMS審核證據(jù)的情況，例如:因為證據(jù)中包含了個人身份信息或其他保密或敏感信息。負責管理審核方案的人員宜確定在缺乏這部分審核證據(jù)的情況下是否仍可以對ISMS進行充分的審核，如果得出的結論為缺少對這部分審核證據(jù)的評審將導致無法充分審核ISMS，則負責管理審核方案的人員宜告知受審核方。在獲得適當?shù)脑L問安排或向受審核方（或由受審核方）提出實現(xiàn)審核的替代方法之前，審核將無法進行。如果審核繼續(xù)進行，則審核計劃宜考慮到所有訪問限制。6.3審核活動的準備6.3.1文件化信息評審GB/T19011—2021的6.3.1中的指南適用。6.3.2審核的策劃GB/T19011—2021的6.3.2中的指南適用。審核組長宜認識到審核組成員在現(xiàn)場可能對受審核方造成的風險。審核組在現(xiàn)場可能會影響受審核方的信息安全，產生額外的風險源，例如對涉密、敏感記錄或系統(tǒng)基礎設施的意外刪除、未授權信息泄露、無意的信息更改等。6.3.3審核組工作分配GB/T28450—XXXX/ISO/IEC27007:20205GB/T19011—2021的6.3.3中的指南適用。6.3.4準備審核所需的文件信息GB/T19011—2021的6.3.4中的指南適用。審核組長宜確保所有審核工作文件得以適當分類，并按照分類處理。6.4審核活動的實施6.4.1總則GB/T19011—2021的6.4.1中的指南適用。6.4.2為向導和觀察員分配角色和職責GB/T19011—2021的6.4.2中的指南適用。6.4.3舉行首次會議GB/T19011—2021的6.4.3中的指南適用。6.4.4審核中的溝通GB/T19011—2021的6.4.4中的指南適用。6.4.5審核信息的可獲取性和訪問GB/T19011—2021的6.4.5中的指南適用。如果在審核過程中，由于分級或敏感性的原因，審核組無法獲得任何審核證據(jù)，審核組長宜確定這在多大程度上影響了對審核發(fā)==現(xiàn)和結論的信心，并在審核報告中反映這一點，同時不損害無法獲得的證據(jù)的敏感性。6.4.6實施審核時的文件信息評審GB/T19011—2021的6.4.6中的指南適用。ISMS審核員宜驗證是否存在符合審核準則要求且與審核范圍相關的文件化信息，并驗證其符合審核準則的要求。ISMS審核員宜確認在審核范圍內確定的控制與風險評估和風險處置過程的結果相關，并可追溯到信息安全方針和目標。注：附錄A提供了ISMS審核實踐指南，包括如何使用相關文件化信息審核ISMS。6.4.7收集和驗證信息GB/T19011—2021的6.4.7中的指南適用。在審核過程中收集相關信息的可能方法包括：a)評審文件化信息（包括計算機日志和配置數(shù)據(jù)）；b)訪問信息處理設備；c)觀察ISMS過程及相關控制；6d)使用自動審核工具。注2：GB/Z32916-2023提供了如何評估信ISMS審核組成員宜根據(jù)審核委托方、審核組和受審核方之間的協(xié)議，確保從受審核方獲取的所有信息得到適當處理。6.4.8形成審核發(fā)現(xiàn)GB/T19011—2021的6.4.8中的指南適用。6.4.9確定審核結論GB/T19011—2021的6.4.9中的指南適用。6.4.10舉行末次會議GB/T19011—2021的6.4.10中的指南適用。6.5審核報告的編制和分發(fā)6.5.1審核報告的編制GB/T19011—2021的6.5.1中的指南適用。6.5.2審核報告的分發(fā)GB/T19011—2021的6.5.2中的指南適用。注釋注：當使用電子方式進行分發(fā)審核報告時，正確加密是確保保密性要求的一種可行措施。6.6審核的完成GB/T19011—2021的6.6中的指南適用。6.7審核后續(xù)活動的實施GB/T19011—2021的6.7中的指南適用。7審核員的能力和評價7.1總則GB/T19011—2021的7.1中的指南適用。7.2確定審核員能力7.2.1總則GB/T19011—2021的7.2.1中的指南適用。在確定ISMS審核員的適當知識和技能時，宜考慮以下內容：GB/T28450—XXXX/ISO/IEC27007:20207a)ISMS的復雜度（例如ISMS內信息系統(tǒng)的重要性，ISMS的風險評估結果）；b)在ISMS范圍內開展的業(yè)務類型；c)實現(xiàn)ISMS各組成部分（例如實現(xiàn)的控制、文件化信息和/或過程控制、涉及的技術平臺和解決方案等）所使用技術的范圍和多樣性；d)已證實的ISMS的績效；e)ISMS范圍內所用的外部方以及外包程度；f)與審核方案相關的法律、標準和其他要求。7.2.2個人行為GB/T19011—2021的7.2.2中的指南適用。7.2.3知識和技能總則GB/T19011—2021的中的指南適用。審核員的通用知識和技能GB/T19011—2021的中的指南適用。審核員的特定領域與專業(yè)的能力.1GB/T19011—2021的中的指南適用。.2ISMS審核員宜能夠理解相關業(yè)務要求。審核組長的通用能力GB/T19011—2021的中的指南適用。多領域審核的知識和技能GB/T19011—2021的中的指南適用。7.2.4審核員能力的獲得GB/T19011—2021的7.2.4中的指南適用。ISMS審核員宜具備信息技術和信息安全方面的知識和技能，如通過相關認證（例如基于GB/T27024認可的認證）。ISMS審核員也宜理解相關業(yè)務需求，ISMS審核員的工作經驗宜有助于他們在ISMS領域的知識和技能的發(fā)展。注：有關ISMS審核員認證的更多信息可以在GB/T25067中找到。7.2.5審核組長能力的獲得GB/T19011—2021的7.2.5中的指南適用。7.3建立審核員評價準則GB/T19011—2021的7.3中的指南適用。GB/T28450—XXXX/ISO/IEC27007:202087.4選擇適當?shù)膶徍藛T評價方法GB/T19011—2021的7.4中的指南適用。7.5進行審核員評價GB/T19011—2021的7.5中的指南適用。7.6保持并提高審核員能力GB/T19011—2021的7.6中的指南適用。GB/T28450—XXXX/ISO/IEC27007:20209（資料性）ISMS審核實踐指南A.1概述本附錄對聲稱符合GB/T22080-XXXX的組織提供審核ISMS的通用指南。由于本指南旨在適用于所有ISMS審核，所以無論涉及的組織是何規(guī)模或性質，本指南均適用。本指南旨在供開展ISMS內部或外部審核的審核員使用。注：GB/T31496根據(jù)GB/T22080—XXXX給出了實施和運行ISMS的指南。A.2總則A.2.1審核目標、范圍、準則和審核證據(jù)在審核活動期間，宜通過適當?shù)某闃臃绞将@得并驗證與審核目標、范圍和準則有關的信息，包括職責、活動和過程之間的接口相關信息。只有能夠驗證的信息才可作為審核證據(jù)。宜記錄形成審核發(fā)現(xiàn)的審核證據(jù)。獲取信息的方法包括：——訪談；——觀察；——文件評審，包括記錄。A.2.2ISMS審核策略在審核時最好同時處理實踐中密切相關的GB/T22080—XXXX條款。相關示例請參見表A.2。例如，GB/T22080—XXXX中6.1.3和8.3以及6.2、5.1、5.2，5.3、7.1、7.4、7.5、9.1、9.3和10.1，同時審核這些條款及其關聯(lián)或相關條款才有意義。GB/T22080—XXXX中7.5提出了有關文件化信息的要求。如表A.2中A.4.5所述，每次審核員檢查文件化信息時，都是確認其是否符合GB/T22080—XXXX中7.5要求的機會。有關如何執(zhí)行上述內容的指南見表A.2的A.4.5。表中每次出現(xiàn)“文件化信息”時，將不再重復對文件化信息的要求。A.2.3審核和文件化信息審核活動涉及文件化信息，即：a)在GB/T22080—XXXX中文件化信息的要求條款可用作審核準則；b)GB/T22080—XXXX的7.5.1a）中要求的文件化信息；c)由組織確定的、GB/T22080—XXXX的7.5.1b）中要求的ISMS有效運行所必需的文件化信息。除A.2.3b）中所列的審核證據(jù)，審核員將通過訪談、觀察和文件評審（包括記錄）獲得其他審核證據(jù)。有關GB/T22080—XXXX的文件化信息的詳細討論可在A.3中找到。A.3關于GB/T22080—XXXX對文件化信息要求的指南A.3.1基本原理審核員提出要求將文件化信息作為符合性證據(jù)時宜注意：GB/T28450—XXXX/ISO/IEC27007:2020a)表A.1中所列的對文件化信息的16項明確要求，包括適用性聲明；b)其他要求：1)期望從上述文件化信息中找出符合性證據(jù)是合理的；2)對于文件化信息沒有顯性或隱性要求。表A.1GB/T22080—XXXX中對文件化信息的要求注：審核的定義表明它是一個文件化的過程，因此審核員能認為GB/T22080—XXXX的9.2要求的結果是一個文件化A.3.2對文件化信息有隱性要求的示例作為A.3.1b）1）的一個示例，在GB/T22080—XXXX的6.1.2中要求組織“保留有關信息安全風險評估過程的文件化信息”。在這個條款之前的要求[GB/T22080—XXXX的6.1.2a）至e）]均涉及風險評估過程。因此，符合上述要求的證據(jù)存在于所要求的風險評估過程相關文件化信息中。A.3.3對于文件化信息沒有顯性或隱性要求的示例作為A.3.1b）2）的一個示例，考慮GB/T22080—XXXX的4.1的要求。對外部和內部事項相關的信息未要求文件化。因此，審核員不宜要求看到相關文件化信息。然而，如果組織不能解釋其已對這些問題進行決策，將構成對GB/T22080—XXXX中4.1.1條款的不符合。但是，組織有責任確定證明其符合要求的方式。證明方式包括最高管理者的解釋（即有人知悉在會議中討論過該主題；在正式配置管理下的文件化信息中得到證明；也可以通過其他方式證明。實際上，證據(jù)很可能會分散在ISMS的文件化信息中。例如，GB/T22080—XXXX中4.1.1的目的是幫助組織理解其ISMS環(huán)境。該環(huán)境貫穿于整個ISMS，GB/T28450—XXXX/ISO/IEC27007:2020尤其是在確定范圍、方針以及實施風險評估和風險處置過程時。如果組織符合GB/T22080—XXXX中4.1的要求，其外部和內部事項的知識可能會應用于ISMS的其他領域，這些應用將保持一致，并可能會有這些領域文件化信息的符合證據(jù)。A.4適用性聲明適用性聲明（SoA）是另一個需要注意的領域。SoA宜包含所有必要的控制，即組織已有的控制、作為風險處置過程[GB/T22080—XXXX的6.1.3c）]結果的控制（為滿足風險接受準則而對信息安全風險進行修改所需的控制）。所有必要的控制均為組織自身的要求。必要的控制可以是GB/T22080—XXXX附錄A中的控制（非強制要求），也可以來自其他標準（例如，ISO/IEC27017）或其他來源，或者由組織進行專門設計。在某些情況下，組織所使用的控制對GB/T22080—XXXX附錄A中的控制進行了變更，刪減了GB/T22080—XXXX附錄A中的控制，刪減的理由是它已被組織變更后的控制所代替。或者，這種變更可能并入GB/T22080—XXXX附錄A的控制中，不作為刪減。審核員宜基于組織各類必要的控制規(guī)范來判定符合性，而無需依據(jù)GB/T22080—XXXX附錄A給出的規(guī)范。如果組織的規(guī)范要求一個文件化規(guī)程，這會形成組織對GB/T22080—XXXX中7.5.1b）的部分符合。如果未要求有文件化規(guī)程，那么審核員不宜要求見到該規(guī)程。但是，審核員宜關注GB/T22080—XXXX的8.1中的要求，組織宜“保留文件化信息，其程度足以確信這些過程按計劃得到執(zhí)行”。鑒于GB/T22080—XXXX中8.1引用了GB/T22080—XXXX第6章的內容，組織的風險處置計劃及其必要的控制，都在文件化信息要求的范圍內。在審核控制的選擇時，最好針對風險處置計劃[見GB/T22080—XXXX6.1.3e）]進行審核，而不只是審核適用性聲明中所列出的個別必要控制。風險處置計劃可能詳細說明了必要控制之間的相互作用，而僅使用適用性聲明則可能忽略這個因素。A.5其他文件化信息GB/T22080—XXXX關注的是結果。在對文件化信息的16項明確要求中（見表A.1），只有三個涉及的規(guī)范（信息安全風險評估過程、信息安全風險處置過程和審核方案）。但是，這并不妨礙組織擁有文件化的規(guī)程。此類支持文件屬于GB/T22080—XXXX的7.5.1b）的范圍（組織確定的文件化信息對其ISMS的有效性是必需的）。因此，這類文件作為組織的要求，宜包含在審核范圍內。A.6注釋所需信息可以是網(wǎng)頁的一部分，也可以作為數(shù)據(jù)庫查詢的結果呈現(xiàn)給閱讀人員。此外，除了適用性聲明以外，GB/T22080—XXXX未給出文件名稱。因此，有關信息安全策略的文件化信息可能不在名為“信息安全策略”的文件或網(wǎng)頁中。組織有權為信息安全策略定義其它名稱。在確保ISMS符合GB/T22080—XXXX的5.3a）要求方面具備責任和權限的人員是相同的，都宜知悉GB/T22080—XXXX中強制要求的文件化信息與他們的文件化信息之間的關系。A.7ISMS審核指南表A.2列出了以下信息：——第1行：相應的GB/T22080—XXXX條款的編號和名稱；——第2行：相關條款（有關如何使用此行的信息，請參閱A.2.2）；——第3行：GB/T22080—XXXX相應的條款在GB/T29246—2023中的相關定義；——第4行：“審核證據(jù)”，可能來源于GB/T22080—XXXX的相應條款；——第5行：“審核實踐指南”，即審核的指南（參見A.3）；GB/T28450—XXXX/ISO/IEC27007:2020——第6行：“支持性文件”，對審核GB/T22080—XXXX相應條款有幫助的其他文件。表A.2GB/T22080—XXXX的審核指南a）與氣候，污染，資源可用性和生物多樣性有關的環(huán)境特性或情況，以及這些情況可能b）來自于國際、國內、地區(qū)、當?shù)氐母鞣N外部文化的、社會的、政治的、法律的、監(jiān)管——組織的文化；——組織采用的標準，指導方針和模型；——組織產品和服務的生命周期；——信息系統(tǒng)，過程，科學和技術的潛在信息安全管理；注1：4.3中的要求是“考慮4.1中提到的外部和內部事項”。組織可以考慮在輸出中未表A.2（續(xù)））；GB/T28450—XXXX/ISO/IEC27007:2020注4：利益相關方可以有不同的利益，這些利益可以與組織的經營目標完全一致、部分一致或相反。與組織的經營目標相對立的相關方示審核員宜意識到ISMS考慮了所有內部和外部風險源。因此，組織對相對立的相關方及其表A.2（續(xù)）審核員宜確認組織對適用于ISMS和GB/T因納入法律、法規(guī)、許可、政府授權或法庭的是，并非所有相關方要求都是組織的要求，有些要求不適用于組織或與ISMS不相關。一些相關方的需求（例如黑客的需求）與ISMS的目的相反，組織宜通過適當?shù)男畔踩珜徍藛T還可以確認是否有相關方意識到他們會受到ISMS的影響，如果是的話，他們需讓——組織管理體系的范圍（4.3）；——適用時，組織的認證范圍；——適用性聲明。整個組織內還是在組織內的特定部門或職能部門實現(xiàn)GB/T220審核員宜核實組織對其環(huán)境（4.1）、相關方（4.2執(zhí)行的活動之間的接口和依賴性（4.3C）的理解，并在確定ISMS的GB/T28450—XXXX/ISO/IEC27007:2020審核員宜進一步確認組織的信息安全風險評估和宜確認已建立范圍文件，并根據(jù)文件化信息GB/T25067—2020的8.2表A.2（續(xù)）6.1.1、6.1.2、6.1.3、8審核證據(jù)可以通過GB/T22080—XXXX要求建立的）；）；c）規(guī)劃ISMS時應對風險和機會的過程）；符合GB/T22080—XXXX的有效的管理體系，并建立了由相互關聯(lián)或A.2領導（5）A.2.1領導和承諾（5.1）5.1、5.2、5.3、6.2、6.3、7.1、7.4、a）信息安全方針[GB/T22080—XXX表A.2（續(xù)）審核員宜確認組織最高管理者的強力支持、參與和承諾，這對成功b）最高管理者對分配給組織的活動的圓滿c）最高管理者確保建立信息安全方針和目d）最高管理者溝通有效的信息安全管理和和有效性的報告[見5.3b）]，確保ISf）最高管理者指導并支持組織中直接參與j）最高管理者創(chuàng)建文化和環(huán)境氛圍，鼓勵員工積極努力GB/T28450—XXXX/ISO/IEC27007:2020A.2.2方針（5.2））；b）信息安全方針用于構建或建立組織為自己設定的信息安全目標，或明確c）信息安全方針的文件化信息是根據(jù)文件化信息（7.致不符合的系統(tǒng)缺陷及時發(fā)現(xiàn)并采取糾正措施，A.2.3組織的角色、責任和權限（5.3）表A.2（續(xù)）），b）在信息安全控制下工作并對組織的信息安全績效產生影響的人員此外，還可以通過管理評審結果的文件化信息或其他信息來a）執(zhí)行ISMS要求的職責和權限被分配GB/T28450—XXXX/ISO/IEC27007:2020b）最高管理者負責這些職責和權限被分配并傳達給執(zhí)行這d）按照內部審核（9.2）的要求，證明GB/T22080審核員宜驗證有責任的人員是否有足夠的權限與最高管注6：確保管理體系符合GB/T22080—XXXX要A.3規(guī)劃（6）A.3.1應對風險和機會的措施（6.1）A.3.1.1總則（6.1.1）a）ISMS的規(guī)劃[GB/T22080—XXXX的6.1.1、7.5.1）；）；）；）；）；）；）；）；表A.2（續(xù)）22080—XXXX的6.1.1a）到c）有關GB/T28450—XXXX/ISO/IEC27007:2020e）通過目標設定（6.2）、運行控制（8.1）或GB/））），GB/T24353—2022的5.3A.3.1.2信息安全風險評估（6.1.2）可用性、保密性、信息安全、完整性、風險接受、風險分析、風險評別a）ISMS規(guī)劃[GB/T22080—XXXX的6.1.1，7.5.1b）信息安全風險評估過程（6.1.2）和信息安全風險評估結審核員宜確認組織已建立并持續(xù)維護風險接雖然組織可以自行考慮與風險準則相關的任何因素估實施準則，但審核員宜評估組織是否基于已形成的決策建立了風險能夠向審核員解釋它們是什么。至少，它們宜包括組織的風險注7：GB/T22080—XXXX的8.2要求組織在計劃的時間間隔內、重信息安全風險評估?？梢詫λ蠭SMS或部分ISMS進行風險評估（例如當重表A.2（續(xù)）審核員宜確認信息安全風險評估產生一致的、有效審核員宜確認組織已識別出ISMS范圍內與信息保密注8：GB/T22080—XXXX不要求僅通過資產、可在組織有關風險評估的文件化信息中找到風險識別過b）風險來源是否在組織的控制下，即使風險來源或原注9：發(fā)現(xiàn)無意中遺漏了大量必要的控制可宜通過抽樣確認ISMS范圍內的所有重要審核員宜驗證在風險評估結果的文件化信息中已識別出可用性喪失相關的風險。組織的信息安全目標可幫助審核b）每個風險責任人都有責任和權限來管理他們表A.2（續(xù)）可在關于風險評估過程的文件化信息中找到組織風險分析方法的描述險評估結果的文件化信息中（見下文）。審核員宜參考組織的風險管理a）根據(jù)風險、分析目的以及可用的信息、數(shù)據(jù)和資源，b）定性、半定量、定量或這些方法的組合審核員宜確認組織已將其風險分析結果與信息安全險的可接受性。審核員還宜確認在風險評估結果中，可表明風險接受準a）根據(jù)風險分析的結果，協(xié)助制定風險需要處置的方式和b）考慮相關利益方的要求，包括法律、監(jiān)a）風險準則的定義，包括風險接受準則和信息安）；注10：上述各項均符合GB/T22080要求，這就是為什么可在關于風GB/T24353—2022的5.3、5GB/T31496—2023的6.1表A.2（續(xù)）a）選擇一個或多個選項來修改信息安全風險，并實現(xiàn)這些規(guī)審核員宜確認有關風險處置過程的文件化信息，包項的方法的描述。審核員還宜確認此描述與組織請注意，GB/T29246—20233.72，注1列舉了七種風險處置選項，并且在GB/T2208審核員宜驗證風險準則與風險處置計劃之間的一致審核員宜評審組織選定的風險處置選項。審核審核員宜驗證最近的變更（例如新的IT系統(tǒng)或業(yè)務審核員宜確認有關風險處置過程的文件化信息，包確定實現(xiàn)風險處置選項的所有控制都宜包含在適用性聲明中。此外，任表A.2（續(xù)）a）應用GB/T22080—XXXX過程所確定的必要控制6）；3）組織使用定制化控制，其作用與附錄A控制相同（更多）；e）相關的行業(yè)特定控制，這些控制將被指定為必要的控制，或審核員宜評審風險處置計劃是否考慮了組織的目標c）獲得風險責任人對信息安全風險處置計劃表A.2（續(xù)）審核員宜確認有關風險處置的文件化信息真實存在c）GB/T22080—XXXX附錄A如何用于確5.1、5.2、6.2、7.1、9.3.2GB/T28450—XXXX/ISO/IEC27007:2020審核證據(jù)可以通過與信息安全目標及其實現(xiàn)b）信息安全目標以其實現(xiàn)可進行檢測的方式），d）根據(jù)監(jiān)視、測量、分析和評價（9.1）的要求，定期核實信息f）根據(jù)文件化信息（7.5）的要求創(chuàng)建并c）適用的信息安全要求、風險評估和風險處置結果在目d）任何實現(xiàn)目標的需求（例如預算、專業(yè)技能、技術或基礎設施等A.4支持（7）A.4.1資源（7.1）表A.2（續(xù)）持續(xù)改進，管理制度審核證據(jù)可以通過文件化信息或組織需要資源的其他信息獲得：a）建立并實施ISMS（包括其運行與控制）；b）持續(xù)改進ISMS。a）人員；GB/T28450—XXXX/ISO/IEC27007:2020b）專業(yè)技能與知識；c）基礎設施（例如建筑物，通信線路等）；e）信息以及與信息和信息處理設施相關的其他資產；f）資金（例如現(xiàn)金，流動證券和信貸額度）。審核員宜確認組織計劃、確定和分配了建立和實施GB/T24353—2022的4.3.5A.4.2能力（7.2）5.3，7.1，7.5.1注，9.1d）和e），9.2e）能力，有效性GB/T22080—XXXX的7.2將能力范圍擴至非組織成員。該要求指名他們“第三方要求的審核證據(jù)宜限于證明為ISMS組織b）確保上述人員在適當?shù)慕逃?、培訓或經驗的基礎上能c）適用時，采取措施以獲得必要的能力，表A.2（續(xù)）5.1d），5.2，9.1，9.2，10.1，10.2符合性、有效性、績效、策略d）不符合的糾正措施；e）組織的角色，責任和權限；g）適用的學習計劃和培訓材料。b）其對ISMS有效性的貢獻，包括改進信息安全績對方針的認識不宜被視為需要記住方針；相反，人們宜認識到關鍵的方針審核員還可在非專門用于信息安全的意識和培訓計與最高管理者的溝通活動密切相關。[GB/T22080—XXXX的55.1，5.2，5.3，6.2，9.2表A.2（續(xù)）c）與分配到特定角色的人員進行面談，以證明他們知悉與其6）對ISMS有效性的貢獻，包括改進信GB/T24353—2022的4.3A.4.5文件化信息（7.5）表A.2（續(xù)）審核證據(jù)可以通過ISMS中的文件化信息或其他信息進行創(chuàng)建、控制或維護，包括：a）管理體系的范圍；d）能力的證據(jù)；e）管理體系運行規(guī)劃和控制所需的外部信息；f）信息安全風險評估過程；g）信息安全風險處置過程；h）適用性聲明；i）必須提供的信息，以確保過程和確定的控制按計劃進行；j）信息安全風險評估結果；k）信息安全風險處置結果；l）監(jiān)視、測量、分析和評價結果；m）內部審核計劃及其實施的證據(jù)；n）內部審核結果；o）管理評審結果；p）不符合的原因和采取的措施；q）糾正措施結果。文件化信息是為需求而創(chuàng)建，非為滿足GB/T22080—XXXX的要求而創(chuàng)建。審核員宜確認該組織的ISMS包括：a）GB/T22080—XXXX要求的文件化信息；b）組織所確定的、對于信息安全管理體系有效性所必需的文件化信息。敘述“文件化信息作為......的證據(jù)”意味著之前的術語“記錄”。審核員宜確認組織確定除了GB/T22080—XXXX明確要求的ISMS的有效性之外，還需要哪些文件化信息，這些因素宜在審核證據(jù)列表中被考慮。術語“文件化信息”是指GB/T22080—XXXX確定的信息，可以任何格式或介質來控制和維護審核員宜按照7.5.2和7.5.3的要求確認創(chuàng)建和控制文件化信息。GB/T24353—2022的5.7GB/T31496—2023的7.5.1A.4.5.2創(chuàng)建和更新（7.5.2）表A.2（續(xù)））；b）格式（例如語言、軟件版本、圖表）和介質（例如）；注13：用于文件化信息的標識、格式和介質是組織實施GB/T22080如若ISMS范圍內的文件化信息提交審核，審核員宜抓住機會執(zhí)行這些審核任務。它們不必每次都進行，只需達到足夠數(shù)量即可確認符合GB/T22080—XXXX的7.5.2相關要求。GB/T31496—2023的7.5.2A.4.5.3文件化信息的控制（7.5.3）GB/T28450—XXXX/ISO/IEC27007:2020）；審核員宜確認ISMS和GB/T22080—XXXX要求的文件化信息得以控制，以確保：a）無論何時何地，必要時是可用且適用的；b）受到充分保護（例如，防止失去保密性、不當使用或喪失完整性）審核員宜確認組織適用時處理了以下問題：a）分發(fā)、訪問、檢索和使用；b）存儲和保存，包括保持可讀性（以數(shù)字或其他格式或手寫）；c）控制變更（例如版本控制）；d）保留和處置。如若ISMS范圍內的文件化信息提交審核，審核員宜抓住機會執(zhí)行這些審核任務。它們不必每次都進行，只需達到足夠數(shù)量即可確認符合GB/T22080—XXXX的7.5.3相關要求。GB/T24353—2022的5.7GB/T31496—2023的7.5.3A.5.1運行規(guī)劃和控制（8.1）8.1、6.1.1、6.1.2、6.1.3、6.2、7.5.1、9.1、9.2后果、信息安全、目標、組織、外包、處理、要求表A.2（續(xù)）a）組織需確認運行控制過程已按照計劃得到實施（GB/T22080—c）ISMS規(guī)劃（GB/T2208）；審核員宜確認組織規(guī)劃、實施和控制滿足組織運行GB/T22080—XXXX中的要求，并確并應對優(yōu)先審核員宜確認運行控制包括實施的方法和信息安全定的條件、績效標準或遵從法規(guī)的限制，從而有效地實現(xiàn)ISMS的預期結宜對與業(yè)務過程相關的運行控制和信息安全控制的情況進行評審，在這運行控制和信息安全控制可能導致偏離方針和目標或構成不可接受的風GB/T28450—XXXX/ISO/IEC27007:2020業(yè)務操作、活動、過程、生產、安裝、服務、維護、合同方、供應商或外的控制程度將取決于許多因素，包括所執(zhí)行的功能、它們的重要）；b）執(zhí)行計劃以實現(xiàn)已確定的信息安全目標，并制定計劃實現(xiàn)這些目標（GB/T22080—X）；）；e）當運行控制失效時，采取必要的措施來解決A.5.2信息安全風險評估（8.2）信息安全審核證據(jù)可以通過文件化信息或其他有關信息獲得:a）ISMS規(guī)劃（GB/T22080—XXXX的6.1.1）；b）信息安全風險評估過程（GB/T22080—XXXX的6.1.2）；c）信息安全風險評估結果（GB/T22080—XXXX的8.2）；d）適用性聲明；e）風險處置計劃。表A.2（續(xù)）審核員宜確認（GB/T22080—XXXX的6.1）定義和應用的信息安全風險評估過程得以實施并已納入組織運行中，按計劃的時間間隔或當重大變更提出或發(fā)生時執(zhí)行信息安全風險評估，同時考慮了GB/T22080—XXXX的6.1.2a）中已建立的準則。審核員宜評估：GB/T28450—XXXX/ISO/IEC27007:2020a）風險評估的計劃周期同樣適合于ISMS；b）當ISMS發(fā)生任何重大變更或發(fā)生信息安全事件時，組織確定哪些變更或事件需要進行額外的信息安全風險評估以及如何觸發(fā)這些評估。有關其他信息，請參閱A.3.1.2的審核實踐指南。GB/T24353—2022的5.4.1GB/T31496—2023的8.2ISO/IEC27005:2022A.5.3信息安全風險處置（8.3）6.1.3、附錄A控制、控制目標、文件化信息、信息安全、殘余風險、風險評估、風險準則、風險責任人、審核證據(jù)可以通過文件化信息或其他有關信息獲得:GB/T24353—2022的5.5GB/T31496—2023的8.3ISO/IEC27005-2022A.6.1監(jiān)視、測量、分析和評價（9.1）GB/T22080—XXXX中相關GB/T29246相關定義持續(xù)改進、有效性、測量、監(jiān)視、績效、信息安GB/T28450—XXXX/ISO/IEC27007:2020表A.2（續(xù)）d）向最高管理者報告ISMS的執(zhí)行情況[參見GB/T22080—）；j）信息安全弱點報告（參見GB/T220k）信息安全事件報告（參見GB/T22080—XXXX的A.2）適用時，監(jiān)視、測量、分析和評價的方法績效報告、管理評審結果、內部審核報告和信息安審核員宜評估不符合的程度、處置失誤、信息安全理的程度。審核員宜確定組織是否以及如何評估應對風險和機會的措施更將作為反映風險評估和風險處置過程的結果（GB/T2208審核員宜審核被監(jiān)視或測量、分析和評審的特征信息是必劃措施的實現(xiàn)程度和成果。審核員宜確認通過監(jiān)視或測量、分析和評價獲理評審的要求提交給最高管理者的（GB/T2208注14：如果一個組織遵循GB/T31497中的指導，除了“信息需求”之外，它還可以使用術語“績效測度”和“有效性測度”。GB/T31497-2024ISO/IEC27004-2016A.6.2內部審核（9.2）GB/T22080—XXXX中相關GB/T29246中相關定義表A.2（續(xù)）審核員宜確認組織規(guī)劃、實現(xiàn)和維護一個內部審核方案，以便提供關于ISMS是否符合GB/T22080要求和組織自己附加的任何ISMS相關要求的信息，以及ISMS是否按計劃有效實施和維審核員宜驗證內部審核方案:a）內部審核是根據(jù)相關過程的重要性和以往審核的c）考慮到內部審核過程的完整性和獨立性，分審核員宜確認內部審核結果向負責審核的職能部門/單位的管理層以及滿足相關溝通（GB/T22080—XXXX的7.4）要求的任何其他人員進行報告。審核員宜確認內部審核結果的信息，包括趨勢，是否按照管理評審（參見GB/T22080—XXXX的9.3本文件GB/T32916—2023a）GB/T22080—XXXX中相關GB/T29246中相關定義表A.2（續(xù)）審核證據(jù)可以通過文件化信息或其他有關信息獲得:審核員宜確認，最高管理者已按計劃的評審時間表審核員宜通過審核來評估最高