一、工作簡況

1、任務(wù)來源

根據(jù)國家標準化管理委員會2018年下達的國家標準制修訂計劃：《信息技術(shù)

安全技術(shù)信息安全管理體系審核指南》，該標準由北京時代新威信息技術(shù)有限

公司負責承辦，計劃號：2018BZXD-WG7-001o該標準由全國信息安全標準化技術(shù)

委員會歸口管理。

2、主要起草單位和工作組成員

該標準由北京時代新威信息技術(shù)有限公司主要負責起草，協(xié)作起草單位為中

國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、中國電子技術(shù)標準化研究院、全國組織機構(gòu)統(tǒng)

一社會信用代碼數(shù)據(jù)服務(wù)中心，主要起草人：王新杰、王連強、鄭瑋、陳劍博、

張劍、程瑜琦、上官曉麗、王姣、孫鎮(zhèn)、趙捷、孫泰、李晟飛。其中，王新杰、

王連強、張劍、上官曉麗、孫鎮(zhèn)、趙捷負責編制過程總體領(lǐng)導(dǎo)，標準前言的編寫，

以及全文校對；鄭瑋、陳劍博、程瑜琦、王姣、孫泰、李晟飛負責標準正文編寫

以及相關(guān)背景資料的調(diào)研。

3、主要工作過程

標準制定的主要工作過程如下：

a）成立編制組。2018年8月，接到全國信息安全標準化技術(shù)委員會關(guān)于

標準制定任務(wù)之后，課題組負責人隨即召集標準編制組的相關(guān)成員開

會，具體討論和分配了小組的任務(wù)、標準修訂的重要事項以及需注意

的事項。

b）形成標準草案。2018年8月-9月，標準編制組開展信息安全管理體系

審核指南的研究。標準編制組分析梳理了國內(nèi)外信息安全管理體系審

核指南的應(yīng)用情況，對ISO/IEC27007標準等文檔進行了深入研究，

據(jù)此編制完成《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》標

準草案。2018年1（）月18□,召開專家評審會，就標準草案征求部分

專家意見，并根據(jù)意見對草案進行了修改完善。

c）形成標準征求意見稿。2018年10月24日-26日，WG7工作組面向全

體工作組成員單位進行草案標準投票，表決通過，工作組建議形成征

求意見稿。標準編制組根據(jù)意見進行修改完善，形成征求意見稿第一

稿。2018年11月28FLWG7開展工作組標準審查，編制組根據(jù)審查

意見對標準征求意見稿進行了修改完善。

二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、標準編制原則

本標準在編制過程中遵循了等同采用、準確理解和語言通暢的原則。

等同采用:基于目前國內(nèi)對國際ISMS標準族相關(guān)標準的研究和轉(zhuǎn)化情況，

以及我國整體信息安全管理理論和技術(shù)發(fā)展現(xiàn)狀，決定等同采用國際標準

ISO/IEC27007《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》最新版本。

準確理解：在充分理解國際標準原文的基礎(chǔ)上進行等同翻譯，做到準確表

達原意。

語言通暢：在等同翻譯時.盡量符合中文的語言習慣,做到表述通暢°

2、標準解決的問題及主要內(nèi)容

國家標準《信息安全技術(shù)信息安全管理體系審核指南》(GB/T28450-2012)

所引用的《質(zhì)量和(或)環(huán)境管理體系審核指南》(GB/T19011-2003)和《信息

安全安全技術(shù)信息安全管理體系要求》(GB/T22080-2008)均己修訂，管理體

系審核的基本流程、思路和方法已調(diào)整，且審核對象的內(nèi)容也隨著GB/T22080

的修訂發(fā)生了變化，因此亟需制定并發(fā)布新版國家標準《信息安仝管理體系審核

指南》。國際標準化組織也于2017年1()月發(fā)布了新版標準《信息技術(shù)安全技術(shù)

信息安全管理體系審核指南》(ISO/IEC27007:2017)o因此，為給我國ISMS審

核認證機構(gòu)及審核人員實施ISMS體系審核提供更加成熟的方法論和指導(dǎo)，有必

要等同采納國際標準，重新修訂GB/T28450-2012,為ISMS相關(guān)技術(shù)和應(yīng)用提

供最新的基礎(chǔ)標準支撐。

該標準在GB/T19011—2013的基礎(chǔ)上，為信息安全管理體系(Inforinalion

SecurityManagementSystem,以下簡稱ISMS)審核方案管理、審核實施提供了

指南，并對ISMS審核員能力提供了評價指南。該標準適用于需要理解或?qū)嵤?/p>

ISMS的內(nèi)部或外部審核，或需要管理ISMS審核方案的所有組織。

三、主要試驗［或驗證］情況分析

標準編制組已請中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心等認證機構(gòu)對《信息技術(shù)

安全技術(shù)信息安全管理體系審核指南》進行了試用，標勝試用效果良好。

四、知識產(chǎn)權(quán)情況說明

本標準不涉及專利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達到的經(jīng)濟效果

該標準作為實施指南，可為ISMS審核認證機構(gòu)或內(nèi)部審核組織的審核人員

提供ISMS審核（包括外部審核和內(nèi)部審核）的指南，幫助其完成審核方案管理、

審核啟動、審核活動準備、審核活動實施、審核報告編制和分發(fā)、審核完成、審

核后續(xù)活動實施等相關(guān)工作，

此外，該標準還可為ISMS審核認證機構(gòu)或內(nèi)部審核組織提供審核員管理指

南，幫助其對ISMS審核員實施有效管理，對ISMS審核員的能力進行定期評價，

以督促審核員能力的不斷提升。

六、采用國際標準和國外先進標準情況

該標準等同采用國際標準ISO/TEC27007:2017《信息技術(shù)安全技術(shù)信息

安全管理體系審核指南》。

該標準宜與ISO19011:2011中包含的指南一起使用。該標準遵循ISO

19011:2011的結(jié)構(gòu),在ISMS審核中應(yīng)用GB/T19011—2013實施的ISMS特定指南,

用字母“IS”加以標識。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標準的協(xié)調(diào)性

該標準符合現(xiàn)有法律法規(guī)的要求。

該標準與現(xiàn)有國家標準不矛盾、不沖突，也不重復(fù)。

八、重大分歧意見的處理經(jīng)過和依據(jù)

無。

九、標準性質(zhì)的建議

根據(jù)該標準的性質(zhì)，建議該標準為推薦性標準。

十、貫徹標準的要求和措施建議

該標準是信息安全管理體系的基礎(chǔ)性標準，是ISMS審核人員開展ISMS審核工

作的基本工具，因此建議在所有ISMS審核人員（包括內(nèi)部審核人員和外部審核人

員）中進行宣貫和培訓。

十一、替代或廢止現(xiàn)行相關(guān)標準的建議

建議該標準替代《信息安全技術(shù)信息安全管理體系審核指南》（GB/T

28450-2012）。

十二、其它應(yīng)予說明的事項

無。

國家標準《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》

（征求意見稿）編制說明

國家標準《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》

（征求意見稿）編制說明

國家標準《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》

（征求意見稿）編