GB/T 31496-2023 信息技术 安全技术 信息安全管理体系 指南

ICS35.030

CCSL80

中华人民共和国国家标准

/—//:

GBT314962023ISOIEC270032017

代替/—

GBT314962015

信息技术安全技术

信息安全管理体系指南

——

InformationtechnoloSecurittechniues

gyyq

—

InformationsecuritmanaementsstemsGuidance

ygy

(/:,)

ISOIEC270032017IDT

2023-05-23发布2023-12-01实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—//:

GBT314962023ISOIEC270032017

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4组织语境…………………1

4.1理解组织及其语境…………………1

4.2理解利益相关方的需求和期望……………………3

4.3确定信息安全管理体系范围………………………4

4.4信息安全管理体系…………………5

5领导………………………5

5.1领导和承诺…………………………5

5.2方针…………………6

、……………

5.3组织的角色责任和权限7

6规划………………………8

6.1应对风险和机会的措施……………8

6.2信息安全目标及其实现规划………………………14

7支持………………………16

7.1资源…………………16

7.2胜任力………………17

7.3意识…………………17

7.4沟通…………………18

7.5文件化信息…………………………19

8运行………………………22

8.1运行规划和控制……………………22

8.2信息安全风险评估…………………23

8.3信息安全风险处置…………………23

9绩效评价…………………24

、、……………

9.1监视测量分析和评价24

9.2内部审核……………25

9.3管理评审……………27

10改进……………………28

10.1不符合项及纠正措施……………28

Ⅰ

/—//:

GBT314962023ISOIEC270032017

10.2持续改进…………………………30

()………………

附录资料性策略框架

A32

参考文献……………………34

Ⅱ

/—//: