ICS35.040 L80 GB 中华人民共和国国家标准 GB/T28450—2012 信息安全技术 信息安全管理体系审核指南 Information security technology- Guidelines for information security management system auditing 2012-06-29发布 2012-10-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 GB/T28450-2012 目 次 前言 Ⅲ 引言 V 1范围 2规范性引用文件 1 3术语和定义 4审核原则 1 4.1通用的审核原则 1 4.2IS4.1审核原则 1 5审核方案的管理 5.1总则 1 5.2审核方案的目的和内容 3 5.3审核方案的职责、资源和程序 .4 5.4审核方案的实施 4 5.5审核方案的记录 4 5.6审核方案的监视和评审 5 6审核活动 6.1总则 5 6.2审核的启动 5 6.3文件评审的实施 5 6.4现场审核的准备 6 6.5现场审核的实施 6 6.6审核报告的编制、批准和分发7 6.7审核的完成 .8 6.8审核后续活动的实施 8 7审核员的能力与评价 .8 7.1总则 8 7.2个人素质 8 7.3知识和技能 9 7.4教育、工作经历、审核员培训和审核经历11 7.5能力的保持和提高 .11 7.6审核员的评价 .11 附录A(资料性附录)各应用领域的典型应用系统示例12 附录B(资料性附录)ISMS的过程审核示例 14 附录C(资料性附录)控制措施的审核示例19 附录D(资料性附录)本标准与GB/T19011一2003的对照21 I GB/T28450-2012 附录E(资料性附录)审核组审核员的选择24 参考文献 27 图1审核方案管理流程图 2 图2能力的概念 8 表A.1典型IT应用系统举例 12 表B.1体系文件建立、发布与宣贯过程审核示例14 表B.2风险评估与处理过程审核示例 15 表B.3业务连续性的信息安全管理方面过程审核示例 16 表B.4法律法规符合性判定过程审核示例 17 表C.1信息处理设施的授权过程审核示例 19 表C.2处理第三方协议中的安全问题审核示例 .19 表C.3信息的标记与处理审核示例 20 表D.1本标准与GB/T19011一2003对照表 21 表E.1审核组审核员的选择知识能力考虑点示例24 ...