ICS35.040 L80 GE 中华人民共和国国家标准 GB/T31496-2015/ISO/IEC27003:2010 信息技术 安全技术 信息安全管理体系实施指南 Information technology-Security techniques- Information securitymanagement system implementation guidance (ISO/IEC27003:2010 IDT) 2015-05-15发布 2016-01-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 中华人民共和国 国家标准 信息技术安全技术 信息安全管理体系实施指南 GB/T31496-2015/ISO/IEC27003:2010 * 中国标准出版社出版发行 北京市朝阳区和平里西街甲2号(100029) 北京市西城区三里河北街16号(100045) 网址.spc.net.cn 总编室:(010)68533533发行中心:(010)51780238 读者服务部:(010)68523946 中国标准出版社秦皇岛印刷厂印刷 各地新华书店经销 * 开本880×12301/16印张3.5字数100千字 2015年6月第一版2015年6月第一次印刷 书号:1550661-51118定价48.00元 如有印装差错由本社发行中心调换 :(010)68510107 GB/T31496-2015/ISO/IEC27003:2010 目 次 前言 Ⅲ 引言 V 1范围1 2规范性引用文件 .1 3术语和定义1 4本标准的结构 .1 4.1章条的总结构1 4.2每章的一般结构 2 4.3图表 .3 5获得管理者对启动ISMS项目的批准 4 5.1获得管理者对启动ISMS项目的批准的概要 4 5.2阐明组织开发ISMS的优先级 5 5.3定义初步的ISMS范围 7 5.3.1制定初步的ISMS范围 7 5.3.2定义初步的ISMS范围内的角色和责任 .8 5.4为了管理者的批准而创建业务案例和项目计划 8 6定义ISMS范围、边界和ISMS方针策略 10 6.1定义ISMS范围、边界和ISMS方针策略的概述10 6.2定义组织的范围和边界 .11 6.3定义信息通信技术(ICT)的范围和边界 12 6.4定义物理范围和边界 13 6.5集成每一个范围和边界以获得ISMS的范围和边界14 6.6制定ISMS方针策略和获得管理者的批准 14 7进行信息安全要求分析 15 7.1进行信息安全要求分析的概述 15 7.2定义ISMS过程的信息安全要求 .17 7.3标识ISMS范围内的资产 .17 7.4进行信息安全评估 18 8进行风险评估和规划风险处置 .19 8.1进行风险评估和规划风险处置的概述19 8.2进行风险...