1
《网络安全技术信息安全管理体系审核指南》
(征求意见稿)编制说明
一、工作简况
1.1任务来源
根据国家标准化管理委员会2025年下达的国家标准制修订计划,《网络安全技术信息安全管理体系审核指南》由北京时代新威信息技术有限公司负责承办,计划号:T-469)。本标准由全国网络安全标准化技术委员会归口管理。
1.2制定背景
上一版GB/T28450—2020《信息技术安全技术信息安全管理体系审核指南》等同采用ISO/IEC27007:2017,并引用《管理体系审核指南》(GB/T19011-2013,等同采用ISO19011:2011)、《信息安全管理体系要求》(GB/T22080-2016,等同采用ISO/IEC27001:2013)。近年来,上述等同采用的三项国际标准已陆续更新,我国相关国家标准也在同步更新或处于更新进程中。基于此,对国家标准GB/T28450—2020进行修订。
1.3起草过程
标准制定的主要工作过程如下:
1)成立编制组。2024年6月-7月,接到全国网络安全标准化技术委员会关于标准制定任务之后,课题组负责人随即召集标准编制组的相关成员开会,具体讨论和分配了小组的任务、标准修订的重要事项以及需注意的事项。
2)形成标准草案。2024年7月-10月,标准编制组对网络安全管理体系审核指南进行了深入研究。标准编制组分析梳理了国内外网络安全管理体系审核指南的应用情况,对ISO/IEC27007标准等文档进行了深入研究,据此编制完成标准草案。2024年7月5日,召开专家评审会,就标准草案征求了部分专家的意见,并根据意见对草案进行了修改完善。
国家标准报批材料
2
3)参编单位征集。2024年11月完成了公开征集参编单位,组建起草组,确定了标准的责任专家:闵京华,责任编辑:王姣。
4)征求意见稿。该标准计划在2024年12月完善标准草案,经海口标准周上会讨论,建议形成征求意见稿。并组织责任专家和责任编辑逐句逐段对文本进行推敲,根据安标委秘书处专家审查会的意见,在2025年4月形成征求意见稿。
5)标准征求意见。该标准计划在2025年5月至6月进入征求意见阶段,秘书处书面征求相关部门的意见,并通过全国标准信息公共服务平台和网安标委网站面向社会公开征求意见。
6)标准试点:该标准计划在2025年5月至7月开展试点验证工作,牵头单位负责编制试点工作方案,召开试点启动会,协同其他参编单位进行试点实施,对标准试点过程中除此案的难点问题进行研究讨论,邀请试点单位、标准管理方以及业内专家召开试点总结会议,反映试点工作整体情况。
7)形成标准送审稿。该标准计划在2025年7月至9月,组织责任专家和责任编辑对标准文稿逐步推敲,并根据专家审查会的意见,对送审稿文本、编制说明进行优化和改善,处理公开征求意见,形成标准报批稿。
8)形成标准报批稿。该标准计划在2025年10月至11月,组织责任专家和责任编辑对文本进行再次优化,准备报批材料,制作一图读懂、标准解读视频等,将报批稿提交主任办公会审议,配合国家标准委员会做好标准审批发布工作。
二、标准编制原则、主要内容及其确定依据
2.1标准编制原则
本标准在编制过程中遵循了修改采用、准确理解和语言通畅的原则。
修改采用:基于目前国内对国际ISMS标准族相关标准的研究和转化情况,以及我国整体网络安全管理理论和技术发展现状,决定修改采用国际标准ISO/IEC27007《信息技术安全技术网络安全管理体系审核指南》最新版本;
贴合实际:基于我国国家标准编制习惯及信息安全管理体系审核实际情况,对标准文本进行相关修改,使其更贴合应用的实际情况;
国家标准报批材料
3
准确理解:在充分理解国际标准原文的基础上进行修改翻译,做到准确表达原意,贴合国内实践;
语言通畅:在修改翻译时,尽量符合中文的语言习惯,做到表述通畅;
2.2主要内容及其确定依据
本标准在GB/T19011—2021的基础上,为信息安全管理体系(InformationSecurityManagementSystem,以下简称ISMS)审核方案管理和审核实施提供了指南,并对ISMS审核员能力提供了评价指南。本标准适用于需要理解或实施ISMS的内部或外部审核,或需要管理ISMS审核方案的所有组织。
本标准计划修订GB/T28450—2020。修订后将引用最新的GB/T19011—2021,并保持与该标准框架内容一致。同时,去除审核方案管理中与