GB_T 31497-2024 信息技术 安全技术 信息安全管理 监视、测量、分析和评价.docx

《GB_T 31497-2024 信息技术 安全技术 信息安全管理 监视、测量、分析和评价.docx》由会员分享，可在线阅读，更多相关《GB_T 31497-2024 信息技术 安全技术 信息安全管理 监视、测量、分析和评价.docx（22页珍藏版）》请在优知文库上搜索。

1、ICS35.030CCS1.80GB中华人民共和国国家标准GB/T314972024/ISO/IEC27004:2016代替GB/T314972015信息技术安全技术信息安全管理监视、测量、分析和评价InformationtechnologySecuritytechniquesInformationsecuritymanagementMonitoring,measurement,analysisandevaluation(ISO/IEC27004：2016.IDT)2024-10-01实施2024-03-15发布国家市场监督管理总局国家标准化管理委员会前言In引言IV1111S甲222354f

2、c36特征361概述362监视内容463*jAK456-5口!平f介的君57测度的类型66672有M件利I庭68过程781螃782tP别信息需求8811心视Hl引Ifll1186分析结果118.7评价信息安全埔效和ISMS有效性128.8评审和改进监视、测量、分折和评价过程1212附录A（密科性）信息安全JH量模型1315附录C（资料性）自由文本测量构造示例42制寸3ma，玄*枇、uo1)cu=ICCu*CODoi三gIgTde年AN用尔NAViS4J30/IZZUolUIbz9IbU/lt1.zZUUZZUZZraW11jAjM-4349本文件按照GB/T1.12020标准化工作导则第1部分

3、:标准化文件的结构和起草规则的规定起草.本文件代替GB/T31497-2015信息技术安全技术信息安全管理测量,与GB/T31497-2015相比，除结构调整和编相性改动外，主要技术变化如下：a）更改了范国”的表述（见第1章,2015年版的第1章）；b）更改了第5章的标即和内容,标题由“信息安全测量极述修改为“基本除理“，剧掉了信息安全测量模型相关内容（见第5章,2015年版的第5章）；c）卅除了管理职击”（见2015年版的第6章）；d）增加了特征”（见第6章）；e）更改了测度的类电将“基本测度和导出我展更改为.实施进度的测度和韦效性测度”仞第7章，2015年版的第5章）；f）更改了信息安全管

4、理监视.测量.分析和评价的过程（见第8章,2015年版的第8章、第9章和第10三）.本文件等同采用1S0/IEC27004:2016信息技术安全技术信息安全管理监视、测量、分析和评价.本文件做了下列最小限度的编辑性改动：a）增加了有利于理解本文件的注（见第4章,5.2）;b）增加了资料住附录NA给出了GB/T220812016与1S0/IEC27002：2022中控制的对应关系（见酎录NA）.请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的去任.本文杵由全国网络安全标准化技术委员会（SAC/TC260）提出并归口.本文件起芦单位：中国电子技术标准化研究院、中国合格评定国家认

5、可中心、北京赛西认证有限责任公司、机州安恒信息技术股份有限公司.北京邮电大学、上海三等卫士信息安全有限公司、道普信息技术有限公司.中电长城网际系统应用有限公司.北京航空航天大学.华为技术有限公司.中国科学院信息工程研究所、西安电子科技大学、击庆邮电大学、中国网络安全市直技术与认证中心、国家工业信息安全发展研究中心.北京中关村实后空、上海观安信息技术股份有限公司.北京天融信网络安全技术有限公司、国家计算机网络应急技术处理协理中心、公安部第三研究所.山东正中信息技术股份有限公司、重庆市信息通信咨询设计院有限公司、启明星辰信息技术集团股份有限公司、西安交大捷音网络技术有限公司、国网新疆电力有限公司电

6、力科学研究院、广东省信息安全测评中心、长扬科技（北京）股份有限公司、北京源窣科技有限公司、云智怒（北京）科技有限公司、远江盛邦（北京）网络安全科技股份有限公司.新华三技术有限公司.本文件主要起草人:上官晓明.王惠莅.付志高.许玉哪、王东浜、周亚超.赵健华*闵京华、伍前红.史文征.张东举、干露,邵萌、刘俊荣、就工、马文平.黄永洪、魏立茹、蟠匕、杨光、陆月明、5三.崔牧凡.郭氟吕明.陈长松、Gt濒势.陈星佑.彳可注锌、领蜿.Rt劲宏.赵华.梁露露.戚依军.王晶.权晓文.万晓兰.陈纪扬.本文件及其所代替文件的历次版本发布情况为：一2015年苜次发布为G8/T31497-2015；一本次为第一次修订.

7、本文件旨在帮助组织评价信息安全绩效和信息安全管理体系的有效性，以满足GB/T22080-2016中9.1.监视.S.分腼评价”的要求.信息安全管理体系(ISMS)的监视和测量结果会对JSMS的治理、管理、有效运行和持续改进有关的决策提供支持.与其余ISO/IEC27000系列标准一样，组织根据自身实际情况和需要考虑.辨释和调整本文件的内容.本文件中的概念和方法是广泛适用的，但任何特定组织所需的具体测度取决于在实践中差异很大的环境因素(如其规模,行业、成熟度、信息安全风跄、合规义务和管理风格).依据GB/T22080实施ISMS的组织使用本文件.但本文件没有为符合GB/T22080的ISMS提出

8、任何新的要求，也没有要求组织一定要汲守本文件提出的指南.按照GB/T22080-2016中9.1的要求对标准文本进行了奥新螟写，前言中仅列出了主要的技术变动，详细变动见本文件具体内容.信息技术安全技术信息安全管理监视、测量、分析和评价1范IS本文件提供了旨在协助组织评价信息安全续效和ISMS（信息安全管理体系）有效径，以满足GB/T22080-2016中9.1要求的指南.本文件规定了：a）信息安全绩效的监视和浏盘；b）ISMS（包括其过程和控制）有效性的监视和测量；c）监视和测量结果的分析和评价.本文件适用于各种类型和规模的组狙.2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件

9、必不可少的条款.其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件.只最新版本（包括所有的修改革）适用于本文件.GB/T22080-2016信息技术安全技术信息安全首理体系g（ISO/IEC27001:2013,IDT）ISO/1EC27000信息技术安全技术信息安全管理体系概述和词汇QnfOrmatiOnteChnOlogy-SecuritytechniquesInformationsecuritymanagementsystemsOverviewandvocabulary）注GB/T2924620231S息安全技术信息安全管理体系柢述和词汇（ISOIEC270002

10、O18.1DT）3术语和定义ISO/IEC27000界定的术语和定义适用于本文件.4结构和概述本文件的结构如下：a）基本原理（第5京）；b）特征（第6章）：c）测度的类型（第7章）；d）过程（第8堂）.这几章的排序旨在格助理解并与GB/T22080-2016中9.1的要求形成如图1所示的对应关系.组织首先识别满足要求所需的信息（称之为“信息需求“），然后确定用于满足信息需求的测度.监视和测量过程产生了随后要被分析的数据，用分析结果来评价是否满足蛆织的信息需求.注：测是确定一个慎的过程，测度是作为测量培集赋值的变.此外，附录A描述了信息安全测量模型,包括测量模型的组成部分与GB/T22080-2

11、016中9.1的要求之间的关系.附录B提供了一系列的示例.这些示例旨在就组织如何监觇、测量、分析和评价其所选择的ISMS过程和信息安全缥效领域提供实际指导.附录B中的示例使用了表】中给出的建议模板，附件C5基本原理5.1测量的必要性ISMSM总体目标是在其范围内保持信息的保电性.完整性和可用性，通过ISMS活动制定实现该目标的计划以及这些计划的实施.但是，仅这些活动本身并不签保证完成这些计划就能达到信息安全目标.因此,在GB/T22080规定的ISMS中，有多处要求组织评价计划和活动是否确保实现了信息安全目标.5.2满足G8/T22080的要求GB/T220802016的91要求组织评价信息安

12、全绩效和ISMS有效性，在第7章给出了能够满足这些要求的测度类型.GBZT220802016的9.1还要求姐织确定：a）需要破监视和测量的内容，包括信息安全过程和控制；b）适用的监视测量、分析和评价的方法，以确保得到有效的结果；注：所选的方法产生可比较H）可内现的有效结柒.C）何时应执行监视和测量；d）进应监视和测量；e）何时应分析和评价监视和测量的结果;0谁敢分析和评价这些结果.ES1提供了本文杵与这些要求的对应.最后，GBT220802016的9.1要求组织保留适当的文件作为监视和测量结果的证据（见8.9）.g）管理评审；h）文件化；i）审核.关于信息安全实施，最明显的候选对象是组织的信息

13、安全控制或这类控制的组合（甚至是整个风睑处置计划）.这些控制是通过风险处置过程腾定的并在G8/T22080中被称为必要的控制.它们能是GB/T22080-2016附录A中的控制、特定行业的控制（例如ISO/IEC27010等标准所规定的）、其他标准规定的控制和由姐织设计的控制.由于控制的目的是改变风险，因此有很多能被测量的属性,例如：j）控制措施降低事件发生的可能性的程度；k）控制措施减轻事件后果的程度；D控制措施在发生故障前对事态进行处理的频次；m）控制措施在聿态发生后多长时间内检海到事态.6.4 监视、测量、分析和评价的时间组织宜根据单个信息需求、所需的测度和支持单个测度的全生命周期的数据

14、,定义实施监视、测量、分析和评价的具体时间表.对支持测度所需数据的收集续次，可高于分析测度和向利益相关方报告该测度的频次,例如，显然锢连续收集安全事件的数据，但向外部利益相关方报告此类数据宜衽于特定要求，如严咬性（如发生应报告的违规时，可的需要立即告知）或拐计值（如发现和阻止企图入侵的情况）.组织直注意，为了满足某些信息需求,在进行分析和评价之前需要收集适当数量的数据，为评估和比较提供壬要星前（例如：进行统计分析时）.此外，监视.测量、分析和评价的过程可能需要涎试和微调，然后所形成的测度才可能对组织有用.因此，组织宜确定任何微调的时限（以便持续推进真正的目标：测量ISMS）,以及在开始分析和评

15、价之前，监视和收集宜持续多长时间.组织可能在更新其测量活动时调整其测量的时间表，以应对8.2中列出的具体环境变化.例如，如果组织正在从手动数据源过渡到自动数据源，则可能需要改变收集的频率.此外，需要一个基线来比较在不同时间点实地的、可能使用不同方法但都是为了满足同一信息需求的两蛆测度.组织能选择将其监视、测量、分析和评价活动写到一个测量方案中.但是，GBT22080没有要求组织要有这样一个方案.6.5 监视、熏.分析和评价的执行右组织（考虑到GB/T22080-2016中5.3和9.1的要求）宜规定负出实施监视、测量.分析和评价的个人或角色.监视、测量,分析和评价可以使用手动或自动的方式进行.无论测量是手动还是自动实施，妲织都锢规定以下与测量相关的角色和职责.a）测量的客户：要求或需要关于ISMS.