《信息技术 安全技术 信息安全管理体系审核指南-编制说明》

国家标准报批稿资料

一、工作简况

1、任务来源

根据国家标准化管理委员会2018年下达的国家标准制修订计划：《信息技术

安全技术信息安全管理体系审核指南》，该标准由北京时代新威信息技术有限

公司负责承办，计划号：2018BZXD-WG7-001。该标准由全国信息安全标准化技术

委员会归口管理。

2、主要起草单位和工作组成员

该标准由北京时代新威信息技术有限公司主要负责起草，协作起草单位为中

国网络安全审查技术与认证中心、中国电子技术标准化研究院、全国组织机构统

一社会信用代码数据服务中心，主要起草人：王新杰、王连强、郑玮、陈剑博、

张剑、程瑜琦、上官晓丽、王姣、孙镇、赵捷、孙泰、李晟飞。其中，王新杰、

王连强、张剑、上官晓丽、孙镇、赵捷负责编制过程总体领导，标准前言的编写，

以及全文校对；郑玮、陈剑博、程瑜琦、王姣、孙泰、李晟飞负责标准正文编写

以及相关背景资料的调研。

3、主要工作过程

标准制定的主要工作过程如下：

a)成立编制组。2018年8月，接到全国信息安全标准化技术委员会关于

标准制定任务之后，课题组负责人随即召集标准编制组的相关成员开

会，具体讨论和分配了小组的任务、标准修订的重要事项以及需注意

的事项。

b)形成标准草案。2018年8月-9月，标准编制组开展信息安全管理体系

审核指南的研究。标准编制组分析梳理了国内外信息安全管理体系审

核指南的应用情况，对ISO/IEC27007标准等文档进行了深入研究，

据此编制完成《信息技术安全技术信息安全管理体系审核指南》标

准草案。2018年10月18日，召开专家评审会，就标准草案征求部分

专家意见，并根据意见对草案进行了修改完善。

c)形成标准征求意见稿。2018年10月24日-26日，WG7工作组面向全

体工作组成员单位进行草案标准投票，表决通过，工作组建议形成征

国家标准报批稿资料

求意见稿。标准编制组根据意见进行修改完善，形成征求意见稿第一

稿。2018年11月28日，WG7开展工作组标准审查，编制组根据审查

意见对标准征求意见稿进行了修改完善。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、标准编制原则

本标准在编制过程中遵循了等同采用、准确理解和语言通畅的原则。

等同采用：基于目前国内对国际ISMS标准族相关标准的研究和转化情况，

以及我国整体信息安全管理理论和技术发展现状，决定等同采用国际标准

ISO/IEC27007《信息技术安全技术信息安全管理体系审核指南》最新版本。

准确理解：在充分理解国际标准原文的基础上进行等同翻译，做到准确表

达原意。

语言通畅：在等同翻译时，尽量符合中文的语言习惯，做到表述通畅。

2、标准解决的问题及主要内容

国家标准《信息安全技术信息安全管理体系审核指南》（GB/T28450-2012）

所引用的《质量和（或）环境管理体系审核指南》（GB/T19011-2003）和《信息

安全安全技术信息安全管理体系要求》（GB/T22080-2008）均已修订，管理体

系审核的基本流程、思路和方法已调整，且审核对象的内容也随着GB/T22080

的修订发生了变化，因此亟需制定并发布新版国家标准《信息安全管理体系审核

指南》。国际标准化组织也于2017年10月发布了新版标准《信息技术安全技术

信息安全管理体系审核指南》（ISO/IEC27007:2017）。因此，为给我国ISMS审

核认证机构及审核人员实施ISMS体系审核提供更加成熟的方法论和指导，有必

要等同采纳国际标准，重新修订GB/T28450-2012，为ISMS相关技术和应用提

供最新的基础标准支撑。

该标准在GB/T19011—2013的基础上，为信息安全管理体系（Information

SecurityManagementSystem，以下简称ISMS）审核方案管理、审核实施提供了

指南，并对ISMS审核员能力提供了评价指南。该标准适用于需要理解或实施

ISMS的内部或外部审核，或需要管理ISMS审核方案的所有组织。

三、主要试验[或验证]情况分析

标准编制组已请中国网络安全审查技术与认证中心等认证机构对《信息技术

安全技术信息安全管理体系审核指南》进行了试用，标准试用效果良好。

国家标准报批稿资料

四、知识产权情况说明

本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果

该标准作为实施指南，可为ISMS审核认证机构或内部审核组织的审核人员

提供ISMS审核（包括外部审核和内部审核）的指南，帮助其完成审核方案管理、

审核启动、审核活动准备、审核活动实施、审核报告编制和分发、审核完成、审

核后续活动实施等相关工作，

此外，该标准还可为ISMS审核认证机构或内部审核组织提供审核员管理指

南，帮助其对ISMS审核员实施有效管理，对ISMS审核员的能力进行定期评价，

以督促审核员能力的不断提升。

六、采用国际标准和国外先进标准情况

该标准等同采用国际标准ISO/IEC27007:2017《信息技术安全技术信息

安全管理体系审核指南》。

该标准宜与ISO19011:2011中包含的指南一起使用。该标准遵循ISO

19011:2011的结构，在ISMS审核中应用GB/T19011—2013实施的ISMS特定指南，

用字母“IS”加以标识。

七、与现行相关法律、法规、规章及相关标准的协调性

该标准符合现有法律法规的要求。

该标准与现有国家标准不矛盾、不冲突，也不重复。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

根据该标准的性质，建议该标准为推荐性标准。

十、贯彻标准的要求和措施建议

该标准是信息安全管理体系的基础性标准，是ISMS审核人员开展ISMS审核工

作的基本工具，因此建议在所有ISMS审核人员（包括内部审核人员和外部审核人

员）中进行宣贯和培训。

十一、替代或废止现行相关标准的建议

建议该标准替代《信息安全技术信息安全管理体系审核指南》（GB/T

284