《信息技术 安全技术 信息安全控制措施审核员指南》编制说明

一、工作简况

1.1任务来源：

《信息技术安全技术信息安全控制措施审核员指南》是全国信息安全标准

化技术委员会（全国信息安全标准化技术委员会秘书处）2012年下达的信息安

全国家标准制定项目，由中国电子技术标准化研究院主要负责起草。工业和信息

化部电子第五研究所、中国合格评定国家认可中心、北京赛西认证有限责任公司、

北京时代新威信息技术有限公司等单位共同参与了该技术规范的起草工作。本指

导性技术文件由全国信息安全标准化技术委员秘书处提出并归口，由中国电子技

术标准化研究院承担。

1.2主要工作过程：

1.2012.12-2013.3系统化查阅并梳理标准法、审计法、安全法、认证认可

条例等文件与信息安全相关内容的总结，提出标准草案。

2.2013.4-2013.6对已形成的《信息技术安全技术信息安全控制措施审核

员指南》标准草案组织两次专家项目组内部评审，并就技术性翻译和标准中信息

技术说明进行了修订。专家来自中国合格评定国家认可委员会、工业和信息化部

电子第五研究所、中国电子技术标准化研究院等。

3.2013.7--2013.11草案组内专家评审会，会后按照专家意见对文本进行

了修改完善，形成了第二版草案文本。

4.2013.12-2013.12通过了安标委WG7组的草案专家审查会。会后按照专家

意见，对文本进行了修改完善，形成了最终草案文本。

5．2014年3月18日通过WG7组全体成员单位投票，投票通过率100%。会

后根据各成员单位意见对标准草案文本进行了修改完善，形成标准征求意见稿文

本。

二、编制原则和主要内容

2.1编制原则：

《信息技术安全技术信息安全控制措施审核员指南》是信息安全管理体系

标准族中标准之一。目前，我国在参考借鉴国际信息安全管理体系标准族

（ISO/IEC27000系列）的基础上，等同转化了ISO/IEC27001:2005《信息技术

安全技术信息安全管理体系要求》（对应国家标准GB/T22080:2008）、ISO/IEC

27002:2005《信息技术安全技术信息安全管理使用规则》（对应国家标准GB/T

22081:2008）、ISO/IEC27006:2007《信息技术安全技术信息安全管理体系认

证机构认可要求》（对应国家标准GB/T25067-2010）和ISO/IEC27007:2007《信

息安全管理体系审核指南》（对应国家标准GB/T28450-2012），为国内各机构开

展信息安全管理体系认证工作提供了依据和技术支撑。

本指导性技术文件编制过程中，按照GB/T1.1-2009给出的规则起草，同

时参考国家、信息安全相关法律、法规和标准的要求实施。鉴于该技术规范在整

个信息安全管理体系标准族中的定位是一个技术性、指导性的标准，对于指导用

户了解和落实该系列标准具有重要的作用；结合我国信息安全管理体系相关标准

的研制现状，从国际信息安全管理体系系列标准转化的完整性上讲，应为国内标

准用户提供一份标准前后内容一致的参考指南。鉴于此编制组决定本指导性技术

文件等同采用国际标准ISO/IEC27008:2011《信息技术安全技术审核员信息

安全控制措施审核指南》。

2.2主要内容

本指导性技术文件是对GB/T22080—2008ISMS要求（ISO27001:2005

IDT）、GB/T22081—2008ISMS实施规范（ISO27002:2005IDT）、GB/Txxxxxx

—yyyy（ISO/IEC27007:2008IDT）信息安全管理体系审核指南相关审核活动的

技术性补充，定位为对信息安全管理体系安全控制措施审核提供技术性指南。

本指导性技术文件主要框架如下：

前言

引言

1．范围

2．规范性引用文件

3．术语和定义

4．技术报告的结构

5．背景

6．信息安全控制措施评审概述

6.1评审过程

6.2资源配置

7．评审方法

7.1概述

7.2评审方法：检查

7.2.1概述

7.2.2属性

7.3评审方法：访谈

7.3.1概述

7.3.2深度属性

7.3.3广度属性

7.4评审方法：测试

7.4.1概述

7.4.2测试类型

7.4.3扩展的评审规程

8活动

8.1准备

8.2制定计划

8.2.1概述

8.2.2范围

8.2.3评审规程

8.2.4与对象有关的考虑

8.2.5以往的发现

8.2.6工作分配

8.2.7外部系统

8.2.8信息资产和组织

8.2.9扩展的评审程序

8.2.10优化

8.2.11定稿

8.3实施评审

8.4分析并报告结果

附录A（资料性附录）技术符合性检查实践指南

附录B（资料性附录）初始信息收集（除信息技术以外）

B.1人力资源和安全

B.2策略

B.3组织

B.4物理和环境安全

B.5事件管理

上整体框架中，重点内容为：

要素说明

6.1信息安全管理体系的评审是一个系统的过程,评审过程包括收集相关信息,

评审过程评审工作计划的范围,联络管理人员和组织相关部门负责人,评审风险评估

等活动。

6.2对信息安全控制措施的评审，审核员应具备相应的对风险和安全进行评价的

资源配备能力、知识和经验。同时为实现评审目标，在要求范围内实施评审却未具有

相应的能力，应安排技术专家和资源。

7.2检查、检验、评审、观察、研究或者分析一个或多个评审对象以便理解、澄

评审方法:检清或获取证据的过程及其结果是用来支持确定评审区间内存在控制措施，及

查其功能性、正确性、完整性和潜在改进的可能性。

检查的对象通常包括：规范、机理和过程。

评审的检查活动包括审核员在审核过程中的各类观察活动。

检查的分类有：一般性检查、重点检查、详尽检查、典型检查、特定检查和

全面检查。

7.3访谈是指与组织内的个人或者小组进行讨论，以便于理解、澄清或者找到证

评审方法:访据出处的过程。访谈的结果用于支持确定信息安全控制措施的存在、功能性、

谈正确性、完整性以及潜在的持续改进。

访谈的对象包括一个组织中各类可能与信息安全有关联的人员。

访谈的深度属性分类有：一般访谈、重点访谈、详尽访谈。

广度属性指的是访谈过程的范围或者宽度，属性包括被访谈的人员，人员数

量，以及某些特定的人员。具体的访谈方式有：典型访谈、特定访谈和全面

访谈。

7.4测试是指在规定条件下运行一个或多个评审对象，并将实际情况与期望的行

评审方法:测为进行对比的过程。其结果用来支持确定信息安全控制措施的存在、功能性、

试正确性、完整性以及潜在的持续改进。

测试必须由有能力的专家来执行，执行的同时须考虑各种因素和技术性环境

且得到管理层的批准。测试的活动包括信息安全管理体系及其要求或功能或

活动等。

测试的类型：盲测，双盲测，灰盒测试、双灰盒测试、透明测试、逆向测试。

8.1为获得可接受的结论，重要的是在评审前、评审中和评审后建立并保持一组

准备适当的期望。这意味着为管理层提供信息，使其能够针对如何最佳地实现和

运行信息系统做出合理的、基于风险的决策。组织和审核员的充分准备是进

行有效评审的重要环节。准备活动宜关注一系列与成本、进度、专业知识的

可用性和评审绩效等相关的问题。

8.2制定评审控制措施计划的审核员宜确定控制措施评审的类型（例如，完整评

制定计划审或部分评审），以及基于评审的范围和目的确定评审中将包含哪些控制措

施/控制措施增强。审核员宜评估和降低评审活动对组织正常运营的风险和影

响（可能时），并基于评审中所涉及的控制措施和控制措施增强以及它们关

联的深度和覆盖范围，选择合适的评审规程。

8.3实施评组织批准评审计划后，审核员根据商定的里程碑和日程执行计划。针对已选

审择的评审对象应用设定的评审方法，并收集/形成与每个评审目标决策相关

的必要信息，以此实现评审目的。

8.4分析并评审报告作为评审输出和最终评审结果，记录了基于已实现的信息安全控制

报告结果措施的信息安全保障水平。报告内容包括审核员作出的判断所使用控制措施

有效性的必要信息以及基于其发现所作出的组织在实施所选择和适当的控

制措施时的整体有效性的信息。

附录附录A为技术符合性检查实践指南，且给安全实施标准提供了符合性检查程

A序。“设想的证据”给出了一些系统、文件、文件或其他物品的例子，可被

视为符合性检查程序的“证据”。“方法”提供了一种合适的与以上实践

指南一致的技术符合性检查方法。

本附件不为技术符合性检查提供详尽的实践指南，但将仍尽最大可能地帮助

组织评审安全实施标准是否适当地实现或运行。

1.防范恶意代码控制措施的技术性检查；

2.审计记录控制措施的技术性检查；

3.特殊权限管理控制措施的技术性检查；

4.备份控制措施的技术性检查；

5.网络安全管理控制措施的技术性检查；

6.用户职责责任控制措施技术性检查。

附录信息安全审核组组长应在相应信息安全领域分配有相应能力和经验的信息

B安全控制措施评审审核员。

1.人力资源和安全

2.策略

3．组织

4.物理环境安全

5.事件管理

三、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

本指导性技术文件制定与目前国家开展信息安全管理体系认证工作紧密相

关，作为了解和实施信息安全管理体系标准族的技术标准之一，本指导性技术文

件与ISO/IEC27007相互补充，相辅相成。为按照风险评估的结果所选择的控制

措施提供了审核的指导；同时标准提供了对运营和实施控制措施是否符合组织已

建立的信息安全标准审核的指南，包括信息系统控制措施的技术符合性检查。本

指导性技术文件有利于用户根据需要，选择不同的技术进行实施，以保障信息安

全控制措施评审的有效性。本指导性技术文件作为基础标准，不与直接的经济效

益挂钩，但作为了解和掌握ISMS标准族，有效地促进国家信息安全管理体系认

证工作来讲，具有基础而重要的意义。

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的

对比情况，或与测试的国外样品、样机的有关数据对比情况

本指导性技术文件等同采用ISO/IECTR27008:2011，在标准转换期间为准

确定义术语以及对信息安全管理体系审核技术正确把握，参考了如下国家标准或

未等同采用的国际标准：

GB/T25069-2010《信息安全技术术语》

ISO/IEC27000:概述和词汇

GB/T22080—2008idtISO27001:2005ISMS要求

GB/T22081—2008idtISO27002:2005ISMS实施规范

ISO/IEC27003:2008ISMS实施指南

ISO/IEC27004:2009指标与测量

ISO/IEC27005:2008风险管理

ISO/IEC27006:2006认证机构的认可要求

ISO/IEC27007:2007信息安全管理体系审核指南

GB/T19000-2008idtISO9000:2005质量管理体系基础和术语

GB/T19001-2008idtISO9001:2008质量管理体系要求

GB/T19004-2000idtISO9004:2000质量管理体系过程控制能力

GB/T19011-2003idtISO19011:2002质量/或环境管理体系审核指南

五、与有关的现行法律、法规和强制性国家标准的关系

本指导性技术文件严格按照《中华人民共和国标准化法》的规定进行转换。

按照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》给出的

规则起草。本指导性技术文件是GB/T22081—2008ISMS实施规范（ISO

27002:2005IDT）对组织进行审核活动的具体要求，同时也是对其进行支持的

技术性报告。

本指导性技术文件为推广性技术报告，转换时严格按照中国有关的现行法

律、法规和强制性国家标准的要求进行，内容均符合中国现行有关法律、法规的

规定，标准所提供的控制措施审核方案、技术或建议等均为技术性指南。

六、重大分歧意见的