GB/T 28450-2026网络安全技术信息安全管理体系审核指南

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T28450—2026/ISO/IEC270072020

:

代替GB/T28450—2020

网络安全技术

信息安全管理体系审核指南

Cybersecuritytechnology—Guidelinesforinformationsecuritymanagement

systemsauditing

ISO/IEC270072020Informationsecuritcbersecuritandrivacrotection—

(:,y,yypyp

GuidelinesforinformationsecuritmanaementsstemsauditinIDT

ygyg,)

2026-05-25发布2026-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T28450—2026/ISO/IEC270072020

:

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

审核原则

4…………………1

审核方案的管理

5…………………………1

总则

5.1…………………1

确立审核方案的目标

5.2………………1

确定和评价审核方案的风险和机遇

5.3………………2

建立审核方案

5.4………………………2

实施审核方案

5.5………………………3

监视审核方案

5.6………………………4

评审和改进审核方案

5.7………………4

审核的实施

6………………4

总则

6.1…………………4

审核的启动

6.2…………………………4

审核活动的准备

6.3……………………4

审核活动的实施

6.4……………………5

审核报告的编制和分发

6.5……………6

审核的完成

6.6…………………………6

审核后续活动的实施

6.7………………6

审核员的能力和评价

7……………………6

总则

7.1…………………6

确定审核员能力

7.2……………………6

建立审核员评价准则

7.3………………7

选择适当的审核员评价方法

7.4………………………7

进行审核员评价

7.5……………………7

保持并提高审核员能力

7.6……………7

附录资料性审核实践指南

A()ISMS……………………8

概述

A.1…………………8

总则

A.2…………………8

关于对文件化信息要求的指南

A.3GB/T22080—2025……………8

适用性声明

A.4………………………10

Ⅰ

GB/T28450—2026/ISO/IEC270072020

:

其他文件化信息

A.5…………………10

注释

A.6………………10

审核指南

A.7ISMS……………………10

参考文献

……………………34

Ⅱ

GB/T28450—2026/ISO/IEC270072020

:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技术安全技术信息安全管理体系审核指南与

GB/T28450—2020《》,

相比除结构调整和编辑性改动外主要技术变化如下

GB/T28450—2020,,:

删除了审核方案的管理一章中总则建立审核方案及识别和评估审核方案风险的所有

———“”“”“”“”

内容见年版的

(20205.1、5.3.4);

删除了审核方案的管理一章中规划时所确定的风险和机会见年版的

———“”“ISMS”[2020

5.2.1d)];

删除了审核方案的管理一章中实施审核方案中的规定每次审核的目标范围和

———“”“”“IS5.4.2、

准则的评价维护和有效改进的过程见年版的

”“ISMS”[20205.4、5.4.2.1b)];

删除了实施审核一章中审核报告的分发中在分发审核报告时宜采取适当措施确保报告

———“”“”“,

的保密性见年版的

”(20206.5、6.5.2.1)。

本文件等同采用信息安全网络安全和隐私保护信息安全管理体系审核

ISO/IEC27007:2020《

指南

》。

本文件做了下列最小限度的编辑性改动

:

将标准名称改为网络安全技术信息安全管理体系审核指南

———《》;

增加了附录中针对变更的规划见

———A(A.3.3);

更改了附录持续改进和不符合纠正措施顺序

———A。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位北京时代新威信息技术有限公司中国网络安全审查认证和市场监管大数据中

:、

心中国电子技术标准化研究院中国合格评定国家认可中心全国组织机构统一社会信用代码数据服

、、、

务中心广州赛宝认证中心服务有限公司国家计算机网络应急技术处理协调中心中国网络空间研究

、、、

院国家计算机病毒应急处理中心北京赛西认证有限责任公司北京神州绿盟科技有限公司启明星辰

、、、、

信息技术集团股份有限公司三六零数字安全科技集团有限公司瀚高基础软件股份有限公司长扬科

、、、

技北京股份有限公司岚图汽车科技股份有限公司天翼安全科技有限公司北京源堡科技有限公司

()、、、、

罗克佳华科技集团股份有限公司中标华信北京认证中心有限公司浪潮软件集团有限公司中国民

、()、、

航信息网络股份有限公司陕西省网络与信息安全测评中心浙江省发展信息安全测评技术有限公司

、、、

杭州高新区滨江区块链与数据安全研究院中移动信息技术有限公司中检集团天帷网络安全技术

()、、

合肥有限公司

()。

本文件主要起草人王新杰王连强杨玉忠付志高程瑜琦王姣王寒生翟亚红魏立茹孙镇

:、、、、、、、、、、

赵捷陈艳鲁立潘文博崔牧凡宋首友刘盈颖赵丽华叶晓虎张睿杨天识张靖琦冯明冉张亚京

、、、、、、、、、、、、、、

徐晓琳方宇梁露露李玮薛学琴刘伯钊孟建李恩哲马卓元陈恩惠魏遵博高运霞胡兴元

、、、、、、、、、、、、、

孙苏炜陈明辉毕建发张巍巍石巍

、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为年第一次修订

———2012GB/T28450—2012,2020;

本次为第二次修订

———。

Ⅲ

GB/T28450—2026/ISO/IEC270072020

:

网络安全技术

信息安全管理体系审核指南

1范围

本文件在的基础上提供了对信息安全管理体系审核方案管理审核

GB/T19011—2021,(ISMS)、

实施以及审核员能力等方面的指南

,ISMS。

本文件适用于需要理解或实施的内部或外部审核或需要管理审核方案的所有组织

ISMS,ISMS。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

管理体系审核指南

GB/T19011—2021(ISO19011:2018,IDT)

信息安全技术