GB_T 31497-2024 信息技术 安全技术 信息安全管理 监视、测量、分析和评价.docx

ICS35.030CCS1.80GB中华人民共和国国家标准GB/T314972024/ISO/IEC27004:2016代替GB/T314972015信息技术安全技术信息安全管理监视、测量、分析和评价InformationtechnologySecuritytechniquesInformationsecuritymanagementMonitoring,measurement,analysisandevaluation(ISO/IEC27004：2016.IDT)2024-10-01实施2024-03-15发布国家市场监督管理总局国家标准化管理委员会前言In引言IV1111S甲222354½fc36特征361概述362监视内容463*jAK456-5口!平f介的君57测度的类型66672有M件利I庭68过程781螃782tP别信息需求8811心视Hl引Ifll1186分析结果118.7评价信息安全埔效和ISMS有效性128.8评审和改进监视、测量、分折和评价过程1212附录A（密科性）信息安全JH量模型1315附录C（资料性）自由文本测量构造示例42制寸3ma，玄*枇、uo1)cu=ICCu*CODoi三gIgTde年AN用尔NAViS4J<30/IZZUolUIbz9IbU/lt1.zZUUZZUZZra<W11jAjM-4349本文件按照GB/T1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草.本文件代替GB/T31497-2015信息技术安全技术信息安全管理测量,与GB/T31497-2015相比，除结构调整和编相性改动外，主要技术变化如下：a）更改了"范国”的表述（见第1章,2015年版的第1章）；b）更改了第5章的标即和内容,标题由“信息安全测量极述"修改为“基本除理“，剧掉了"信息安全测量模型"相关内容（见第5章,2015年版的第5章）；c）卅除了管理职击”（见2015年版的第6章）；d）增加了特征”（见第6章）；e）更改了测度的类电将“基本测度"和"导出我展"更改为.实施进度的测度"和韦效性测度”仞第7章，2015年版的第5章）；f）更改了信息安全管理监视.测量.分析和评价的过程（见第8章,2015年版的第8章、第9章和第10三）.本文件等同采用1S0/IEC27004:2016信息技术安全技术信息安全管理监视、测量、分析和评价.本文件做了下列最小限度的编辑性改动：a）增加了有利于理解本文件的注（见第4章,5.2）;b）增加了资料住附录NA给出了GB/T220812016与1S0/IEC27002：2022中控制的对应关系（见酎录NA）.请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的去任.本文杵由全国网络安全标准化技术委员会（SAC/TC260）提出并归口.本文件起芦单位：中国电子技术标准化研究院、中国合格评定国家认可中心、北京赛西认证有限责任公司、机州安恒信息技术股份有限公司.北京邮电大学、上海三等卫士信息安全有限公司、道普信息技术有限公司.中电长城网际系统应用有限公司.北京航空航天大学.华为技术有限公司.中国科学院信息工程研究所、西安电子科技大学、击庆邮电大学、中国网络安全市直技术与认证中心、国家工业信息安全发展研究中心.北京中关村实后空、上海观安信息技术股份有限公司.北京天融信网络安全技术有限公司、国家计算机网络应急技术处理协理中心、公安部第三研究所.山东正中信息技术股份有限公司、重庆市信息通信咨询设计院有限公司、启明星辰信息技术集团股份有限公司、西安交大捷音网络技术有限公司、国网新疆电力有限公司电力科学研究院、广东省信息安全测评中心、长扬科技（北京）股份有限公司、北京源窣科技有限公司、云智怒（北京）科技有限公司、远江盛邦（北京）网络安全科技股份有限公司.新华三技术有限公司.本文件主要起草人:上官晓明.王惠莅.付志高.许玉哪、王东浜、周亚超.赵健华*闵京华、伍前红.史文征.张东举、干露,邵萌、刘俊荣、就工、马文平.黄永洪、魏立茹、蟠匕、杨光、陆月明、5三.崔牧凡.郭氟吕明.陈长松、Gt濒势.陈星佑.彳可注锌、领蜿.Rt劲宏.赵华.梁露露.戚依军.王晶.权晓文.万晓兰.陈纪扬.本文件及其所代替文件的历次版本发布情况为：一2015年苜次发布为G8/T31497-2015；一本次为第一次修订.本文件旨在帮助组织评价信息安全绩效和信息安全管理体系的有效性，以满足GB/T22080-2016中9.1.监视.S®.分腼评价”的要求.信息安全管理体系(ISMS)的监视和测量结果会对JSMS的治理、管理、有效运行和持续改进有关的决策提供支持.与其余ISO/IEC27000系列标准一样，组织根据自身实际情况和需要考虑.辨释和调整本文件的内容.本文件中的概念和方法是广泛适用的，但任何特定组织所需的具体测度取决于在实践中差异很大的环境因素(如其规模,行业、成熟度、信息安全风跄、合规义务和管理风格).依据GB/T22080实施ISMS的组织使用本文件.但本文件没有为符合GB/T22080的ISMS提出任何新的要求，也没有要求组织一定要汲守本文件提出的指南.按照GB/T22080-2016中9.1的要求对标准文本进行了奥新螟写，前言中仅列出了主要的技术变动，详细变动见本文件具体内容.信息技术安全技术信息安全管理监视、测量、分析和评价1范IS本文件提供了旨在协助组织评价信息安全续效和ISMS（信息安全管理体系）有效径，以满足GB/T22080-2016中9.1要求的指南.本文件规定了：a）信息安全绩效的监视和浏盘；b）ISMS（包括其过程和控制）有效性的监视和测量；c）监视和测量结果的分析和评价.本文件适用于各种类型和规模的组狙.2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件.只最新版本（包括所有的修改革）适用于本文件.GB/T22080-2016信息技术安全技术信息安全首理体系g（ISO/IEC27001:2013,IDT）ISO/1EC27000信息技术安全技术信息安全管理体系概述和词汇QnfOrmatiOnteChnOlogy-SecuritytechniquesInformationsecuritymanagementsystemsOverviewandvocabulary）注GB/T2924620231S息安全技术信息安全管理体系柢述和词汇（ISOIEC270002O18.1DT）3术语和定义ISO/IEC27000界定的术语和定义适用于本文件.4结构和概述本文件的结构如下：a）基本原理（第5京）；b）特征（第6章）：c）测度的类型（第7章）；d）过程（第8堂）.这几章的排序旨在格助理解并与GB/T22080-2016中9.1的要求形成如图1所示的对应关系.组织首先识别满足要求所需的信息（称之为“信息需求“），然后确定用于满足信息需求的测度.监视和测量过程产生了随后要被分析的数据，用分析结果来评价是否满足蛆织的信息需求.注：测是确定一个慎的过程，测度是作为测量培集赋值的变.此外，附录A描述了信息安全测量模型,包括测量模型的组成部分与GB/T22080-2016中9.1的要求之间的关系.附录B提供了一系列的示例.这些示例旨在就组织如何监觇、测量、分析和评价其所选择的ISMS过程和信息安全缥效领域提供实际指导.附录B中的示例使用了表】中给出的建议模板，附件C5基本原理5.1测量的必要性ISMSM总体目标是在其范围内保持信息的保电性.完整性和可用性，通过ISMS活动制定实现该目标的计划以及这些计划的实施.但是，仅这些活动本身并不签保证完成这些计划就能达到信息安全目标.因此,在GB/T22080规定的ISMS中，有多处要求组织评价计划和活动是否确保实现了信息安全目标.5.2满足G8/T22080的要求GB/T220802016的91要求组织评价信息安全绩效和ISMS有效性，在第7章给出了能够满足这些要求的测度类型.GBZT220802016的9.1还要求姐织确定：a）需要破监视和测量的内容，包括信息安全过程和控制；b）适用的监视'测量、分析和评价的方法，以确保得到有效的结果；注：所选的方法产生可比较H）可内现的有效结柒.C）何时应执行监视和测量；d）进应监视和测量；e）何时应分析和评价监视和测量的结果;0谁敢分析和评价这些结果.ES1提供了本文杵与这些要求的对应.最后，GBT220802016的9.1要求组织保留适当的文件作为监视和测量结果的证据（见8.9）.g）管理评审；h）文件化；i）审核.关于信息安全实施，最明显的候选对象是组织的信息安全控制或这类控制的组合（甚至是整个风睑处置计划）.这些控制是通过风险处置过程腾定的并在G8/T22080中被称为必要的控制.它们能是GB/T22080-2016附录A中的控制、特定行业的控制（例如ISO/IEC27010等标准所规定的）、其他标准规定的控制和由姐织设计的控制.由于控制的目的是改变风险，因此有很多能被测量的属性,例如：j）控制措施降低事件发生的可能性的程度；k）控制措施减轻事件后果的程度；D控制措施在发生故障前对事态进行处理的频次；m）控制措施在聿态发生后多长时间内检海到事态.6.4 监视、测量、分析和评价的时间组织宜根据单个信息需求、所需的测度和支持单个测度的全生命周期的数据,定义实施监视、测量、分析和评价的具体时间表.对支持测度所需数据的收集续次，可高于分析测度和向利益相关方报告该测度的频次,例如，显然锢连续收集安全事件的数据，但向外部利益相关方报告此类数据宜衽于特定要求，如严咬性（如发生应报告的违规时，可的需要立即告知）或拐计值（如发现和阻止企图入侵的情况）.组织直注意，为了满足某些信息需求,在进行分析和评价之前需要收集适当数量的数据，为评估和比较提供壬要星前（例如：进行统计分析时）.此外，监视.测量、分析和评价的过程可能需要涎试和微调，然后所形成的测度才可能对组织有用.因此，组织宜确定任何微调的时限（以便持续推进真正的目标：测量ISMS）,以及在开始分析和评价之前，监视和收集宜持续多长时间.组织可能在更新其测量活动时调整其测量的时间表，以应对8.2中列出的具体环境变化.例如，如果组织正在从手动数据源过渡到自动数据源，则可能需要改变收集的频率.此外，需要一个基线来比较在不同时间点实地的、可能使用不同方法但都是为了满足同一信息需求的两蛆测度.组织能选择将其监视、测量、分析和评价活动写到一个测量方案中.但是，GBT22080没有要求组织要有这样一个方案.6.5 监视、熏.分析和评价的执行右组织（考虑到GB/T22080-2016中5.3和9.1的要求）宜规定负出实施监视、测量.分析和评价的个人或角色.监视、测量,分析和评价可以使用手动或自动的方式进行.无论测量是手动还是自动实施，妲织都锢规定以下与测量相关的角色和职责.a）测量的客户：要求或需要关于ISMS.控制或控制组的有效性相关的信息的管理层和其他利益相关方.b）测量策划者：将可测量属性关联到特定信息需求并完成测量构造的人或部门.C）测量评审者：确认已制定的测量构造是否适合于评价信息安全续效和ISMS,控制或控制姐有效性的人或部门.d）信息所有者：拥有为测度提供输入信息的人或部门.该人员负责显供数据，并常常（但并不一定）负贪实施测活动.e）信息收集者：负贪收集、记录和存储数据的人员或部门.f）信息分析考：负击分析数据的人员或部门.g）信息沟通者：负去传达分析结果的人或部门.效性和影晌.这些测度直被用于确定ISMS过程和信息安全控制是否按预期运行并达到预期结果.根据这些目标，有效性测度能用来量化以下指标,如：a） ISMS节约的成本或通过处理信息.安全事件产生的成本；b） ISMS获得/维持的客户信任程度；C）其他信息安全目标的实现.通过将自动监视和评价工具获得的数据与关于ISMS活动的手动导出数据相结合，的建立有效性测度.这需要以一种能宜接与ISMS活动和信息安全事件联系起来的方式，在组织范围内跟踪各种测度.为实现这一目标，组织宜只备以下方面的能力：d）通过实施进度测度，对ISMS过程、控制或控制组的实施程度进行评价；e）从自动监视和评价工具收集数据；f）从ISMS活动中手前收桀数据；g）对来自多个自动化和人工来源的数据进行规范化和分析；h）向决策者解释并报告该数据.有效住测度将风险处世计划的实现信息与各种资源信息结合起来.锢为风险管理过程提供输人.它还能为信息安全对组裂的价值提供最口接的洞察，也是高层管理人员最感兴趣的内容.示例3：众所闾知，对巳知的防依住的利用处引发信息安全事件的主要原因.巳知SieS住的数量领多，它力未被处理的时其长（如打补丁），它们被相关腰粉利用的可胡性就Ie大，相关的风险U费的可幄性也就越大.有效性测度能蒂助编织Sa定由比类傀弱性引起的风桧营情况.示例4：培训僚程中各个模块都有特定的培训目标.有效性SS度能帮助出煤确定每个培口参与召对每一放学电元的理能程（5.以及能应用新知识和技统的程ST.这些利度通常需要多介数空点,例如：培训后测试的结策.与培训主IH相关的事杵数据测试,或古是分析与培训主题Ifl关的煦务台电话.8过程8.1 概述a)bc)de)4监视.测量*分析和评价（如图2所示）包括以下过程：识别信息需求；建立和维护测度；建立规程；监视和测量；分析结果；评价信息安全实施和ISM闲效性.此外，它还包括一个对上述过程进行评审和改进的ISMS管理过程，见88.图2监视.笈、分析和评估过程8.2 识别信息需求建立测度宜首先识别信息需求，这有助于了解ISMS各个方面的运行特征和/或绩效，比如ISMS的以下方面.a）利益相关方的需求.b）组织的战略方向.C）信息安全策略和目标.d）风险处置计划.宜开展以下活动以确定有关的信息需求.e）检宙ISMS及其过程和其他要索，如：D信息安全第咯和目标、控制目标W控制；2）信息安全的法律法规,规章、合同和坦织要求；3）信息安全风睑笆理过程的结果.f）基于以下准则对已识别的信息需求进行优先级排序，如：1）风险处款优先级；2）组织的能力和资源；3）利益相关方需求；4）信息安全策略和目标，以及控制目标；5）满足组织、法律法规、规章和合同所需的信息；6）通过测量荻得的信息的价值与相应的测量成本.g）从优先级列表中选择需要通过测量来满足的某一项信息需求.h）将选定的信息需求编制成文件，并传达给所有利益相关方.8.3 建立和维护潴度8.3.1 概述组织宜建立洲度，然后技计划的时间间隔或当ISMS环境发生正大变化时，评出并系统性地更新这些测度.这类变化可能包括：a）ISMsa9范围；b）组织结构；c）利益相关方,包括利益相关方的角色.职责和权限；d）经营目标和要求；e）法律法规和规章；f）在脑后几个周期内取洱的稳定的预期结果；9）信息处理技术和系统的引入或处置.建立或更新这些测度可能包括以下步骤：h）识别可支持信息需求的现有安全实践；i）开发或更新测度；j）记录测度并定义实施的优先次序；k）保持管理层知情和参与.更新海度所花卷的时间和精力预计会少于最初建立测度所需的.8.3.2 识别支持信息高求的现有安全实践一旦确定了信息需求，组织宜将现有的测和安全实践作为测量的潜在组成部分编入清单.已有的测量和安全实践可能包括以下方面的测量：a）风险管理；b）项目管理；c）合规报告；d）安全策略.8.3.3 开发或更新测度测度宜晌应信息需求,它既能依赖现有的实践，也能是需要新的实践.新确定的测度还能涉及对现有3!度或测量过程的调整.无论如何，都宜充分详细地定义所确定的测度，以便于这些测度的卖地.例如，为支持安全涎度而可能收集的数据包括：a）各种日志和扫描的输出；b）培训和其他人力资源活动的统计数据；c）相关调直和问卷；d）事件统计；e）内部审核的结果；f）业若连续性/灾造恢复演练的结果；9）管理评审的报告.宜检有上述及其他可能的内部或外部数据来源，并识别现有数据的类型.所选择的测度宜支持信息需求的优先级，并能考虑：h）数据收集的便利住;i）收集和管理数据所需人力奥源的可用性；j）适当工具的可用性；k）该测度支持的潜在相关绩效指标的教员;D是否易于我释；m）已有测量结果的用户数量；n）表照该测度能够满足目的或信息需要的证据；o）收集.管理和分析数18所需的成本.组织宜按照一种格测度与相关的信息需求（或其他需求）关联起来的形式来记录每项测度，并提供关于猫述测度的特征以及如何收集、分析和报告它的足够信息.表1提供了浇议的信息描述符.附录B中的示例使用表1作为模板,其中两个示例（即B.20和B.28）有一个附加的佶息描述符（称为"措施”），它定义了当目标未满足时要采取的措题.组织若认为该信息描述符有用,可将其包括在内.描述测量构造的方法不止一种，附录C庶示了另一种自由文本形式的方法.需要注怠的是，可能需要提供不同的31度来满足不同内部或外部测量客户的需求（如表1所示）.例如，解决高层笆理人员信息需求的测度可能与面向系统停理员的测度不同（如，各利益相关方可以有特定的范围、仰无点或颗为度）.每个测度宜至少对应一个信息需求，而单个信息需求可能需要多个测度.姐织宜谨慎使用主观测度，因为由两个或更多的主观测度姐合而成的测度可锢会对段终结果产生不利影响.表1安全潴度描述符示例信息Ia述符意义或目的测度ID特定的标0彷信息需求津解该JS度作用的全面需求测度津*眼.TSfflF分比”,数宇.拔率和平均专词来描述公式/得分如何对ShSia行评桁.计w或计分目标测的期望结冠，例如，一个里程碑成一个统计测度或一值馔Kfi.请注意，可能霭受若住监测以确保目标持续实现实施的运率结证测交摄的证息方助于识别不理想结展的可靛原因，并为过程涔供输入.为公式提供相入的数笈侦¥数推收集和报告的叛率,有各个旗率JB任方负JB收修和处律沸假的人员.至少宜识别信g所有者.信g收集者和测量的客户散兆阻潜在的数把理可能是双智库.电快的其他部门.外部姐织或特定的个人角色流度的收集柏报告方式,例如，以文本.致字、图形描图.图表.折笠图.条形Bg筲）,作为"仪表板”SEH他现示形式的一部分用枚集一次数据并将只用于多种目的的方式来定义测度十分而耍.在理想情况下，同样的数据宜支持各种类型的测度，以响应买个不同利益相关方的信息需求.还要注意，最容易实现的测度不一定是最有意义的或最相关的.目标宜说明特定测度在涉及ISMS过程和控制的实施、信息安全目标的实现以及ISMS有效性评价方面的限终预期状态.得到与现有测度或所选测度有关的历史数据旎有助于目标的制定.过去观察到的趋势在某些情况下能帮助了解以前的绩效状况，并指导创建可实现的目标但是，坦织还宜注意，如果未经适当考虑而只根据以前取得的成果或以往的绩效来设定目标，能使现状保持不变，甚至阻碍持续改进.8.3.4 记录测度和实施优先圾次序定义所需测度后，宜根据每项信息需求的优先圾和获取数据的可行性，对测度集进行文档化，并确定实施的优先次序.首先宜成行实施进度测度,以确保实施了ISMS的过程及其控制,一旦实施进度测度产生了目标值，则也可能实施有效性测度.关于何时实施监视和相关活项的指南见6.4.8.3.5 保持管理层的知情和参与组织中不同层级的管理人员需要参与测的开发和实施，以使这些测能够反映管理人员的需求.此外，宜定期以适当格式和形式向管理层报告最新的信息，确保管理层在测度的开发、实施和应用的整个过程中始终了解安全海量活动.8.4 建立规程实施已定义的和已明确实施先后次序的测度时，采取以下步鼐.a）宜使叁与安全测量过程的利益相关方了解测量活动及其基本原理.b）宜确定数据的收集和分析工具，并在需要时进行调整，以有效且高效地收集测度.组织宜建立数据收集、分析和报告测度的规程，举例如下.c）数据收集，包括数据的安全存储和版证.规程官定义如何收集、存惘和筠证数据，以及进一步处理需要那些背景信息.妲织镇运用以下技术来进行数据物证：D斓保数据值在可能的阈泊范围内；2）松直期望值列表；3）荻取背景信息,如数据采桀时间.d）数据分析和报告测度分析结果.该规程宜明确数据分析技术和报告测度结果的续率.e）报告的方法和格式,可能包括：D记分卡，通过整合高层次续效指标来提供战略信息；注：这些可称为1关St绩效?B标.（见附最A中的信息安全流量模型）.2）可执行和可操作的指示板，聚焦战略目标而不是具体的控制和过程；3）报告格式的范囤从喻华静态的风格，如给定时间段的测度列表，到更况杂的交叉报表，具有被套分组、滚动总结以及动态追潮或您接功能.当利益相关方需要巨石原始数据时，报表最好使用易于阅读的格式；4）用于展示动忠佰的评判标识,包括警报.附加的图形元素和终点标记.8.5 监视和测直制定通过人工或自动方式进行监视、测量'存链和验证的规程.能通过根据检查消甲确认所收集到的数据是否满足要求的方式来实地数据蛇证，以瑞保缺失数据对分析造成的影响最小，并且值是正蹄的或在可识别的范囹内.宜收绕足够的数据以确保分析结果的可算性.组织宜定期收集.分析、评价并向利益相关方报告测度.当出现8.3.1所述的任何情形时，组织直考虑更新其监视、测量、分析和评价过程.在发布报告、指示板等中的信息之前，组织直确定如何收集共享的数据和结果以及与iff共享,因为从保密性的角度来看,与信息安全相关的数据可绫是比较敏感的.此外，宣检官和评价数据收集过程，以确认正在收集正确的海度而且是以一种可歪豆的、精确的和一致的方式来收集.8.6 分析结果对收集数据的分析宜结合各项测度的目标.ISO100l7提供了统计分析的实施指南.直对数据分析的结果进行新程.对结果进行分析的人员（即：信息沟通者）直能根据结果得出一些初步结论.但是,由于信息沟通者可能不区接参与技术和管理过程，所以需要由其他利及相关方对这些结论进行评审.所有解释都宜考虑测度所处的环境.数宛分析宜识别已实施的ISMS,控制或控制组的预期结果和实际测量结果之间的差臣.所识别附录A（费料性）信息安全测量模型在1S0/1EC/1EEE15939中给出并解释了图A.1所示的测量信息模型，可用于ISMS.模型描述了如何化相关实体的属性，井将其转换为为决策提供依据的指标.该模型是一个先将信息需求关联到相关的实体和关注的属住的结构.例如，信息需求可以是员工对信息安全策咯的了解程度.实体包括过程、控制.文件化信息'系统、设智、人员和资源.ISMS中相关实体示例有：风哙管理过程、审核过程、信息分类、访问权限管理,信息安全方针、移动设备策珞、后端计J4机、首理员和员工等.测量信息模型诧助渔量策划者哨定在监视、测量、分析和评价期间需要明魂的内容.GB/T22080-2016的9.1要求组织对信息安全绩效和ISMsfi9有效性进行评价，这通常涉及指标的识别.通过所识别的指标，根据指标对组妲目标的煮义和田要性，从中能识别出关最缩效指标（KP1.也称为“关域成功指标"）.为了哨定这样的指标，组织能够建立基础测度，并通过使用结合了两个或更多基础测度的测量函数来导出一个测度.本附录中的引量模型（使用基础测度.导出洲度、绩效指标和测量结果）是满足ISMS测量要求方法的一个示例,测量、分析和评价的过程还可叁考其他可能的方法.B.3策略评审策略评审3!量构造示例见表8.3.表B.3策略评审测量构造示例信息搞还符方法或目的!D由俎织定义信息霜求评价必否按计划的时间间隔或古当发生厘大变化时对信息安全策BBia行评由测度筑路件中的百分比公式/评分上一年度评审的信息安仝策略效/已落实的信息安全第珞取XlOO绿色80%,横色240%,红色40%实痴证据文件历史记录中提及文件件中或文件滑单上注明了上一次年中的日期助率收集：在为年中定义的计划间隔之后仲J如每年或M大变史之后）报告：历次收集受任方信息所为看：狭St对开发'评审和评价第88承担管理睨费的策络所有者信息采集者内审员海客户：苜席信息安全自RSiS%略评审计划.安全策略的历史记录8J分.文档列表授告格式用饼图表示现状，用折我图表示衿合性发演关联GB/T220802016.A.5.1.2信息安全策BS的评审GB/T220802016,7.5.2创建和更新文杵化信息B.4管理层承诺省理层承诺测量构造示例见表B.4.«8.4管理层承诺测量构造示例信用弼法符方法或目的赛度ID由ta织定义信息需求年估有关管理淬申活动的管理层承诺和信息安全年中活动赛度a）迄今为止完成的管理层评审会议b）迄今为止铃理层押审会设的平均参与率公式/评分a）将举行的宣理片评审会设赊以计划的管S!m评审会汉）b）计Ji所有管理层谆审会议您与率的平均的和标准叁目标指标a!ff）t三果比率在0.7和Il之间，可以得出达成控制日毋.无需采取指旗的侬论.即使未达到以上分数，山宜至少在0.5以上.才能作出最小达成的结论.关于指标b）,根况标JeX计禽的信度去明实现接近平均善与率的实际结JB的可舷性.非常贪泛的置信度表明可能存在较大的5罂以及需要制定位:计总来处理这一结果表B.36ISMS评审过程测量构造示例()信息描述符意义或目的的擀标的结JR比它主要落在08和1.】之间，以说明控制目标的实现而不需采取行前.如果不满足基本条杵，划宜大于0.6实55证据1.境计第三方定阴评田的报告数2,统计第三方计划评审的总敬0*收集每季度分析：田季度报告：每季度流博订：每2年市直和史篇一次滋周B):适用2年费任方信息所有含：负费ISMS的及理信总收集员内部审核；质量经理澧客户：负史6MS的经理，质体系&理致空漉第三方评中笈告第三方评审计划短告格式条形图，显示几个强告周期内与目标所定凭值用关的避守情况关联GB/T22080-2016,A.18.2.1信息安全的独立评市B,37般弱性覆盖率脂弱性濯盖率测量构造示例去B.37.表B.37腌弱性覆流率测量构造示例信息期还符意义或目的流度！Dta炽定义信息得茨SHS当前组象系统漏词的可见性as已成为16弱性评估/海贵:BiS活动沏的系统比率公式，评分上一季Stia行旎/性评估或上一年进行淮透测试的庚统对象数目/泰统总收as1实施证据痴弱性评恬和渗透测国活动分析田季度一次费任方信息所有者一信息安全分析库或订约第三方信息收复员：信息安全分析员信息客户：信息安全经理数驾泪痴弱性评恬报告能弱性评估工具渗透测试报告发告格式显示所得到比率的茶合饼S3和同类型的或网够系统的全阵列饼81关联GB/T220802016.A.18.2.3技术符合性评审附录NA（费料性）GB/T220812016与ISo/IEC27002：2022控制的对应关系GB/T220812016与ISO/IEC27002：2022控制的对应关系见表NA.1.表NA.1G8/T220812016与】SO/正C27002:2022控制的对应关系表G8/T22081-2016ISO/IEC27002:20225信息安全第畤S.1信息安全管理18号5.1.l信息安全策略S1.2信息安全策路的评审5.1信息安仝第IR5.1信息安全策络6信息安全姐织6.1内部里织61.1信息安全的用色相次任5.2信息安全角色知贵任6.1.2职责分离5.3职责分寂61.3与IR能机构的联系5.5与取的机构的我系614与特定相关方的我系5.6与特定用关方的联系61.5项目管理中的信身安全S.8Iffl目位爱中的f三息安全6.2移动设备知远程工作621移动没击策咯81用户终设设备6.2.2远程工作6.7远程工作7人力费源安全7.1任用前7.1.1申SJ7.1.2任用条款及条件7.2任用中6.16.2任用条款及条件7.2.1S8三ft54管理费任7.2.2信息安全意识.故白知培训63信息安全雳0、RSWSSII7.2.3i5flft3iSW6.4显现处理过程7.3任用的籍止和变更7.3.1任用终止或变更的贵任6.5任用终止或变更后的责任8鞭产管理81书关费产的受任表NA.1GB/T220812016与1SOIEC27002:2022控制的对应关系我（续）GB/T220812016SO!EC27002：20228.1.1资产清单5.9信息及R他相关资产的清华8.1.2资产的所关系5.9信息及其他相关资产的清单813变产的可接受使用Si(HS息及其他错关费产的可发受使用8.1.4资产归逐$.naitta82信息分SR8.2.1f三息的分吸S.121S分锻8.2.2倍息的快记5.13信息标记8.2.3资产的处理SlOfS息及其他变产的可接受使用&3介Ja处理8.3哆动介质的修理7.10存储媒体8.3.2介质的处置7.10存储媒体8.3.3物理介族的转移7.10存储媒体9访问控制91访问控射的业第要求9.1.1访何控制策略5.15访问控制9.1.2网络和网结服务的访问5.15访何控制9.2用户访问管理9.2.1用户注册和注销5.16身份管理9.2.2用户访问供给5.18访何权限9.2.3特定访问权铃理8.2特许访问权眼92.4用户的够瓷别信息管理517整别信息9.25用户访问IR的洋市5.18访问权做9.2.6访问权的格除或能整5.18访何权限9.3用户费任9.3.1秘前圣刖信息的使用5.17/利信息9.4浜战和应用访问控到9.4.1信息访问用利83信心访问限制9.4.2安全BCR视世8.S安全的率刖9.4.3口令管理系统5.17整别信思944特权实用程序的使用818特权实用程序的使用9.4.S程原源代码的访问控制8.4魏代招的访问寂NA.1GB/T220812016与ISO1EC27002:2022控制的对应关系表（续）GB220812016ISO/IEC27002：2022IOSRio1esw】0.1.l密码控制的使用赏路824注因技术的使用10.1.2密的管理8.24鸵码技术的使用1】物理和琢境安全I1.l安全区域I1.1.l物理安仝边界7.1物理安全逅界11.1.2制理入口拄制Z2韧理入口11.1.3办公室.房间KHS处的安全保护7.3办公空.房展和设恁的安全保护】1.1.4外出和环境威胁的安全防妒7.5物理和环境威勒妨惹11.1.5在安全区域工作7.6在安全区域工作11.1.6交接区7.2将理人口n.2设备11.2.1设备安IUfl保护7.8设翁安和保妒11.2.2支持性设施7.11支持性设成n.Z3布Se安全72布统安全11.2.4设笛墩护7.13设备堆护11.Z5资产的移动7.10存储媒体11.2.6用煤场所外的设备与资产安全7.9组纵场所外的锻产安全11.2.7设督的安全处嗯冉利用7.14设各的安全处置或"复利用I1.2.8无人值守的用户设备8.1用户终黑设普11.29清理JeI直和房策路7.7清理立面和屏幕12运行安全】2.1运行规程和睨费】2.1.】文件化的1«作双程5.37文怦化的SB作双程12.1.2变更管理8.32交JEfWS12.1.3容量邕理8618312.1.4开发.满试IO运行环境的分离8.31开发.流试和生产环境的限登12.2怒房软件防范12.2.1芯意软件的控制87芯意软件防范12.3J表NA.1GB/T220812016与1SOIEC27002:2022控制的对应关系我（续）GB/T220812016SO!EC27002：202212.3.HKBtf）&13信息替份12.4日志和越视124.IWS日志8.15日忑12.4.28有信息的保护815日离12.4.3管理员和拇作员日志815日志12.4.4时钟同步8.17时钟同步12.5运行软件控制12.5.1运行展统的裳件安装819运行系统软杵的安装12.6技术方面的茄表性管理12.6.1技术方面蜡弱性的管理8.8技木就磁性管理126.2软样安笈跟制819运行系统取件的安装12.7信愿案毓由计的考宓12.7.1信a系统审计的控制834在审计测试中保妒信总家统13是信安全13.1网络安金管理13.1.1网络控制&20网络安全13】,2网格限完的安全821网格赧务的安全13.1.3网络中的陶陶8.22网络隔离13.2信息传箱13.2.1信息怕相策略和规理S.14信息传输13.2.2信息传ISMK5.MflUMWfi13.2.3电子消息发送S.MiSBfSM13.2.4保留或不泄强侨议6.6保前或不泄密吩汉14系统领取、开发和t护14IiSB系统的安全要求14.1.1信g安全要求分析和说明5.8项目筲理中的信息安全14.1.2公共网络上应用祇势的安全保护8.26应用程序安全要求14.1.3应用眼务事务的保护8.26应用理序安