GB/T 28450-2020 (Англоязычная версия) Информационные технологии. Методы обеспечения безопасности. Рекомендации по аудиту систем управления информационной безопасностью. - Стандарты и спецификации PDF

GB/T 28450-2020
Информационные технологии. Методы обеспечения безопасности. Рекомендации по аудиту систем управления информационной безопасностью. (Англоязычная версия)

Стандартный №
GB/T 28450-2020
язык
Китайский, Доступно на английском
Дата публикации
2020
Разместил
General Administration of Quality Supervision, Inspection and Quarantine of the People‘s Republic of China
Последняя версия
GB/T 28450-2020
заменять
GB/T 28450-2012
 
сфера применения

Обзор основного содержания стандарта

Этот стандарт эквивалентен ISO/IEC 27007:2017 и предоставляет профессиональную основу для аудита систем управления информационной безопасностью (СУИБ).

  • Принципы аудита: Следуйте общим принципам аудита GB/T 19011-2013
  • Управление программой аудита: Полный жизненный цикл от постановки целей до постоянного совершенствования
  • Реализация аудита: Охватывает весь процесс от инициирования, подготовки, выполнения до последующих действий
  • Компетентность аудитора: Требования к знаниям и навыкам и методы оценки

Ключевые изменения и основные моменты

Версия 2012 года Основные улучшения версии 2020 года
Включает 5 приложений Интеграл в 1 приложение к практическому руководству (A.7)
Сосредоточение на основных требованиях Новое практическое руководство по выявлению и оценке рисков, многосайтовой выборке и т. д.
Простое описание возможностей Подробные требования к знаниям и навыкам аудиторов в таких областях, как управление рисками и технологическая платформа

Ключевые моменты для управления программой аудита

Типичный сценарий внедрения

При внедрении программы аудита СМИБ финансовое предприятие:

  1. Определяет Ежегодная частота аудита в зависимости от сложности информационной системы
  2. Применение комплексного подхода к аудиту, включающего тестирование на проникновение + проверку документов для основной системы транзакций
  3. Передача конфиденциальных записей аудита по зашифрованным каналам

Матрица компетентности аудитора

Параметры компетентности Специфические требования
Профессиональные знания Знакомство с требованиями GB/T 22080 и отраслевыми стандартами
Управление рисками Способность оценивать остаточный риск и проверка эффективности мер контроля
Техническое понимание Освоение функций безопасности новых технологий, таких как облачные вычисления и Интернет вещей

Рекомендации по внедрению

  • Связывание требований стандарта с мерами контроля GB/T 22081
  • Создание механизма прослеживаемости между результатами аудита и планами обработки рисков
  • Регулярно проверяйте адаптируемость планов аудита к изменениям в бизнесе

GB/T 28450-2020 Ссылочный документ

  • GB/T 19011-2013 Руководство по аудиту систем менеджмента
  • GB/T 22080-2016 Информационные технологии.Техники обеспечения безопасности.Системы управления информационной безопасностью.Требования.
  • GB/T 29246-2017 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Обзор и словарь.

GB/T 28450-2020 История

  • 2020 GB/T 28450-2020 Информационные технологии. Методы обеспечения безопасности. Рекомендации по аудиту систем управления информационной безопасностью.
  • 2012 GB/T 28450-2012 Технология информационной безопасности.Методические указания по проведению аудита системы управления информационной безопасностью.
Информационные технологии. Методы обеспечения безопасности. Рекомендации по аудиту систем управления информационной безопасностью.

Специальные темы по стандартам и нормам

Информационные технологии Информационная безопасность Анализ со стороны руководства управление аудитом Анализ со стороны руководства Система управления информационной безопасностью Система управления технологиями Руководство по аудиту системы менеджмента

стандарты и спецификации

GB/T 39532-2020 Руководство по измерению и проверке энергетических показателей


© 2025. Все права защищены.