GB/T 28450—2020/ISO/IEC 27007:2017

信息技术 安全技术信息安全管理体系审核指南

1 范围

本标准在GB/T19011—2013的基础上，为信息安全管理体系（以下简称ISMS）审核方案管理和审核实施提供了指南，并对ISMS审核员能力提供了评价指南。

本标准适用于需要理解或实施ISMS的内部或外部审核，或需要管理ISMS审核方案的所有组织。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T19011—2013 管理体系审核指南（ISO19011∶2011，IDT）

GB/T 22080—2016 信息技术 安全技术 信息安全管理体系 要求（ISO/IEC 27001∶2013，IDT)

GB/T 29246—2017 信息技术 安全技术 信息安全管理体系 概述和词汇（ISO/IEC 27000∶2016,IDT)

3 术语和定义

GB/T19011—2013和GB/T29246—2017界定的术语和定义适用于本文件。

4 审核原则

GB/T 19011——2013的第4章审核原则适用。

5 审核方案的管理

5.1 总则

GB/T19011—2013的5.1的指南适用。并且，以下ISMS特定的指南适用。5.1.1 IS5.1总则

需要实施审核的组织宜建立审核方案，并考虑规划ISMS时所确定的风险和机会。5.2确立审核方案的目标

GB/T19011—2013的5.2中的指南适用。并且，以下ISMS特定的指南适用。5.2.1 IS5.2确立审核方案的目标

确立审核方案目标时，ISMS还宜考虑下列事项∶

1