国家标准《信息技术安全技术信息安全管理测量》草案编制说明

国家标准《信息技术安全技术信息安全管理测量》（草案）编制说明

一、工作简况任务来源《信息技术安全技术信息安全管理测量》是全国信息安全标准化技术委员会2010年下达的信息安全国家标准制定项目，国标计划号为-T-469由中国电子技术标准化研究院主要负责起草山东计算中心、上海三零卫士有限公司、北京信息安全测评中心等单位共同参与了该标准的起草工作主要工作过程

1、2010年，承担全国信息安全标准化技术委员会信息安全专项项目《信息技术安全技术信息安全管理测量》

2、2011年3月，山东省计算中心、中国电子技术标准化研究院、上海三零卫士有限公司和北京信息安全测评中心组成标准编制组，对标准编制的组织形式及任务分工进行了安排

3、2011年3月至5月，标准编制组对IS0/IEC27004:2009进行了翻译和校对工作，形成IS0/IEC27004:2009翻译稿

4、2011年5月，标准编制组召开会议对翻译稿进行了讨论，各参编单位提出修改意见

5、2011年6月-10月，根据修改意见对翻译稿进行了修改完善，形成《信息技术安全技术信息安全管理测量》（初稿）

6、2011年11月，标准编制组召开工作会议，针对已形成的标准初稿和存在的问题进行讨论，提出修改建议

7、2011年12月-2012年2月，根据修改建议对标准初稿进行了修改完善形成《信息技术安全技术信息安全管理测量》（草案）

8、2012年3月，北京大学王立福教授对标准草案进行了审核，提出了修改意见和建议

9、2012年4月，根据王立福教授的意见和建议，对标准草案进行了修改完善，形成第二版标准草案

10、2012年8月28日，编制组就第二版标准草案召开了专家征求意见会，征求了专家意见会后根据专家意见，进一步修改完善标准草案，形成第三版标准草案

11、2012年11月27日，编制组就第三版标准草案召开了工作组专家评审会，征求了专家意见，通过了专家评审会后根据评审会专家意见，对标准草案进行了修改2013年1月15日，通过了WG7组的全体成员投票工作会议，会后对文本进行了修改完善，形成了征求意见稿

二、编制原则和主要内容

2.1编制原则

（一）等同采用国际标准ISO/IEC27004:2009《信息技术安全技术信息安全管理测量》是信息安全管理体系标准族中的标准之一目前，我国在参考借鉴国际信息安全管理体系标准族（ISO/IEC27000系列）的基础上，等同转化了ISO/IEC27001:2005《信息技术安全技术信息安全管理体系要求》（对应国家标准GB/T22080:2008）ISO/IEC27002:2005《信息技术安全技术信息安全管理使用规则》（对应国家标准GB/T22081:2008）.ISO/IEC27006:2007《信息技术安全技术信息安全管理体系审核认证机构的要求》（对应国家标准GB/T25067:2010）和ISO/IEC27000:2009《信息技术安全技术信息安全管理体系概述和词汇》本标准编制过程中，考虑到本标准提供了如何测度和测量信息安全管理体系以及如何使用的指南，并用以验证已实施的信息安全管理体系和控制措施的有效性，以及推进信息安全管理体系过程或控制措施的改进，具有十分重要的作用结合我国信息安全管理体系相关标准的研制现状，从国际信息安全管理体系系列标准转化的完整性上讲，应为国内标准用户提供一份标准前后内容一致的参考指南鉴于此，编制组决定本标准等同采用国际标准ISO/IEC27004:2009《信息技术安全技术信息安全管理测量》

（二）准确理解国际标准内容本标准是对国际标准ISO/IEC27004:2009的等同转化，因此，本标准翻译过程中，坚持以准确理解国际标准原文及含义为准绳，同时采用中文语言习惯进行表述，使文本语言的描述尽可能顺利、通畅

（三）遵从已有的术语和定义由于本标准与已有ISMS国家标准有密切相关性，因此，本标准在术语和定义的使用上，采用了如下原则已有信息安全术语定义的，遵从其定义；在其他ISMS标准中己经定义过的术语，遵从其定义

2.2主要内容本标准提供了如何开发测度和测量以及如何使用的指南，以评估按照GB/T22080-2008规定的已实施的信息安全管理体系和控制措施或控制措施集的有效性，包括方针、信息安全风险管理、控制目标、控制措施、过程和规程，并且支持其校验过程，以助于决定信息安全管理体系过程或控制措施是否需要改变或改进本标准主要框架如下刖百引言1范围2规范性引用文件3术语和定义4本标准的结构5信息安全测量概述信息安全测量目标信息安全测量方案成功因素信息安全测量模型6管理职责概述资源管理测量培训、意识和能力7测度和测量的开发概述测量范围的定义信息需要的识别对象和属性的选择测量构造的开发测量构造数据收集、分析和报告测量实施和文件编制8测量运行概述规程整合数据收集、存储和验证分析和测量结果报告概述分析数据和产生测量结果沟通测量结果10信息安全测量方案的评价和改进概述信息安全测量方案的评价准则识别监视、评审和评价信息安全测量方案实施改进附录A（资料性附录）信息安全测量构造模板附录B（资料性附录）测量构造示例

三、主要试验（或睑证）的分析、综述报告，技术经济论证，预期的经济效果本标准提供了如何开发测度和测量以及如何使用的指南，以评估按照GB/T22080-2008规定的已实施的信息安全管理体系和控制措施或控制措施集的有效性通过本标准的实施将形成信息安全测量方案，主要包括方针、信息安全风险管理、控制目标、控制措施、过程和规程，并且支持其校验过程，以助于决定信息安全管理体系过程或控制措施是否需要改变或改进本标准将协助管理者识别和评价不相容的、无效的信息安全管理体系过程和控制措施，优化、改进或改变这些过程和控制的活动，并协助组织证明GB/T22080-2008的符合性因此，本标准不产生直接的经济效益，通过本标准的有效实施，将提高相关人员对测量结果的信任，并使其利用这些测量结果实现对信息安全和信息安全管理体系的持续改进

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况本标准等同采用国际标准TSO/TEC27004:2009c

五、与相关法律法规及国家有关规定、国内相关标准的关系本标准与现有国家标准GB/T22080:2008《信息技术安全技术信息安全管理体系要求》、GB/T22081:2008《信息技术安全技术信息安全管理实用规则》、GB/T25067:2010《信息技术安全技术信息安全管理体系审核认证机构的要求》WIS0/IEC27000:2009《信息技术安全技术信息安全管理体系概述和词汇》都属于信息安全管理体系标准族标准本标准提供了如何开发测度和测量以及如何使用的指南，以评估按照GB/T22080-2008规定的已实施的信息安全管理体系和控制措施或控制措施集的有效性，包括方针、信息安全风险管理、控制目标、控制措施、过程和规程，并且支持其校验过程，以助于决定信息安全管理体系过程或控制措施是否需要改变或改进本标准可以协助组织证明GB/T22080-2008的符合性，并提供管理评审和信息安全风险管理过程的额外证据GB/T22080:2008提供了建立信息安全管理体系的模型及每个过程的具体活动，可供用户建立和实施满足自身业务需求和安全需要的信息安全管理体系GB/T22081:2008提供了一套通用的安全控制目标和最佳实践控制措施，可指导用户选择和实施控制措施以实现信息安全GB/T25067:2010为依据GB/T22080:2008提供审核和ISMS认证的机构规定了要求并提供相关指导ISO/IEC27000:2009《信息技术安全技术信息安全管理体系概述和词汇》提供了信息安全管理体系标准族的概述，定义了信息安全管理体标准族所用的术语和定义

六、重大分歧意见的处理经过和依据详见意见汇总处理表

七、国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标准发布实施

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）本标准主要用于支撑国家标准GB/T22080:2008《信息技术安全技术信息安全管理体系要求》和GB/T22081:2008《信息技术安全技术信息安全管理实用规则》的实施，提供如何测度和测量信息安全管理体系以及如何使用的指南验证已实施的信息安全管理体系和控制措施的有效性，推进信息安全管理体系过程或控制措施的改进因此，本标准贯彻实施时，应与上述两个标准结合在一起进行

九、其他事项说明本标准与国家标准GB/TAAAAA-AAAA《信息技术安全技术信息安全管理体系概述和词汇》（待发布）、GB/TBBBBB-BBBB《信息技术安全技术信息安全管理体系实施指南》（待发布）和GB/TDDDDD-DDDD《信息技术安全技术信息安全风险管理》（待发布）均属于信息安全管理体系标准族，标准内容相关性强，且在标准文本中存在相互引用、相互参考的关系因此，为了方便区分，本标准中对其余几个标准的引用之处进行采用GB/TAAAAA-AAAA至GB/TDDDDD-DDDD进行标识而在其他标准中对本标准的引用可采用GB/TCCCCC-CCCC进行标识在这几个标准正式发布时，应使用其各自的国家标准编号来替换这些标识标准编制组2013年1月。