【国家标准】 信息技术 安全技术 信息安全管理 监视、测量、分析和评价

ICS 35.030 CCS L 80 GB 中华人民共和国国家标准 GB/T 31497—2024 / ISO/IEC 27004:2016（代替 GB/T 31497—2015） 网络安全技术 信息安全管理 监视、测量、分析和评价 Cybersecurity techniques—Information security management—Monitoring, measurement, analysis and evaluation（ISO/IEC 27004:2016 IDT） 2024-03-15发布 国家市场监督管理总局 国家标准化管理委员会发布 2024-10-01实施 前言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。 本文件代替GB/T 31497—2015《信息技术安全技术 信息安全管理测量》，与2015版相比，主要技术变化如下： （1）更改“范围”表述； （2）第5章由“信息安全测量概述”更改为“基本原理”，删除信息安全测量模型相关内容； （3）删除“管理职责”； （4）增加“特征”； （5）调整测度类型，将“基本测度”和“导出测度”调整为“实施进度的测度”和“有效性测度”； （6）重构信息安全管理监视、测量、分析和评价过程。 本文件等同采用ISO/IEC 27004:2016。 本文件由全国网络安全标准化技术委员会（SAC/TC 260）提出并归口。 起草单位包括：中国电子技术标准化研究院、北京邮电大学、华为技术有限公司等多家单位。 主要起草人包括：上官晓丽、王惠莅、付志高、许玉娜、王东滨等。 1 范围 本文件规定了信息安全管理体系（ISMS）中监视、测量、分析和评价的要求，包括基本原理、特征、过程以及相关附录内容。 适用于组织开展信息安全管理绩效的监视与测量活动。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 GB/T 22080 信息安全管理体系 要求 GB/T 22081 信息安全控制实施指南（及ISO/IEC 27002:2022相关控制）等。 3 术语和定义 本文件采用GB/T 22080及相关标准中界定的术语和定义。 4 结构和概述 本文件围绕信息安全管理体系的监视、测量、分析与评价活动，规定了基本框架与实施要求。 5 基本原理 5.1 测量的必要性 组织应通过测量获取信息安全管理体系运行状态与有效性的数据支持。 5.2 满足GB/T 22080的要求 测量活动应支持GB/T 22080所规定的信息安全管理体系要求的实现。 5.3 结果的有效性 测量结果应具备一致性、可重复性与可验证性。 5.4 益处 测量结果可支持决策改进、风险控制与绩效提升。 6 特征 6.1 概述 规定监视与测量活动的基本特征。 6.2 监视内容 包括信息安全状态、控制措施运行情况等。 6.3 测量内容 包括信息安全绩效指标及控制有效性指标。 6.4 时间要求 监视、测量、分析与评价应在规定时间内实施。 6.5 执行者 监视与测量可由组织内部或授权人员执行。 7 测度类型 7.1 概述 规定信息安全测度的分类方法。 7.2 实施进度的测度 用于衡量信息安全活动实施进展情况。 7.3 有效性测度 用于评价信息安全控制及管理体系的有效性。 8 过程 8.1 概述 描述监视、测量、分析与评价的整体过程。 8.2 识别信息需求 确定信息安全管理所需的数据与信息。 8.3 建立和维护测度 设计并持续维护测量指标体系。 8.4 建立规程 制定监视与测量的实施程序。 8.5 监视和测量 按规程开展数据收集与监测活动。 8.6 分析结果 对测量数据进行分析处理。 8.7 评价信息安全绩效和ISMS有效性 评估信息安全管理体系运行效果。 8.8 评审和改进过程 对监视与测量过程进行持续改进。 8.9 保留和沟通文档化信息 对相关记录进行保存与沟通。 附录A（资料性）信息安全测量模型 附录B（资料性）测量构造示例 附录C（资料性）自由文本测量构造示例 附录NA（资料性）GB/T 22081—2016与ISO/IEC 27002:2022控制对应关系 参考文献