GB/T19011一2013的5.3.6中的指南适用。并且，以下ISMS特定的指南适用。

5.3.6.1IS5.3.6识别审核方案资源

ISMS审核员尤其宜分配足够的时 验，评审应对信息安全风险以及 ISMS 的有效性

5.4.2规定每次审核的且标、范围和准则

GB/T19011一2013的5.4.2中的指南适用。并且水利图纸、图集，以下ISMS特定的我

5.4.2.1IS5.4.2规定每次审核的且标、范围和

审核目标可包括以下内容： a）评价ISMS是否充分识别并解决信息安全要求； b）评价维护和有效改进ISMS的过程； c）确定信息安全控制对ISMS要求和规程的符合程度。 审核范围宜考虑到信息安全风险，以及相关方（即审核委托方和受审核方）对ISMS带来的风险和 机会。 如果ISMS处于审核范围内，那么审核组宜根据内部和外部事项以及相关方的需求和期望，确认受 审核方ISMS的范围和边界。审核组宜确认受审核方在ISMS范围内满足GB/T22080一2016的4.3 中规定的与审核范围有关的要求。 下列文件可作为审核准则，并用作确认符合性的参考： a 受审核方采用的信息安全方针、信息安全目标、策略和规程； b） 法律和合同要求以及与受审核方相关的其他要求； c） 受审核方的信息安全风险准则、信息安全风险评估过程以及风险处置过程； 适用性声明，特定部门或其他必要控制的识别以及对包含必要的控制及其选择的合理性说明 （无论该控制是否已实现），以及对GB/T22080一2016附录A控制删减的合理性说明； e 可适当处置风险的控制的定义； 监视、测量、分析和评价信息安全绩效及ISMS有效性的方法和准则； g 客户的信息安全要求； h）供应商或外包商应用的信息安全要求

5.4.3选择审核方法

5.4.3.1IS5.4.3选择审核方法

5.4.4选择审核组成员

9011一2013的5.4.4中的指南适用。并且，以下1

5.4.4.1IS5.4.4选择审核组成员

整个审核组的能力宜包括充分认识和理解 a）信息安全风险管理知识，足以支撑其评价受审核方所使用的方法； b）信息安全及信息安全管理知识，足以支撑其评价控制的确定以及ISMS的规划、实现、维护和 有效性。

5.4.5为审核组长分配每次的审核职责

B/T19011一2013的5.4.5中的指南适用

4.6管理审核方案结果

GB/T19011一2013的5.4.6中的指南适用

5.4.7管理和保持审核方案记录

B/T19011一2013的5.4.7中的指南适用

GB/T19011一2013的5.5中的指南适用。

5.6评审和改进审核方案

GB/T19011一2013的5.6中的指南适用。

GB/T19011一2013的6.1中的指南适用。

GB/T19011一2013的6.2.1中的指南适用。

GB/T19011一2013的6.2.2中的指南适用。并且，以下ISMS特定的指南适用。

6.2.2.1IS6.2.2与受审核方建立初步联系

GB/T28450—2020/ISO/IEC27007:2017

必要时，宜确保审核员获得使用文件化信息或审核活动所需其他信息（包括但不限于涉密或敏 ）的必要安全许可。

6.2.3确定审核的可行性

6.2.3.1IS6.2.3确定审核的可行性

在审核开始之前，审核员宜询问受审核方是否存在无法提供审核组评审的ISMS审核证据，例如， 因为证据中包含了个人身份信息或其他涉密/敏感信息。负责管理审核方案的人员宜确定在缺少这部 分审核证据的情况下是否仍可对ISMS进行充分审核。如果得出的结论为缺少对这部分审核证据的评 审将导致无法充分审核ISMS，负责管理审核方案的人员宜告知受审核方，在获得适当的准人安排或向 受审核方提出或实施审核的替代手段之前，审核将无法进行。如果审核继续进行，审核计划宜考虑到所 有访问限制，

6.3.1审核准备阶段的文件评审

B/T19011一2013的6.3.1中的指南适用。

5.3.2编制审核计划

GB/T19011一2013的6.3.2中的指南适用。并且，以下ISMS特定的指南适用

GB/T19011一2013的6.3.2中的指南适用。并且，以下ISMS特定的指南适用

6.3.2.1IS6.3.2编制审核计划

审核组长宜意识到审核组成员在现场可能对受审核方造成的风险。审核组在现场可能会影响受审 核方的信息安全，产生额外的风险源，例如涉密或敏感记录或系统基础设施（例如意外删除、未授权信息 泄露、无意的信息变更）。

6.3.3审核组工作分配

B/T19011一2013的6.3.3中的指南适用。

6.3.4准备工作文件

6.3.4.1IS6.3.4准备工作文件

6.4.2举行首次会议

GB/T19011一2013的6.4.2中的指南适用

GB/T284502020/ISO/IEC27007.2017

6.4.3审核实施阶段的文件评审

6.4.3.1IS6.4.3审核实施阶段的文件评审

ISMS审核员宜验证审核准则所要求的且与审核范围相关的文件化信息是否存在，并符合审核准 则要求。 ISMS审核员宜确认审核范围内所确定的控制与风险评估和风险处置结果相关，并可追溯到信息 安全方针和目标。 注：附录A为ISMS审核实践提供指南，包括如何使用相关文件化信息审核ISMS

6.4.4审核中的沟通

GB/T19011一2013的6.4.4中的指南适用，

6.4.5向导和观察员的作用和责任

6.4.6信息的收集和验证

GB/T19011一2013的6.4.6中的指南适用。并且，以下ISMS特定的指南适用。

6.4.6.1IS6.4.6信息的收集和验证

在审核过程中收集相关信息的方法可包括： a 核查记录（包括计算机日志和配置数据）； b 访问信息处理设备； c） 观察ISMS过程以及已实现的相关控制； d） 使用自动审核工具。 注1：附录A提供了关于如何审核ISMS过程的指南。 注2：GB/Z32916提供了如何评价信息安全控制的额外指南， ISMS审核组成员宜根据审核委托方、审核组和受审核方之间的协议，确保从受审核方获取的所有 信息得到适当处理

6.4.7形成审核发现

6.4.8准备审核结论

GB/T190112013的6.4.8中的指南适用。

6.4.9举行末次会议

GB/T19011一2013的6.4.9中的指南适用。

6.5审核报告的编制和分发

GB/T19011一2013的6.5.1中的指南适用。并且，以下ISMS特定的指南适用。

6.5.1.1IS 6.5.1 审核报告的编制

GB/T28450—2020/ISO/IEC27007:2017

如果审核组在审核过程中由于信息级别或敏感原因无法获得审核证据，则审核组长宜判断其影响 审核发现和结论可信度的程度，并在审核报告中予以反映，不能因证据敏感性导致其不可用而进行 妥协

6.5.2审核报告的分发

GB/T19011一2013的6.5.2中的指南适用。 并且，以下ISMS特定的指南适用。

6.5.2.1审核报告的分发

在分发审核报告时，宜采取适当措施确保报告的保密性。 主：当使用电子方式进行分发时，可适当加密审核报告

GB/T19011—2013的6.6中的指南适用。

6.7审核后续活动的实施

GB/T19011一2013的6.7中的指南适用。

GB/T19011一2013的7.1中的指南适用。

7.2确定满足审核方案需求的审核人员能力

7.2.1.2IS7.2.1总则

在确定ISMS审核员的适当知识和技能时，宜考虑以下内容： a）ISMS的复杂度（例如ISMS内信息系统的重要性，ISMS的风险评估结果）； b）在ISMS范围内开展的业务类型； 实现ISMS各组成部分（例如实现的控制、文件化信息和/或过程控制、涉及的技术平台和解决 方案等）所使用技术的范围和多样性； d）之前已证实的ISMS的绩效； e）ISMS范围内所用的外部方以及外包程度； f）与审核方案相关的标准、法律要求和其他要求

GB/T19011一2013的7.2.2中的指南适用

7.2.3.2管理体系审核员的通用知识和技

2.3.3管理体系审核员的特定领域与专业的知识

GB/T19011一2013的7.2.3.3中的指南适用，并且GB/T19011一2013中A.7的指南也适用

7.2.3.4审核组长的通用知识和技能

GB/T19011—2013的7.2.3.4中的指南适月

7.2.3.5多领域管理体系审核的知识和技能

B/T19011一2013的7.2.3.5中的指南适用

7.2.4审核员能力的获得

7.2.4.2IS7.2.4审核员能力的获得

的知识和技能，如通过相关认证（例如基于 GB/T27024认可的认证）。ISMS审核员也宜理解相关业务需求。ISMS审核员的个人工作经验宜对 他们在ISMS领域的知识和技能有所帮助。 注：有关ISMS审核员认证的更多信息可在GB/T25067—2020中找到

GB/T19011一2013的7.2.5中的指南适用

7.3审核员评价准则的建立

7.4选择适当的审核员评价方法

GB/T190112013的7.4中的指南适用

GB/T19011一2013的7.5中的指南适用。

B/T19011一2013的7.5中的指南适用。

7.6保持并提高审核员能力

GB/T19011一2013的7.6中的指南适用。

本附录对声称符合GB/T22080一2016的组织提供审核ISMS的通用指南。由于本附录旨在适用 于所有ISMS审核，所以无论涉及的组织是何规模或性质，本附录均适用。本附录旨在供开展ISMS内 部或外部审核的审核员使用。 注：GB/T31496—2015根据GB/T22080—2016给出了实施和操作ISMS的指南。

A.2.1审核且标、范围、准则和审核证据

在审核活动期间，宜通过适当的抽样方式获得并验证与审核目标、范围和准则有关的信息，包括职 责，活动和过程之间的接口相关信息。只有可证实的信息才可作为审核证据。宜记录导致审核发现的 审核证据。 获取信息的方法包括以下内容： 一访谈； 一观察； 一文件评审，包括记录，

A.2.2ISMS 审核策略

GB/T22080一2016遵循ISO/IEC导则第1部分附录JC和融合的JTC1补充部分中的顶层结构、 相同的章条标题、核心文本、通用术语与核心定义——JTC1特定规程。GB/T22080一2016定义了 组相互依赖的要求，这些要求作为一个整体发挥作用（通常被称为“体系方法”），并通过交叉引用予以 部署。 在审核时最好同时处理实践中密切相关的GB/T22080一2016章条。相关示例见表A.2。 例如GB/T22080—2016中6.1.3和8.3以及6.2、5.1、5.2、5.3、7.1、7.4、7.5、9.1、9.3和10.2，同时审 核这些章条及其关联或相关章条才有意义。 GB/T22080一2016中7.5提出了有关文件化信息的要求。如表A.2中A.4.5所述，每次审核员检 查一份文件化信息时，都是确认其是否符合GB/T22080一2016中7.5要求的机会。有关如何执行上 述内容的指南在表A.2的A.4.5中。表中每次出现“文件化信息”时，将不再重复对文件化信息的要求。

A.2.3审核和文件化信息

审核活动涉及文件化信息，即： a）在GB/T22080一2016中文件化信息的要求章条可用作审核准则； 6 以下文件化信息可作为审核证据： 1）GB/T22080一2016的7.5.1a)中要求的文件化信息； 2） 由组织确定的，GB/T22080一2016的7.5.1b)中要求的ISMS有效运行所必需的文件化 信息。 除A.2.3b)中所列的审核证据，审核员将通过访谈、观察和文件评审（包括记录）获得其他审核

审核活动涉及文件化信息，即： a）在GB/T22080一2016中文件化信息的要求章条可用作审核准则； 6 以下文件化信息可作为审核证据： 1）GB/T22080—2016的7.5.1a)中要求的文件化信息； 2） 由组织确定的，GB/T22080一2016的7.5.1b)中要求的ISMS有效运行所必需的文件化 信息。 除A.2.3b)中所列的审核证据，审核员将通过访谈、观察和文件评审（包括记录)获得其他审核

证据。 有关GB/T220802016的文件化信息的详细讨论可在A.3中找到

有关GB/T22080—2016的文件化信息的详细讨论可在A.3中找到

审核员提出要求将文件化信息作为符合性证据时宜注意： a）表A.1中所列的对文件化信息的16项明确要求，包括适用性声明； b）其他要求： 1）可从a)中所述文件化信息中找出符合性证据： 2）文件化信息未体现显性或隐性要求，

注：审核的定义表明它是一个文件化的过程，因此审核员可认为GB/T22080一2016的9.2要求的结果是一个文件 化的审核过程，

注：审核的定义表明它是一个文件化的过程，因此审核员可认为GB/T22080一2016的9.2要求的结果是一个文件 化的审核过程，

A.3.2对文件化信息有隐性要求的示例

作为A.3.1b)1)的一个示例，在GB/T22080一2016的6.1.2中要求组织“保留有关信息安全风险 评估过程的文件化信息”。在这条之前的要求[GB/T22080一2016的6.1.2a)～e)］均涉及风险评估过

作为A.3.1b)2)的一个示例，考GB/T22080一2016的4.1要求。对外部和内部事项相关的信息 10

GB/T28450—2020/ISO/IEC27007:2017

未要求文件化。因此，审核员不宜要求看到相关文件化信息。然而，如果组织不能解释其已对这些问题 进行决策，将构成对GB/T22080一2016的4.1的不符合。但是，组织有责任确定证明其符合要求的方 式。证明方式包括最高管理者的解释（即有人知悉）；在会议中讨论过该主题；在正式配置管理下的文件 化信息中得到证明；也可通过其他方式证明。实际上，证据很可能会分散在ISMS的文件化信息中。例 如，GB/T22080一2016的4.1的目的是帮助组织理解其ISMS环境。该环境贯穿于整个ISMS，尤其是 在确定范围、方针以及执行风险评估和风险处置过程时。如果组织符合GB/T22080一2016中4.1的 要求，其外部和内部事项的知识可能会应用于ISMS的其他领域，这些应用将保持一致，并可能会有这 些领域文件化信息的符合证据。

所需信息可能是网页的一部分，或作为数据库查询的结果呈现给阅读人员。此外，除了适用性声 以外，GB/T22080一2016未给出文件名称。因此，有关信息安全策略的文件化信息可能不在名为“信 息安全策略”的文件或网页中。组织有权为信息安全策略定义其他名称。在确保ISMS符合 GB/T22080一2016的5.3a)要求方面具备责任和权限的人员是相同的，都宜知悉GB/T22080—2016 中强制要求的文件化信息与他们的文件化信息之间的关系。

A.7ISMS审核指南

GB/T28450—2020/ISO/IEC27007.2017

GB/T28450—2020/ISO/IEC27007.2017

GB/T28450—2020/ISO/IEC27007:2017

桥梁工程GB/T284502020/IS0O/1EC27007:2017

应对风险和机会的措施（6.

GB/T28450—2020/IS0/IEC27007:2017表A.2（续）审核员宜确认规划：a)在适当的水平上建立ISMS；b)考虑(4.1)中确定的组织环境相关的事项以及(4.3)中确定组织的适用要求，以解决GB/T22080—2016中6.1.1a)～c)有关的任何负面或正面的后果；预期了潜在的情况和后果，从而在事前预防不良影响；d)处置组织所确定的预期结果[6.1.1a)]，包括通过应用风险管理过程保护信息的保审核实践指南密性、完整性和可用性；e)通过目标设定（6.2)、运行控制（8.1)或GB/T22080一2016的其他具体章条，例如资源规定（7.1)、能力（7.2)、信息安全风险评估（8.2)、信息安全风险处置（8.3)，确定如何将必要或有益的行动纳人到ISMS中；f)确定评估所采取措施有效性的机制，包括监视、测量技术（9.1)、内部审核（9.2)或管理评审(9.3)ISO/IEC导则第1部分：2017年融合的JTC1补充部分中附录JC的JC.9支持性文件ISO31000:2009的5.35.7ISO/IEC27003:2017的6.1.1A.3.1.2信息安全风险评估（6.1.2)GB/T22080—2016中相关章条8.2GB/T29246中相关定义可用性、保密性、信息安全、完整性、风险接受、风险分析、风险评估、风险准则、风险识别审核证据可通过以下方面的文件化信息或其他信息获得：审核证据a)ISMS规划[GB/T22080—2016的6.1.1、7.5.1b)和8.1]；b）信息安全风险评估过程(6.1.2)和信息安全风险评估结果(8.2)审核员宜确认信息安全风险评估：a)确定与ISMS相关的信息安全风险；b）包括风险识别、风险分析和风险评估过程风险准则[GB/T22080—2016的6.1.2a)]审核员宜确认组织已建立并持续维护风险接受准则以及信息安全风险评估实施准则。虽然组织可自行考虑与风险准则相关的任何因素，包括风险接受准则和信息安全风险评估实施准则，但审核员宜评估组织是否基于已形成的决策建立了风险准则，包括风审核实践指南险接受准则和风险评估实施准则。比较合理的是，组织的风险准则包含在风险评估过程的文件化信息中。如果没有，组织宜能向审核员解释它们是什么。至少，它们宜包括组织的风险接受准则和风险评估实施准则。注7：GB/T22080一2016的8.2要求组织在计划的时间间隔内、重大变更提出或发生时进行信息安全风险评估。可对所有ISMS或部分ISMS进行风险评估（例如当重大变更对ISMS的部分产生影响时，就要求对该部分进行新的风险评估）结果的一致性、有效性和可比较性[GB/T22080一2016的6.1.2b]]18

GB/T284502020/ISO/IEC27007:2017

审核员宜确认组织已识别出ISMS范围内与信息保密性、完整性和可用性丧失相关的 信息安全风险。 注8：GB/T22080一2016不要求仅通过资产、威胁和脆弱性来识别风险。其他风险识 别方法也可接受，例如通过考虑事态和后果来识别风险。 可在组织有关风险评估的文件化信息中找到风险识别过程的描述（见下文）。 组织在制定风险识别方法时可考虑（非必需）的因素包括： a）如何发现、识别和描述风险； b）考虑的风险来源。 组织可考虑（非必需）的其他因素包括： a 风险如何产生、增强、预防、降低、加速或延迟组织实现其信息安全目标；风险与机 会相关，但非追求机会； b 风险来源是否在组织的控制下，即使风险来源或原因可能不明显； C) 检查特定后果的连锁效应，包括级联效应和累积效应； d）考虑各种后果，即使风险来源或产生原因不明显； e）考虑可能的原因和情景，以显示可能发生的后果； f)考虑所有重大原因和后果； g）如何建立全面的风险列表。 注9：发现无意中遗漏了大量必要的控制可能表明风险识别过程较弱。 宜通过抽样确认ISMS范围内的所有重要信息都包含在风险评估中。 审核员宜验证在风险评估结果的文件化信息中已识别出ISMS范围内与信息保密性、 完整性和可用性丧失相关的风险。组织的信息安全目标可辖助审核员识别信息安全 风险。 审核员还宜确认： a）对于每种风险，已确定风险责任人； b）每个风险责任人都有责任和权力来管理他们已识别的风险 风险分析[GB/T22080—2016的6.1.2d)]

灰铸铁标准GB/T28450—2020/IS0/IEC27007:2017

审核员宜确认： a）组织宜理解所识别风险的性质，确定风险的级别，作为信息安全风险评估过程中风 险分析的依据； b）风险分析为风险评价、风险需如何处置及最适当的风险处置、战略和方法方面的决 策提供输人。 审核员还宜确认组织已评估了其根据GB/T22080一2016的6.1.2c)所确定风险的潜 在后果和可能性，从而确定风险级别。 可在关于风险评估过程的文件化信息中找到组织风险分析方法的描述，结果将出现在 关于风险评估结果的文件化信息中（见下文)。审核员宜参考组织的风险管理策略、战 略和方法。 风险分析可： a）根据风险、分析目的以及可用的信息、数据和资源，以不同详略程度开展； b）定性、半定量、定量或这些方法的组合，依环境而定