标准研制 | 长扬科技参与研制的《信息安全技术 信息安全控制评估指南》正式发布

2023年9月7日，长扬科技参与研制的网络安全国家标准GB/T 32916—2023《信息安全技术 信息安全控制评估指南》正式发布，并将于2024年4月1日实施。此项标准由全国信息安全标准化技术委员会(SAC/TC260）归口。

GB/T 32916—2023《信息安全技术 信息安全控制评估指南》由北京赛西认证有限责任公司牵头编写，代替了GB/Z 32916—2016。根据GB/T 1.1-2020和GB/T 1.2-2020的要求，为与现有标准化文件协调，对原标准做了修订。

一、标准文本主要内容变化

评估方法中增加了抽样方法的内容资料性附录B，该附录使用GB/T 22081-2016(注: 旧版使用GB/T 22081-2008) 描述的典型技术性控制措施为技术性评估提供实践指南。新版标准增加了云服务技术性评估指南的资料性附录C，为评估ISO/IEC C27017:2015中的控制措施和实现指南的实施和运行提供指引。

二、标准主要内容

1.信息安全控制措施评估概述，包括初步信息、评估检查单、现场评估、分析过程等评估过程，以及资源和能力。

2.列举说明信息安全控制的评估方法，包括:过程分析、检查、测试与确认、抽样。

3.分析信息安全控制的评估过程，包括:准备工作、策划评估以及实施评估。

4.资料性附录A给出了评估时进行初始信息 (除信息技术以外)收集的指南。

5.资料性附录B和C给出了信息安全控制措施进行技术性评估的实践指南。

6.本标准增加了资料性附录NA，给出了GB/T 22081-2016与ISO/IEC 27002:2022控制措施的对应关系。

三、标准应用

信息安全控制措施作为一个整体，最终目的是以合理的成本效益和与业务一致的方式，充分缓解组织认为不可接受和不可避免的信息安全风险。本标准提供了如何评估组织信息安全控制措施，以确认其确实适用、有效且高效。本标准适用于各种类型和规模的组织开展信息安全评估和技术符合性检查。

长扬科技标准化建设工作

自公司成立以来，长扬科技积极参与行业标准制定工作推动行业进步和发展。截至目前，长扬科技牵头和参与制定/修订网络安全国家标准、行业标准及团体标准百余项，参与标准研究项目或技术白皮书20余项。在“网络安全专用产品”、“网络安全产品互联互通”、“网络安全管理体系”、“网络安全人才培养”、“信息技术应用创新”、“软件供应链安全”、“关键信息基础设施保护”、“工业互联网企业网络安全”、“数据安全”等产业重点方向均有覆盖。同时，长扬科技可为电力、石油石化、轨道交通、城市市政、化工、智能制造、钢铁冶金等行业客户提供标准化咨询服务，协助客户开展企业标准、外部标准（国标、行标、团标）的立项与编制工作。

以推动行业发展为己任，长扬科技致力于打造专业化、标准化安全产品及服务团队，通过大量的研发投入、行业研究、实践积累，加入多个标准化组织，不断探索行业技术发展方向和产业提升路径，为行业规范化、标准化工作持续贡献力量。

信息来源：国家标准化管理委员会

https://std.sacinfo.org.cn/gnoc/queryInfoid=BFF2969E39C386BCF2B0E8918649BF21

信息来源：全国标准信息公共服务平台

https://std.samr.gov.cn//gb/search/gbDetailedid=053404E3EEB58F91E06397BE0A0A9209