国家标准计划《信息安全技术 信息安全控制评估指南》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 北京赛西认证有限责任公司 、中国电子技术标准化研究院 、中国合格评定国家认可中心等 。

本标准等同采用ISO/IEC国际标准：ISO/IEC TS 27008:2019。

采标中文名称:信息技术 安全技术 信息安全控制评估指南。

近年来，GB/T 22080-2016/ ISO/IEC 27001：2013《信息安全管理体系 要求》被组织广泛采用来建立、实现、维护和持续改进信息安全管理体系，同时也是第三方认证机构用于评估组织能力是否满足信息安全管理体系要求的标准。

信息安全管理体系采用整体的、协调的观点看待组织的信息安全风险，以便在一致的管理体系总体框架下实现一套全面的信息安全控制。

信息安全控制包括策略、过程、规程、组织结构和软硬件功能等。

必要时，需要建立、实现、监视、评审和改进这些控制，以确保其满足组织特定的安全和业务目标。

为与ISO/IEC 27001：2013相关概念同步更新，ISO/IEC TR 27008：2011 《Information technology -Security techniques-Guidelines for auditors on information security controls》于2019年修订为ISO/IEC TS 27008：2019，英文名称也修改为《Information technology-Security techniques-Guidelines for the assessment of information security controls》，中文译名为 《信息技术 安全技术 信息安全控制评估指南》，为了保持国家标准紧跟国际标准变化，因此有必要对国家标准GB/Z32916-2016进行修订。

本项目为评审和评估信息安全控制措施的实施与运行提供了指南，包括对信息系统控制措施的技术评估，该评估是依据组织制定的信息安全要求，包括基于组织制定的信息安全要求评估标准的技术符合性。本项目提供了对控制的评审方法，评估过程的控制的指南，以及技术安全性评估实践和云服务技术评估的指南。与GB/Z 32916-2016相比，主要技术变化如下：评审方法中增加了抽样技术；旧版中附录A删除，旧版中附录B在新版中为附录A；新版增加的附录B提供了一套使用GB/T 22081-2016中描述的典型技术控制进行技术评估的实用指南；新版增加的附录C提供了云服务技术评估指南。