GB/T 22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求

ICS35040

L80.

中華人民共和國國家標準

GB/T22080—2016/ISO/IEC270012013

代替:

GB/T22080—2008

信息技術(shù)安全技術(shù)

信息安全管理體系要求

Informationtechnology—Securitytechniques—Informationsecurity

managementsystems—Requirements

(ISO/IEC27001:2013,IDT)

2016-08-29發(fā)布2017-03-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T22080—2016/ISO/IEC270012013

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

組織環(huán)境

4…………………1

理解組織及其環(huán)境

4.1…………………1

理解相關(guān)方的需求和期望

4.2…………1

確定信息安全管理體系范圍

4.3………………………1

信息安全管理體系

4.4…………………2

領(lǐng)導

5………………………2

領(lǐng)導和承諾

5.1…………………………2

方針

5.2…………………2

組織的角色責任和權(quán)限

5.3,……………2

規(guī)劃

6………………………2

應對風險和機會的措施

6.1……………2

信息安全目標及其實現(xiàn)規(guī)劃

6.2………………………4

支持

7………………………4

資源

7.1…………………4

能力

7.2…………………4

意識

7.3…………………4

溝通

7.4…………………4

文件化信息

7.5…………………………5

運行

8………………………5

運行規(guī)劃和控制

8.1……………………5

信息安全風險評估

8.2…………………5

信息安全風險處置

8.3…………………6

績效評價

9…………………6

監(jiān)視測量分析和評價

9.1、、……………6

內(nèi)部審核

9.2……………6

管理評審

9.3……………6

改進

10………………………7

不符合及糾正措施

10.1…………………7

持續(xù)改進

10.2……………7

附錄規(guī)范性附錄參考控制目標和控制

A()……………8

Ⅰ

GB/T22080—2016/ISO/IEC270012013

:

附錄資料性附錄與版對比

NA()GB/T22080—2016GB/T22080—2008………18

附錄資料性附錄與主要關(guān)鍵詞變化

NB()GB/T22080—2016GB/T22080—2008……………20

參考文獻

……………………21

Ⅱ

GB/T22080—2016/ISO/IEC270012013

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2008《》。

與相比主要技術(shù)變化如下

GB/T22080—2008,:

結(jié)構(gòu)變化見附錄

———NA;

術(shù)語變化見附錄

———NB。

本標準使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系要

ISO/IEC27001:2013《

求

》。

與本標準中規(guī)范性引用的國際文件有一致性對應關(guān)系的我國文件如下

:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2012

(ISO/IEC27000:2009,IDT)

本標準做了下列編輯性修改

:

增加了資料性附錄

———NA;

增加了資料性附錄

———NB。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術(shù)標準化研究院中電長城網(wǎng)際系統(tǒng)應用有限公司中國信息安全認

:、、

證中心山東省標準化研究院廣州賽寶認證中心服務有限公司北京江南天安科技有限公司上海三零

、、、、

衛(wèi)士信息安全有限公司中國合格評定國家認可中心北京時代新威信息技術(shù)有限公司黑龍江電子信

、、、

息產(chǎn)品監(jiān)督檢驗院浙江遠望電子有限公司杭州在信科技有限公司

、、。

本標準主要起草人上官曉麗許玉娜閔京華尤其公偉盧列文倪文靜王連強陳冠直

:、、、、、、、、、

于驚濤付志高趙英慶盧普明王曙光虞仲華韓碩祥魏軍程瑜琦孔祥林鄔敏華李華李陽

、、、、、、、、、、、、。

本標準所代替標準的歷次版本發(fā)布情況為

:

———GB/T22080—2008。

Ⅲ

GB/T22080—2016/ISO/IEC270012013

:

引言

01總則

.

本標準提供建立實現(xiàn)維護和持續(xù)改進信息安全管理體系的要求采用信息安全管理體系是組織

、、。

的一項戰(zhàn)略性決策組織信息安全管理體系的建立和實現(xiàn)受組織的需要和目標安全要求組織所采用

。、、

的過程規(guī)模和結(jié)構(gòu)的影響所有這些影響因素可能隨時間發(fā)生變化

、。。

信息安全管理體系通過應用風險管理過程來保持信息的保密性完整性和可用性并為相關(guān)方樹立

、,

風險得到充分管理的信心

。

重要的是信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中并且在過程

,,、

信息系統(tǒng)和控制的設(shè)計中要考慮到信息安全期望的是信息安全管理體系的實現(xiàn)程度要與組織的需

。,

要相符合

。

本標準可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要求

。

本標準中所表述要求的順序不反映各要求的重要性或暗示這些要求要予實現(xiàn)的順序條款編號僅

。

為方便引用

。

描述了信息安全管理體系的概要和詞匯引用了信息安全管理體系標準族包括

ISO/IEC27000,(

[2][3][4]以及相關(guān)術(shù)語和定義

ISO/IEC27003、ISO/IEC27004、ISO/IEC27005),。

02與其他管理體系標準的兼容性

.

本標準應用合并導則附錄中定義的高層結(jié)構(gòu)相同條款標題相同文本通用術(shù)語和

ISO/IECSL、、、

核心定義因此維護了與其他采用附錄的管理體系的標準具有兼容性

,SL。

附錄中定義的通用途徑對于選擇運行單一管理體系來滿足兩個或更多管理體系標準要求的組

SL

織是有用的

。

Ⅳ

GB/T22080—2016/ISO/IEC270012013

:

信息技術(shù)安全技術(shù)

信息安全管理體系要求

1范圍

本標準規(guī)定了在組織環(huán)境下建立實現(xiàn)維護和持續(xù)改進信息安全管理體系的要求本標準還包括

、、。

了根據(jù)組織需求所剪裁的信息安全風險評估和處置的要求

。

本標準規(guī)定的要求是通用的適用于各種類型規(guī)?；蛐再|(zhì)的組織當組織聲稱符合本標準時不

,、。,

能排除第章到第章中所規(guī)定的任何要求

410。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

ISO/IEC27000(Informationtechnolo-

gy—Securitytechniques—In