GB/T 22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T22080—2016/ISO/IEC270012013

代替:

GB/T22080—2008

信息技術(shù)安全技術(shù)

信息安全管理體系要求

Informationtechnology—Securitytechniques—Informationsecurity

managementsystems—Requirements

(ISO/IEC27001:2013,IDT)

2016-08-29發(fā)布2017-03-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T22080—2016/ISO/IEC270012013

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

組織環(huán)境

4…………………1

理解組織及其環(huán)境

4.1…………………1

理解相關(guān)方的需求和期望

4.2…………1

確定信息安全管理體系范圍

4.3………………………1

信息安全管理體系

4.4…………………2

領(lǐng)導(dǎo)

5………………………2

領(lǐng)導(dǎo)和承諾

5.1…………………………2

方針

5.2…………………2

組織的角色責(zé)任和權(quán)限

5.3,……………2

規(guī)劃

6………………………2

應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施

6.1……………2

信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃

6.2………………………4

支持

7………………………4

資源

7.1…………………4

能力

7.2…………………4

意識(shí)

7.3…………………4

溝通

7.4…………………4

文件化信息

7.5…………………………5

運(yùn)行

8………………………5

運(yùn)行規(guī)劃和控制

8.1……………………5

信息安全風(fēng)險(xiǎn)評(píng)估

8.2…………………5

信息安全風(fēng)險(xiǎn)處置

8.3…………………6

績(jī)效評(píng)價(jià)

9…………………6

監(jiān)視測(cè)量分析和評(píng)價(jià)

9.1、、……………6

內(nèi)部審核

9.2……………6

管理評(píng)審

9.3……………6

改進(jìn)

10………………………7

不符合及糾正措施

10.1…………………7

持續(xù)改進(jìn)

10.2……………7

附錄規(guī)范性附錄參考控制目標(biāo)和控制

A()……………8

Ⅰ

GB/T22080—2016/ISO/IEC270012013

:

附錄資料性附錄與版對(duì)比

NA()GB/T22080—2016GB/T22080—2008………18

附錄資料性附錄與主要關(guān)鍵詞變化

NB()GB/T22080—2016GB/T22080—2008……………20

參考文獻(xiàn)

……………………21

Ⅱ

GB/T22080—2016/ISO/IEC270012013

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2008《》。

與相比主要技術(shù)變化如下

GB/T22080—2008,:

結(jié)構(gòu)變化見附錄

———NA;

術(shù)語(yǔ)變化見附錄

———NB。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系要

ISO/IEC27001:2013《

求

》。

與本標(biāo)準(zhǔn)中規(guī)范性引用的國(guó)際文件有一致性對(duì)應(yīng)關(guān)系的我國(guó)文件如下

:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2012

(ISO/IEC27000:2009,IDT)

本標(biāo)準(zhǔn)做了下列編輯性修改

:

增加了資料性附錄

———NA;

增加了資料性附錄

———NB。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司中國(guó)信息安全認(rèn)

:、、

證中心山東省標(biāo)準(zhǔn)化研究院廣州賽寶認(rèn)證中心服務(wù)有限公司北京江南天安科技有限公司上海三零

、、、、

衛(wèi)士信息安全有限公司中國(guó)合格評(píng)定國(guó)家認(rèn)可中心北京時(shí)代新威信息技術(shù)有限公司黑龍江電子信

、、、

息產(chǎn)品監(jiān)督檢驗(yàn)院浙江遠(yuǎn)望電子有限公司杭州在信科技有限公司

、、。

本標(biāo)準(zhǔn)主要起草人上官曉麗許玉娜閔京華尤其公偉盧列文倪文靜王連強(qiáng)陳冠直

:、、、、、、、、、

于驚濤付志高趙英慶盧普明王曙光虞仲華韓碩祥魏軍程瑜琦孔祥林鄔敏華李華李陽(yáng)

、、、、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T22080—2008。

Ⅲ

GB/T22080—2016/ISO/IEC270012013

:

引言

01總則

.

本標(biāo)準(zhǔn)提供建立實(shí)現(xiàn)維護(hù)和持續(xù)改進(jìn)信息安全管理體系的要求采用信息安全管理體系是組織

、、。

的一項(xiàng)戰(zhàn)略性決策組織信息安全管理體系的建立和實(shí)現(xiàn)受組織的需要和目標(biāo)安全要求組織所采用

。、、

的過(guò)程規(guī)模和結(jié)構(gòu)的影響所有這些影響因素可能隨時(shí)間發(fā)生變化

、。。

信息安全管理體系通過(guò)應(yīng)用風(fēng)險(xiǎn)管理過(guò)程來(lái)保持信息的保密性完整性和可用性并為相關(guān)方樹立

、,

風(fēng)險(xiǎn)得到充分管理的信心

。

重要的是信息安全管理體系是組織的過(guò)程和整體管理結(jié)構(gòu)的一部分并集成在其中并且在過(guò)程

,,、

信息系統(tǒng)和控制的設(shè)計(jì)中要考慮到信息安全期望的是信息安全管理體系的實(shí)現(xiàn)程度要與組織的需

。,

要相符合

。

本標(biāo)準(zhǔn)可被內(nèi)部和外部各方用于評(píng)估組織的能力是否滿足自身的信息安全要求

。

本標(biāo)準(zhǔn)中所表述要求的順序不反映各要求的重要性或暗示這些要求要予實(shí)現(xiàn)的順序條款編號(hào)僅

。

為方便引用

。

描述了信息安全管理體系的概要和詞匯引用了信息安全管理體系標(biāo)準(zhǔn)族包括

ISO/IEC27000,(

[2][3][4]以及相關(guān)術(shù)語(yǔ)和定義

ISO/IEC27003、ISO/IEC27004、ISO/IEC27005),。

02與其他管理體系標(biāo)準(zhǔn)的兼容性

.

本標(biāo)準(zhǔn)應(yīng)用合并導(dǎo)則附錄中定義的高層結(jié)構(gòu)相同條款標(biāo)題相同文本通用術(shù)語(yǔ)和

ISO/IECSL、、、

核心定義因此維護(hù)了與其他采用附錄的管理體系的標(biāo)準(zhǔn)具有兼容性

,SL。

附錄中定義的通用途徑對(duì)于選擇運(yùn)行單一管理體系來(lái)滿足兩個(gè)或更多管理體系標(biāo)準(zhǔn)要求的組

SL

織是有用的

。

Ⅳ

GB/T22080—2016/ISO/IEC270012013

:

信息技術(shù)安全技術(shù)

信息安全管理體系要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了在組織環(huán)境下建立實(shí)現(xiàn)維護(hù)和持續(xù)改進(jìn)信息安全管理體系的要求本標(biāo)準(zhǔn)還包括

、、。

了根據(jù)組織需求所剪裁的信息安全風(fēng)險(xiǎn)評(píng)估和處置的要求

。

本標(biāo)準(zhǔn)規(guī)定的要求是通用的適用于各種類型規(guī)?；蛐再|(zhì)的組織當(dāng)組織聲稱符合本標(biāo)準(zhǔn)時(shí)不

,、。,

能排除第章到第章中所規(guī)定的任何要求

410。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

ISO/IEC27000(Informationtechnolo-

gy—Securitytechniques—In