GB/T 38631-2020信息技術(shù)安全技術(shù)GB/T 22080具體行業(yè)應(yīng)用要求

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T38631—2020

信息技術(shù)安全技術(shù)

GB/T22080具體行業(yè)應(yīng)用要求

Informationtechnology—Securitytechniques—

Sector-specificapplicationofGB/T22080—Requirements

(ISO/IEC27009:2016,Informationtechnology—Securitytechniques—

Sector-specificapplicationofISO/IEC27001—Requirements,MOD)

2020-04-28發(fā)布2020-11-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T38631—2020

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

概述

4………………………1

總則

4.1…………………1

本標(biāo)準(zhǔn)結(jié)構(gòu)

4.2…………………………2

擴(kuò)展要求或控制

4.3GB/T22080GB/T22081……………………2

補(bǔ)充細(xì)化或解釋要求

5、GB/T22080……………………2

總則

5.1…………………2

補(bǔ)充要求

5.2……………3

細(xì)化要求

5.3……………3

解釋要求

5.4……………3

補(bǔ)充或修改指南

6GB/T22081…………3

總則

6.1…………………3

補(bǔ)充指南

6.2……………4

修改指南

6.3……………4

附錄規(guī)范性附錄制定與或相關(guān)的具體行業(yè)標(biāo)準(zhǔn)

A()GB/T22080—2016GB/T22081—2016

的模板

……………5

附錄資料性附錄面向醫(yī)療行業(yè)的信息安全管理體系指南示例

B()…………………8

參考文獻(xiàn)

……………………11

GB/T38631—2020

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用重新起草法修改采用信息技術(shù)安全技術(shù)具

ISO/IEC27009:2016《ISO/IEC27001

體行業(yè)應(yīng)用要求

》。

本標(biāo)準(zhǔn)與的技術(shù)性差異及其產(chǎn)生的原因如下

ISO/IEC27009:2016:

范圍增加本標(biāo)準(zhǔn)適用于制定與相關(guān)的具體行業(yè)標(biāo)準(zhǔn)見第章

———“GB/T22080”(1);

刪除之外的組織也制定了實(shí)現(xiàn)具體行業(yè)需求的標(biāo)準(zhǔn)

———4.1“ISO/IEC”;

增加依據(jù)附錄面向醫(yī)療行業(yè)的信息安全管理體系指南示例參見附錄見

———“A,B”(4.2);

附錄的刪除具體行業(yè)標(biāo)準(zhǔn)宜命名如下面向行業(yè)的信息安全管理體系

———AA.1“:<>”;

附錄的模板中和的控制目標(biāo)號(hào)控制目標(biāo)標(biāo)題和控制號(hào)控制標(biāo)題改為

———AA.2,4.25<><><><>

控制目標(biāo)號(hào)控制目標(biāo)標(biāo)題控制號(hào)控制標(biāo)題以避免標(biāo)題與其后文字混淆

<>[<>]、<>[<>],;

附錄的模板中和中對(duì)行業(yè)至少使用三個(gè)字母作為前綴改為對(duì)行業(yè)使用國(guó)

———AA.2,4.25,“”“

民經(jīng)濟(jì)行業(yè)名稱見作為前綴中強(qiáng)制實(shí)施的控制使用作為控

(GB/T4754—2017)”,4.2,“(M)

制編號(hào)的前綴改為使用強(qiáng)制作為控制編號(hào)的前綴

”“()”。

本標(biāo)準(zhǔn)做了下列編輯性修改

:

增加了參考文獻(xiàn)和

———ISO27799:2016ISO22600;

增加資料性附錄面向醫(yī)療行業(yè)的信息安全管理體系指南示例有利于標(biāo)準(zhǔn)落地實(shí)施

———B“”,。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位山東省標(biāo)準(zhǔn)化研究院中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心成都秦川物聯(lián)網(wǎng)科技

:、、

股份有限公司陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心山東崇弘信息技術(shù)有限公司

、、。

本標(biāo)準(zhǔn)主要起草人王曙光魏軍王慶升公偉張斌來(lái)永鈞邵澤華趙首花楊銳尤其郭楊

:、、、、、、、、、、、

權(quán)亞強(qiáng)李怡何果路津李紅勝路征陳慧勤劉勘偽于秀彥胡鑫磊王棟劉鑫

、、、、、、、、、、、。

Ⅰ

GB/T38631—2020

信息技術(shù)安全技術(shù)

GB/T22080具體行業(yè)應(yīng)用要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了應(yīng)用于具體行業(yè)領(lǐng)域應(yīng)用時(shí)的要求本標(biāo)準(zhǔn)解釋了如何在

GB/T22080(、)。

要求上包含補(bǔ)充要求如何細(xì)化的要求以及如何包含附

GB/T22080,GB/T22080,GB/T22080—2016

錄之外的控制或控制集

A。

本標(biāo)準(zhǔn)確保補(bǔ)充的或細(xì)化的要求與的要求不沖突

GB/T22080。

本標(biāo)準(zhǔn)適用于制定與相關(guān)的具體行業(yè)標(biāo)準(zhǔn)

GB/T22080。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2016(ISO/IEC27001:2013,

IDT)

信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南

GB/T22081—2016(ISO/IEC27002:2013,IDT)

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T29246—2017(ISO/IEC27000:

2016,IDT)

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T29246—2017。

31

.

解釋interpretation

在具體行業(yè)背景下對(duì)要求的說(shuō)明以要求或指南的形式該說(shuō)明不會(huì)使

GB/T22080(),GB/T22080

的要求失效

。

32

.

細(xì)化refinement

要求在具體行業(yè)的詳述該詳述不會(huì)刪除任一要求或