信息技術(shù) 安全技術(shù) ISO-IEC 27001具體行業(yè)應(yīng)用要求-編制說(shuō)明

一、工作簡(jiǎn)況根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)“關(guān)于下達(dá)2017年第四批國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃的通知（國(guó)標(biāo)委綜合〔2017〕128號(hào)）”的安排，由山東省標(biāo)準(zhǔn)化研究院負(fù)責(zé)起草《信息技術(shù)安全技術(shù)GB/T22080-2016具體行業(yè)應(yīng)用要求》國(guó)家標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口，該標(biāo)準(zhǔn)計(jì)劃號(hào)為：20173858-T-469。本標(biāo)準(zhǔn)主要起草單位包括：山東省標(biāo)準(zhǔn)化研究院、中國(guó)信息安全認(rèn)證中心、陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、成都秦川物聯(lián)網(wǎng)科技股份有限公司等。本標(biāo)準(zhǔn)主要起草人：。主要工作過(guò)程如下：1、2016年3月-2017年3月，跟蹤信息安全國(guó)際標(biāo)準(zhǔn)ISO/IEC27009:2016相關(guān)標(biāo)準(zhǔn)編制情況，了解標(biāo)準(zhǔn)主要內(nèi)容；2、2017年3月-2017年4月，形成標(biāo)準(zhǔn)草案第一稿，參加全國(guó)信安標(biāo)委武漢2017年第一次會(huì)議周，會(huì)上匯報(bào)標(biāo)準(zhǔn)相關(guān)情況，參與標(biāo)準(zhǔn)立項(xiàng)匯報(bào)；3、2017年7月14日，全國(guó)信安標(biāo)委正式下達(dá)了國(guó)家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)GB/T22080-2016具體行業(yè)應(yīng)用要求》制定任務(wù)；4、2017年8月，由項(xiàng)目牽頭單位和參與單位共同組成的標(biāo)準(zhǔn)編制組正式成立并啟動(dòng)工作。5、2017年4月至2017年9月，標(biāo)準(zhǔn)編制組內(nèi)部修改完善標(biāo)準(zhǔn)，并繼續(xù)跟蹤和研究ISMS標(biāo)準(zhǔn)族的其他相關(guān)標(biāo)準(zhǔn)。6、2017年9月，形成《信息技術(shù)安全技術(shù)GB/T22080-2016具體行業(yè)應(yīng)用要求》標(biāo)準(zhǔn)草案第二稿及編制說(shuō)明；7、2017年9月，在北京召開(kāi)《信息技術(shù)安全技術(shù)GB/T22080-2016具體行業(yè)應(yīng)用要求》標(biāo)準(zhǔn)草案第二稿專家征求意見(jiàn)會(huì)，與會(huì)專家對(duì)標(biāo)準(zhǔn)提出了意見(jiàn)，并給出了下一步標(biāo)準(zhǔn)改進(jìn)方向；8、2017年10月，標(biāo)準(zhǔn)編制組根據(jù)專家意見(jiàn)對(duì)標(biāo)準(zhǔn)進(jìn)行了修改完善，形成了《信息技術(shù)安全技術(shù)GB/T22080-2016具體行業(yè)應(yīng)用要求》標(biāo)準(zhǔn)草案第三稿，并更新了標(biāo)準(zhǔn)編制說(shuō)明和標(biāo)準(zhǔn)編制意見(jiàn)匯總表；9、2017年10月，參加全國(guó)信安標(biāo)委在廈門舉辦的2017年第二次工作組會(huì)議周，會(huì)上匯報(bào)標(biāo)準(zhǔn)相關(guān)情況，并征集相關(guān)專家意見(jiàn)，會(huì)議通過(guò)工作組決議，本標(biāo)準(zhǔn)進(jìn)入征求意見(jiàn)稿；10、2017年10月-11月，針對(duì)全國(guó)信安標(biāo)委2017年第二次會(huì)議周專家意見(jiàn)，對(duì)標(biāo)準(zhǔn)進(jìn)行修改完善，形成標(biāo)準(zhǔn)征求意見(jiàn)第一稿，并更新了標(biāo)準(zhǔn)編制說(shuō)明和標(biāo)準(zhǔn)編制意見(jiàn)匯總表，將形成的征求意見(jiàn)稿提交全國(guó)信安標(biāo)委秘書處，進(jìn)行公開(kāi)征求意見(jiàn)工作；11、2017年12月-2018年1月，秘書處面向部分專家對(duì)標(biāo)準(zhǔn)進(jìn)行審查，編制組對(duì)標(biāo)準(zhǔn)進(jìn)行修改完善，形成形成標(biāo)準(zhǔn)征求意見(jiàn)第二稿，并更新了標(biāo)準(zhǔn)編制說(shuō)明和標(biāo)準(zhǔn)編制意見(jiàn)匯總表，將形成的征求意見(jiàn)稿提交全國(guó)信安標(biāo)委秘書處；12、2017年12月29日，國(guó)標(biāo)委正式下達(dá)關(guān)于下達(dá)2017年第四批國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃的通知（國(guó)標(biāo)委綜合〔2017〕128號(hào)），本標(biāo)準(zhǔn)正式立項(xiàng)，計(jì)劃號(hào)為：20173858-T-469。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題本標(biāo)準(zhǔn)深入研究信息安全管理體系在具體行業(yè)應(yīng)用，修改采用國(guó)際標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)GB/T22080-2016具體行業(yè)應(yīng)用要求》（ISO/IEC27009），制定《信息技術(shù)安全技術(shù)GB/T22080-2016具體行業(yè)應(yīng)用要求》國(guó)家標(biāo)準(zhǔn)，為如何附加、細(xì)化或解釋GB/T22080-2016要求、如何附加或修改GB/T22080-2016的具體行業(yè)應(yīng)用指南提供要求，進(jìn)一步完善我國(guó)信息安全管理標(biāo)準(zhǔn)體系。按照GB/T20000.2-2009的要求，本標(biāo)準(zhǔn)編制原則：a）修改采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27009：2016《信息技術(shù)安全技術(shù)GB/T22080-2016具體行業(yè)應(yīng)用要求》。理由如下：——國(guó)際標(biāo)準(zhǔn)ISO/IEC27009:2016中未給出依據(jù)附錄A形成的面向行業(yè)的信息安全管理體系，本標(biāo)準(zhǔn)依據(jù)附錄A給出了面向醫(yī)療的信息安全管理體系，根據(jù)GB/T20000.2-2009《標(biāo)準(zhǔn)化工作指南第2部分：采用國(guó)際標(biāo)準(zhǔn)》中4.3規(guī)定，“國(guó)家標(biāo)準(zhǔn)內(nèi)容多與相應(yīng)的國(guó)際標(biāo)準(zhǔn)”，因此采用修改采用。b）重新起草法：按照GB/T20000.1-2009要求，修改采用國(guó)際標(biāo)準(zhǔn)采用重新起草法，在國(guó)際標(biāo)準(zhǔn)基礎(chǔ)上重新編寫國(guó)家標(biāo)準(zhǔn)。標(biāo)準(zhǔn)主要內(nèi)容如下：本標(biāo)準(zhǔn)規(guī)定了在任何具體行業(yè)（領(lǐng)域、應(yīng)用區(qū)域或市場(chǎng)部門）使用GB/T22080-2016的要求。本標(biāo)準(zhǔn)解釋了如何在GB/T22080-2016要求上包含附加的要求，如何細(xì)化GB/T22080-2016的要求，和如何包含GB/T22080-2016附錄A之外的控制或控制集。本標(biāo)準(zhǔn)確保附加的或細(xì)化的要求與GB/T22080-2016的要求不沖突。本標(biāo)準(zhǔn)適用于那些制定與GB/T22080-2016相關(guān)具體行業(yè)標(biāo)準(zhǔn)的組織。三、主要試驗(yàn)[或驗(yàn)證]情況分析無(wú)。四、知識(shí)產(chǎn)權(quán)情況說(shuō)明本部分不涉及專利和知識(shí)產(chǎn)權(quán)。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果本標(biāo)準(zhǔn)主要針對(duì)應(yīng)用GB/T22080-2016的具體行業(yè)尤其是關(guān)鍵信息基礎(chǔ)設(shè)施所在行業(yè)（如金融、能源、電子政務(wù)、公共服務(wù)），開(kāi)發(fā)在GB/T22080-2016和GB/T22081-2016基礎(chǔ)上的行業(yè)信息安全管理要求和指南，推動(dòng)信息安全管理體系在不同行業(yè)尤其是關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的深入應(yīng)用。本標(biāo)準(zhǔn)主要保證在行業(yè)信息安全管理標(biāo)準(zhǔn)制定過(guò)程中與信息安全管理體系標(biāo)準(zhǔn)族標(biāo)準(zhǔn)保持一致性，并完善ISMS標(biāo)準(zhǔn)體系。目前，在醫(yī)療、電信、云計(jì)算等具體行業(yè)發(fā)布的相關(guān)行業(yè)應(yīng)用標(biāo)準(zhǔn)有：1）GB/T32920-2016，行業(yè)間和組織間通信的信息安全管理（ISO/IEC27010:2012,IDT）2)ISO/IEC27011，基于ISO/IEC27002的電信組織信息安全管理指南3)ISO/IEC27017，基于ISO/IEC27002的云計(jì)算信息安全控制實(shí)踐指南4)ISO/IEC27018，可識(shí)別個(gè)人信息（PII）處理者在公有云中保護(hù)PII的實(shí)踐指南六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況本標(biāo)準(zhǔn)修改采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27009:2016《信息技術(shù)安全技術(shù)ISO/IEC27001具體行業(yè)應(yīng)用要求》。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性截至目前，尚未發(fā)現(xiàn)本部分與我國(guó)有關(guān)的現(xiàn)行法律、法規(guī)和相關(guān)強(qiáng)制性標(biāo)準(zhǔn)相沖突。本標(biāo)準(zhǔn)屬于信息安全管理體系標(biāo)準(zhǔn)族標(biāo)準(zhǔn)之一，主要為使用GB/T22080-2016的具體行業(yè)尤其是關(guān)鍵信息基礎(chǔ)設(shè)施所在行業(yè)增加附加要求。目前，在信息安全管理體系方面，我國(guó)已發(fā)布信息安全管理體系相關(guān)標(biāo)準(zhǔn)包括GB/T22080-2016《信息技術(shù)安全技術(shù)信息安全管理體系要求》、22081-2016《信息技術(shù)安全技術(shù)信息安全管理實(shí)踐指南》、GB/T25067-2016《信息技術(shù)安全技術(shù)信息安全管理體系審核和認(rèn)證機(jī)構(gòu)的要求》、GB/T28450-2012《信息安全技術(shù)信息安全管理體系審核指南》、GB/T31496-2015《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》、GB/T31722-2015《信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理》、GB/Z32916-2016《信息技術(shù)安全技術(shù)信息安全控制措施審核員指南》、GB/T32923-2016《信息技術(shù)安全技術(shù)信息安全治理》、GB/T32920-2016《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》等，本標(biāo)準(zhǔn)與它們相輔相成，共同組成信息安全管理體系標(biāo)準(zhǔn)族，推動(dòng)我國(guó)信息安全管理體系建設(shè)工作。八、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)無(wú)。九、標(biāo)準(zhǔn)性質(zhì)的建議建議作為推薦性標(biāo)準(zhǔn)發(fā)布實(shí)施。十、貫徹標(biāo)準(zhǔn)的要求和措施建議該標(biāo)準(zhǔn)確定在具體行業(yè)使用GB/T22080-2016的要求，適用于那些制定與GB/T22080-2016相關(guān)具體行業(yè)標(biāo)準(zhǔn)的組織，因此建議在GB/T22080-2016應(yīng)用的具體行業(yè)尤其是關(guān)鍵信息基礎(chǔ)設(shè)施所在的行業(yè)對(duì)標(biāo)準(zhǔn)進(jìn)行宣貫和培訓(xùn)，在具體行業(yè)推動(dòng)制定與GB/T22080-2016相關(guān)的具體行業(yè)標(biāo)準(zhǔn)，使信息安全管理體系在具體行業(yè)的應(yīng)用更深入。同時(shí)，為更好推動(dòng)本標(biāo)準(zhǔn)落地實(shí)施，本標(biāo)準(zhǔn)在原國(guó)際標(biāo)準(zhǔn)基礎(chǔ)上，新增資料性附錄NA,面向醫(yī)療的信息安全管理體系示例，以指導(dǎo)本標(biāo)準(zhǔn)面向具體行業(yè)的實(shí)施。十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議無(wú)。十二、其它應(yīng)予說(shuō)明的事項(xiàng)無(wú)。國(guó)家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)GB/T22080-2016具體行業(yè)應(yīng)用要求》（征求意見(jiàn)稿）編制說(shuō)明國(guó)家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)GB/T