GB/T 22081-2024網(wǎng)絡(luò)安全技術(shù)信息安全控制

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T22081—2024/ISO/IEC270022022

:

代替GB/T22081—2016

網(wǎng)絡(luò)安全技術(shù)信息安全控制

Cybersecuritytechnology—Informationsecuritycontrols

ISO/IEC270022022Informationsecuritcbersecuritand

(:,y,yy

rivacrotection—InformationsecuritcontrolsIDT

pypy,)

2024-09-29發(fā)布2025-04-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T22081—2024/ISO/IEC270022022

:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語定義和縮略語

3、………………………1

術(shù)語和定義

3.1…………………………1

縮略語

3.2………………5

文件結(jié)構(gòu)

4…………………6

章條設(shè)置

4.1……………6

主題和屬性

4.2…………………………7

控制的設(shè)計

4.3…………………………7

組織控制

5…………………8

信息安全策略

5.1………………………8

信息安全角色和責任

5.2………………10

職責分離

5.3……………11

管理責任

5.4……………12

與職能機構(gòu)的聯(lián)系

5.5…………………13

與特定相關(guān)方的聯(lián)系

5.6………………13

威脅情報

5.7……………14

項目管理中的信息安全

5.8……………15

信息及其他相關(guān)資產(chǎn)的清單

5.9………………………17

信息及其他相關(guān)資產(chǎn)的可接受使用

5.10……………18

資產(chǎn)歸還

5.11…………………………19

信息分級

5.12…………………………20

信息標記

5.13…………………………21

信息傳輸

5.14…………………………23

訪問控制

5.15…………………………25

身份管理

5.16…………………………26

鑒別信息

5.17…………………………27

訪問權(quán)限

5.18…………………………29

供應(yīng)商關(guān)系中的信息安全

5.19………………………30

在供應(yīng)商協(xié)議中強調(diào)信息安全

5.20…………………32

管理信息通信技術(shù)供應(yīng)鏈中的信息安全

5.21………34

Ⅰ

GB/T22081—2024/ISO/IEC270022022

:

供應(yīng)商服務(wù)的監(jiān)視評審和變更管理

5.22、……………35

云服務(wù)使用的信息安全

5.23…………37

信息安全事件管理規(guī)劃和準備

5.24…………………38

信息安全事態(tài)的評估和決策

5.25……………………40

信息安全事件的響應(yīng)

5.26……………41

從信息安全事件中學習

5.27…………42

證據(jù)收集

5.28…………………………42

中斷期間的信息安全

5.29……………43

業(yè)務(wù)連續(xù)性的信息通信技術(shù)就緒

5.30………………44

法律法規(guī)規(guī)章和合同要求

5.31、、……………………46

知識產(chǎn)權(quán)

5.32…………………………47

記錄的保護

5.33………………………48

隱私和個人可識別信息保護

5.34……………………49

信息安全的獨立評審

5.35……………50

符合信息安全的策略規(guī)則和標準

5.36、………………51

文件化的操作規(guī)程

5.37………………52

人員控制

6…………………53

審查

6.1…………………53

任用條款和條件

6.2……………………54

信息安全意識教育和培訓

6.3、………………………55

違規(guī)處理過程

6.4………………………57

任用終止或變更后的責任

6.5…………58

保密或不泄露協(xié)議

6.6…………………59

遠程工作

6.7……………60

信息安全事態(tài)的報告

6.8………………61

物理控制

7…………………62

物理安全邊界

7.1………………………62

物理入口

7.2……………63

辦公室房間和設(shè)施的安全保護

7.3、…………………64

物理安全監(jiān)視

7.4………………………65

物理和環(huán)境威脅防范

7.5………………66

在安全區(qū)域工作

7.6……………………67

清理桌面和屏幕

7.7……………………68

設(shè)備安置和保護

7.8……………………69

組織場所外的資產(chǎn)安全

7.9……………70

存儲媒體

7.10…………………………71

支持性設(shè)施

7.11………………………72

Ⅱ

GB/T22081—2024/ISO/IEC270022022

:

布纜安全

7.12…………………………73

設(shè)備維護

7.13…………………………74

設(shè)備的安全處置或重復使用

7.14……………………75

技術(shù)控制

8…………………76

用戶終端設(shè)備

8.1………………………76

特許訪問權(quán)限

8.2………………………78

信息訪問限制

8.3………………………79

源代碼的訪問

8.4………………………80

安全鑒別

8.5……………81

容量管理

8.6……………83

惡意軟件防范

8.7………………………84

技術(shù)脆弱性管理

8.8……………………85

配置管理

8.9……………88

信息刪除

8.10…………………………90

數(shù)據(jù)脫敏

8.11…………………………91

數(shù)據(jù)防泄露

8.12………………………92

信息備份

8.13…………………………93

信息處理設(shè)施的冗余

8.14……………95

日志

8.15………………96

監(jiān)視活動

8.16…………………………98

時鐘同步

8.17…………………………100

特權(quán)實用程序的使用

8.18……………100

運行系統(tǒng)軟件的安裝

8.19……………101

網(wǎng)絡(luò)安全

8.20…………………………102

網(wǎng)絡(luò)服務(wù)的安全

8.21…………………104

網(wǎng)絡(luò)隔離

8.22…………………………105

網(wǎng)頁過濾

8.23…………………………106

密碼技術(shù)的使用

8.24…………………106

安全開發(fā)生存周期

8.25………………108

應(yīng)用程序安全要求

8.26………………109

系統(tǒng)安全架構(gòu)和工程原則

8.27………………………111

安全編碼

8.28…………………………113

開發(fā)和驗收中的安全測試

8.29………………………115

開發(fā)外包

8.30…………………………116

開發(fā)測試和生產(chǎn)環(huán)境的隔離

8.31、…………………117

變更管理

8.32…………………………118

測試信息

8.33…………………………119

Ⅲ

GB/T22081—2024/ISO/IEC270022022

:

在審計測試中保護信息系統(tǒng)

8.34……………………120

附錄資料性屬性的使用

A()…………122

概述

A.1………………122

組織視圖

A.2…………………………132

附錄資料性本文件與的對應(yīng)關(guān)系

B()GB/T22081—2016………133

參考文獻

……………………143

Ⅳ

GB/T22081—2024/ISO/IEC270022022

:

前言

本文件按照標準化工作導則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術(shù)安全技術(shù)信息安全控制實踐指南與

GB/T22081—2016《》,GB/T22081—

相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下

2016,,:

對控制進行了合并刪除同時也增加了新的控制與對應(yīng)關(guān)系見附錄

———、,,GB/T22081—2016B。

本文件等同采用信息安全網(wǎng)絡(luò)安全和隱私保護信息安全控制

ISO/IEC27002:2022《、》。

本文件做了下列最小限度的編輯性改動

:

為與現(xiàn)有網(wǎng)絡(luò)安全國家標準協(xié)調(diào)一致標準名稱調(diào)整為網(wǎng)絡(luò)安全技術(shù)信息安全控制

———,《》。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由全國網(wǎng)絡(luò)安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位北京賽西科技發(fā)展有限責任公司中國合格評定國家認可中心中電長城網(wǎng)際系

:、、

統(tǒng)應(yīng)用有限公司中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心北京賽西認證有限責任公司北京時代新威信息

、、、

技術(shù)有限公司北京江南天安科技有限公司山東省標準化研究院四川大學杭州安恒信息技術(shù)股份有

、、、、

限公司黑龍江省網(wǎng)絡(luò)空間研究中心上海浦東發(fā)展銀行股份有限公司信用卡中心北京百度網(wǎng)訊科技

、、、

有限公司亞信科技成都有限公司工業(yè)互聯(lián)網(wǎng)創(chuàng)新中心上海有限公司阿里云計算有限公司聯(lián)想

、()、()、、

北京有限公司深信服科技股份有限公司啟明星辰信息技術(shù)集團股份有限公司麒麟軟件有限公司

()、、、、

易航科技股份有限公司華夏認證中心有限公司北京數(shù)安行科技有限公司上海觀安信息技術(shù)股份有

、、、

限公司網(wǎng)安聯(lián)信息技術(shù)有限公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司國家信息技術(shù)安全研究中心北

、、、、

京藍象標準咨詢服務(wù)有限公司廈門美柚股份有限公司長揚科技北京股份有限公司浪潮電子信息

、、()、

產(chǎn)業(yè)股份有限公司中科信息安全共性技術(shù)國家工程研究中心有限公司陜西省網(wǎng)絡(luò)與信息安全測評中

、、

心美的集團股份有限公司中能融合智慧科技有限公司北京神州綠盟科技有限公司華為技術(shù)有限公

、、、、

司北京時代億信科技股份有限公司北京源堡科技有限公司國網(wǎng)新疆電力有限公司電力科學研究院

、、、、

北京快手科技有限公司

。

本文件主要起草人上官曉麗王姣王秉政甘俊杰付志高閔京華尤其趙麗華許玉娜

:、、、、、、、、、

王連強陳冠直朱雪峰公偉林陽薈晨胡勇趙玉潔陳星李銳王寒生鐵錦程李文清郭建領(lǐng)

、、、、、、、、、、、、、

廖雙曉秦峰黃正艷施辰琛劉晨楊天識楊詔鈞趙翔夏芳劉玉紅謝江阮懿宗謝琴朱松

、、、、、、、、、、、、、、

肖婷婷張德保黃鵬華張亞京高麗琴胡建勛楊帆張亮亮劉長川程潞樣張喆易天舒俞曉昕

、、、、、、、、、、、、、

顧俊鄒振婉劉海軍袁瑩穎王昕

、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為年第一次修訂

———2008GB/T22081—2008,2016;

本次為第二次修訂

———。

Ⅴ

GB/T22081—2024/ISO/IEC270022022

:

引言

01背景

.

本文件適用于所有類型和規(guī)模的組織組織在實施基于信息安全管理體系的信息安

。GB/T22080

全風險處置時本文件作為其確定和實施所需控制的參考本文件還作為組織在確定和實施普遍接受的

,;

信息安全控制時的指導文件此外本文件還能用于針對行業(yè)或組織的具體信息安全風險環(huán)境編制其

。,

信息安全管理指南除本文件包含的控制外能通過風險評估來確定特定于組織或環(huán)境所需要的控制

。,。

所有類型和規(guī)模的組織包括公共和私營部門商業(yè)和非營利性組織都會以多種形式創(chuàng)建收集

(、)、、

處理存儲傳輸和處置信息包括電子的物理的和口頭的如對話會話和演示

、、,、(/)。

信息的價值超出了文字數(shù)字和圖像的本身如知識概念觀點和品牌都是無形信息在互聯(lián)的世

、:、、。

界中信息和相關(guān)資產(chǎn)都值得或需要保護以防范各種風險源無論該風險是源自自然界還是意外或故

,,,,

意破壞

。

信息安全是通過實施一組適宜的控制來實現(xiàn)的包括策略規(guī)則過程規(guī)程組織結(jié)構(gòu)和軟硬件功

,、、、、

能組織宜在必要時定義實施監(jiān)視評審和改進這些控制以滿足其特定的安全和業(yè)務(wù)目標

。、、、,。

中規(guī)定的信息安全管理體系從整體協(xié)調(diào)的視角審視組織的信息安全風險在協(xié)調(diào)

GB/T22080(ISMS)、,

一致的管理體系總框架內(nèi)確定和實施一套全面的信息安全控制

。

對照所規(guī)定的和本文件許多信息系統(tǒng)包括其管理和運營尚未被設(shè)計為安

GB/T22080ISMS,,,

全的在進行風險處置時需要仔細規(guī)劃注意細節(jié)來確定實施哪些控制

。,、,。

成功的需要得到組織內(nèi)所有人員的支持還可能需要股東或供應(yīng)商等其他相關(guān)方的參與同

ISMS,,

時也可能需要業(yè)內(nèi)專家的建議

。

一個適宜充分和有效的信息安全管理體系為組織的管理層及其他相關(guān)方提供以下保證它們的

、,:

信息及其他相關(guān)資產(chǎn)處于合理的安全狀態(tài)并免受威脅和損害從而使組織能夠?qū)崿F(xiàn)既定的業(yè)務(wù)目標

,。

02信息安全要求

.

組織確定其信息安全要求是必要的信息安全要求有三個主要來源

。。

考慮組織的整體業(yè)務(wù)戰(zhàn)略與目標來對組織風險進行評估這能通過特定于信息安全的風險評

a)。

估來給予幫助或支持這宜得出對必要控制的確定以確保組織面臨的殘余風險符合其風險

。,

接受準則

。

組織及其相關(guān)方貿(mào)易伙伴服務(wù)提供者等必須遵守的法律法規(guī)規(guī)章和合同要求及其社會

b)(、)、、

文化環(huán)境

。

組織為支持其運行而為信息生存周期的所有步驟所建立的一整套原則目標和業(yè)務(wù)要求

c)、。

03控制

.

控制的定義是改變或維持風險的措施本文件中的某些控制是修改風險而其他控制則是維持風

。,

險例如信息安全方針只能維持風險而遵守信息安全方針則能改變風險此外某些控制描述了不

。,,。,

同風險環(huán)境下相同的通用措施本文件提供了源于國際公認最佳實踐的一系列組織人員物理和技術(shù)

。、、

信息安全控制

。

Ⅵ

GB/T22081—2024/ISO/IEC270022022

:

04控制的確定

.

控制的確定取決于組織在風險評估后做出的決策并有一個明確定義的范圍與已識別風險相關(guān)

,。

的決策宜基于風險接受準則風險處置選項和組織所采用的風險管理方法控制的確定還宜考慮所有

、。

相關(guān)的國家和國際法律法規(guī)控制的確定還取決于不同控制的協(xié)同以實現(xiàn)縱深防御

。,。

組織能根據(jù)需要來設(shè)計控制或從任何來源識別控制在制定此類控制時組織宜考慮實施和運行一

,。,

項控制所需的資源和投資與該控制所能實現(xiàn)的業(yè)務(wù)價值之間的比較請參見其提供

。ISO/IECTR27016,

了在資源需求競爭的情況下做出投資決策以及這些決策的經(jīng)濟后果的指南

ISMS。

在為實施控制而部署的資源與因缺乏這些控制而發(fā)生安全事件所導致的潛在業(yè)務(wù)影響之間宜取得

平衡風險評估的結(jié)果宜有助于指導和確定適當?shù)墓芾泶胧┕芾硇畔踩L險的優(yōu)先順序以及實施

。、,

為防范這些風險而確定的必要控制

。

本文件中的某些控制能被視為信息安全管理的指導原則適用于大多數(shù)組織有關(guān)確定控制和其

,。

他風險處置選項的更多信息參見

ISO/IEC27005。

05編制特定于組織的指南

.

本文件能被視為制定特定于組織的指南的出發(fā)點本文件中并非所有的控制和指南都適用所有組

。

織組織還可能需要本文件中未包含的額外控制和指南以滿足其具體需求和解決已識別到的風險

。,。

在編制包含額外的指南或控制的文件時給出與本文件條款間的交叉引用有助于日后參考

,,。

06生存周期的考慮

.

信息具有從創(chuàng)建到銷毀的生存周期在其整個生存周期中信息的價值和其面臨的風險可能會變

。,

化例如未經(jīng)授權(quán)披露或竊取公司財務(wù)賬戶在公布后并不重要但完整性仍然至關(guān)重要因此在所有

(,,),,

階段信息安全都很重要

。

與信息安全相關(guān)的信息系統(tǒng)和其他資產(chǎn)具有生存周期包括構(gòu)思規(guī)范設(shè)計開發(fā)測試實施使

,、、、、、、

用維護并最終退役和銷毀每個階段均宜考慮信息安全新的系統(tǒng)開發(fā)項目和對現(xiàn)有系統(tǒng)的變更能

、。。,

考慮組織面臨的風險和從安全事件中吸取的經(jīng)驗教訓