GB/T 38631-2020
基本信息
标准号: GB/T 38631-2020
中文名称:信息技术 安全技术 GB/T 22080具体行业应用 要求
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 38631-2020.Information technology-Security techniques-Sector specific application of GB/T 22080- Requirements.
1范围
GB/T 38631规定了GB/T 22080应用于具体行业(领域、应用)时的要求。本标准解释了如何在GB/T 22080要求上包含补充要求,如何细化GB/T 22080的要求,以及如何包含GB/T 22080-2016附录A之外的控制或控制集。
GB/T 38631确保补充的或细化的要求与GB/T 22080的要求不冲突。
GB/T 38631适用于制定与GB/T 22080相关的具体行业标准。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22080-2016信息技术安全技术 信息安全管理体系 要 求(ISO/IEC 27001:2013,IDT)
GB/T 22081-2016信息技术安全技术信 息安全控制实践指南(ISO/IEC 27002 : 2013,IDT)
GB/T 29246-2017信息技术安全技术信息安全管理体系 概述 和词汇( ISO/IEC 27000:2016,IDT)
3术语和定义
GB/T 29246-2017 界定的以及下列术语和定义适用于本文件。
3.1
解释 interpretation
在具体行业背景下对GB/T 22080要求的说明(以要求或指南的形式),该说明不会使GB/T 22080的要求失效。
3.2
细化 refinement
GB/T 22080要求在具体行业的详述,该详述不会删除GB/T 22080任一要求或使其失效。
4概述
4.1总则
GB/T 22080规定了建立、实现、维护和持续改进信息安全管理体系的要求。这些要求是通用的,适用于各种类型、规模或性质的机构。
注:ISO管理体系标准的建立依据ISO/IEC导则第1部分融合的JTC1补充部分(2016)。
1范围
GB/T 38631规定了GB/T 22080应用于具体行业(领域、应用)时的要求。本标准解释了如何在GB/T 22080要求上包含补充要求,如何细化GB/T 22080的要求,以及如何包含GB/T 22080-2016附录A之外的控制或控制集。
GB/T 38631确保补充的或细化的要求与GB/T 22080的要求不冲突。
GB/T 38631适用于制定与GB/T 22080相关的具体行业标准。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22080-2016信息技术安全技术 信息安全管理体系 要 求(ISO/IEC 27001:2013,IDT)
GB/T 22081-2016信息技术安全技术信 息安全控制实践指南(ISO/IEC 27002 : 2013,IDT)
GB/T 29246-2017信息技术安全技术信息安全管理体系 概述 和词汇( ISO/IEC 27000:2016,IDT)
3术语和定义
GB/T 29246-2017 界定的以及下列术语和定义适用于本文件。
3.1
解释 interpretation
在具体行业背景下对GB/T 22080要求的说明(以要求或指南的形式),该说明不会使GB/T 22080的要求失效。
3.2
细化 refinement
GB/T 22080要求在具体行业的详述,该详述不会删除GB/T 22080任一要求或使其失效。
4概述
4.1总则
GB/T 22080规定了建立、实现、维护和持续改进信息安全管理体系的要求。这些要求是通用的,适用于各种类型、规模或性质的机构。
注:ISO管理体系标准的建立依据ISO/IEC导则第1部分融合的JTC1补充部分(2016)。
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T38631—2020
信息技术
安全技术
GB/T22080具体行业应用
Information technology-Security techniques-要求
Sector-specific application of GB/T 22080—Requirements(ISO/IEC 27009:2016,Information technology—Security techniquesSector-specific application of ISO/IEC 27oo1Requirements,MOD)2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
GB/T38631-—2020
规范性引用文件
3术语和定义
本标准结构
4.3扩展GB/T22080要求或GB/T22081控制5补充、细化或解释GB/T22080要求·….5.1
补充要求
细化要求
解释要求
6补充或修改GB/T22081指南
补充指南
修改指南
附录A(规范性附录):制定与GB/T22080—2016或GB/T22081—2016相关的具体行业标准的模板
附录B(资料性附录)
参考文献
面向医疗行业的信息安全管理体系指南示例前言
本标准按照GB/T1.1一2009给出的规则起草。GB/T38631—2020
本标准使用重新起草法修改采用ISO/IEC27009:2016《信息技术安全技术ISO/IEC27001具体行业应用要求》。
本标准与ISO/IEC27009:2016的技术性差异及其产生的原因如下:范围增加本标准适用于制定与GB/T22080相关的具体行业标准”(见第1章);一4.1删除“ISO/IEC之外的组织也制定了实现具体行业需求的标准”;一增加\依据附录A,面向医疗行业的信息安全管理体系指南示例参见附录B\(见4.2);一附录A的A.1删除“具体行业标准宜命名如下:面向<行业>的信息安全管理体系”:一附录A的A.2模板中,4.2和5的(控制目标号)(控制自标标题)和<控制号)<控制标题)改为《控制目标号》[《控制目标标题)、《控制号[《控制标题),以避免标题与其后文字混淆;一附录A的A.2模板中,4.2和5中,“对行业至少使用三个字母作为前缀”改为“对行业使用国民经济行业名称(见GB/T4754一2017)作为前缀”,4.2中强制实施的控制,“使用(M)作为控制编号的前缀”改为“使用(强制)作为控制编号的前缀”。本标准做了下列编辑性修改:
增加了参考文献ISO27799:2016和ISO22600;增加资料性附录B面向医疗行业的信息安全管理体系指南示例”,有利于标准落地实施。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:山东省标准化研究院、中国网络安全审查技术与认证中心、成都秦川物联网科技股份有限公司、陕西省网络与信息安全测评中心、山东崇弘信息技术有限公司。本标准主要起草人:王曙光、魏军、王庆升、公伟、张斌、来永钧、部泽华、赵首花、杨镜、尤其、郭杨、权亚强、李怡、何果、路津、李红胜、路征、陈慧勤、刘勘伪、于秀彦、胡鑫磊、王栋、刘鑫。1
1范围
信息技术安全技术
GB/T22080具体行业应用要求
GB/T38631—2020
本标准规定了GB/T22080应用于具体行业(领域、应用)时的要求。本标准解释了如何在GB/T22080要求上包含补充要求,如何细化GB/T22080的要求,以及如何包含GB/T22080一2016附录A之外的控制或控制集。
本标准确保补充的或细化的要求与GB/T22080的要求不冲突。本标准适用于制定与GB/T22080相关的具体行业标准。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T220802016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013IDT)
GB/T22081—2016信息技术安全技术信息安全控制实践指南(ISO/IEC27002:2013.IDT)GB/T29246—2017信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC27000:2016.IDT)
3术语和定义
GB/T29246—2017界定的以及下列术语和定义适用于本文件。3.1
interpretation
在具体行业背景下对GB/T22080要求的说明(以要求或指南的形式),该说明不会使GB/T22080的要求失效。
细化refinement
GB/T22080要求在具体行业的详述,该详述不会删除GB/T22080任一要求或使其失效4概述
4.1总则
GB/T22080规定了建立、实现、维护和持续改进信息安全管理体系的要求。这些要求是通用的适用于各种类型、规模或性质的机构。注:ISO管理体系标准的建立依据ISO/IEC导则第1部分融合的JTC1补充部分(2016)GB/T22081为信息安全管理实践提供了指南,考虑了机构信息安全风险环境下控制的选择、实施和管理。该指南采用分层结构,包括章节、控制目标、控制、实现指南以及其他信息。指南是通用的,适GB/T38631-—2020
用于各种类型、规模或性质的机构GB/T22081的控制目标和控制以规范性附录形式列在GB/T22080一2016的附录A中GB/T22080一2016要求机构确定信息安全风险处置选项所必需的所有控制见6.1.3b),并将6.1.3b)确定的控制与附录A中的控制进行比较,并验证没有忽略必要的控制见6.1.3c)。随着GB/T22080和GB/T22081在企业、政府机构和非营利组织中的广泛应用,需要开发针对这些具体行业的标准,主要完成的标准包括:GB/T32920,信息技术安全技术行业间和组织间通信的信息安全管理;ISO/IEC27011.基于ISO/IEC27002的电信组织信息安全管理指南;一ISO/IEC27017,基于ISO/IEC27002的云服务信息安全控制实践指南;ISO/IEC27018,可识别个人信息(PII处理者在公有云中保护可识别个人信息的实践指南。具体行业标准需要与信息安全管理体系要求相一致。本标准主要从以下两方面规定了相关要求:一具体行业如何补充、细化GB/T22080的要求或对其作出解释;具体行业如何补充或修改GB/T22081的指南。本标准假定所有来自GB/T22080未被细化的或未作出解释的要求、所有来自GB/T22081未被修改的控制,将不加修改的适用于具体行业环境。4.2本标准结构
第5章提供要求和指南,给出如何在GB/T22080要求上确定补充要求、细化要求或作出解释第6章提供要求和指南,给出如何在GB/T22081内容上补充或修改控制目标、控制、实现指南或其他信息。
附录A给出与GB/T22080和(或)GB/T22081可用于具体行业标准的模板依据附录A,面向医疗行业的信息安全管理体系指南示例参见附录B本标准使用如下概念以使GB/T22080的要求适用于具体行业:—补充:见5.2
—细化:见5.3
—解释:见5.4
本标准使用如下概念以使GB/T22081的指南适用于具体行业:—补充:见6.2
修改:见6.3
注:遵循本标准要求和指南而制定的具体行业指南不可包含在技术报告中。ISO/IEC导则将技术报告定义为不含要求的文档,而任一依据本标准开发的具体行业标准,特别是附录A,都将至少包含一个最小的要求集合(见A.2中模板的4.1)。
4.3扩展GB/T22080要求或GB/T22081控制与GB/T22080相关的具体行业标准可以对GB/T22080或GB/T22081进行补充,可将信息安全之外的要求或指南纳人具体行业之中。示例:ISO/IEC27018:2014附录A包含一组旨在保护可识别个人信息的控制.从而使ISO/IEC27018的范围除信息安全外还涵盖可识别个人信息的保护。5补充、细化或解释GB/T22080要求5.1总则
图1阐明了如何构建与GB/T22080相关的具体行业要求。2
:B/T 22080要求
5.2补充要求
允许给出补充要求的规范。
补充/细化/
解释要求
图1具体行业要求的构建
GB/T38631—2020
具运行业婴求
示例:对信息安全方针有补充要求的行业,可将其补充到GB/T22080一2016的5.2规定的要求中对GB/T22080要求进行补充不应删除GB/T22080确定的任一要求或使其失效,具体行业对GB/T22080要求的补充,应按照附录A给定的要求和指南进行。5.3细化要求
允许对GB/T22080的要求进行细化注:细化不会删除GB/T22080的任一要求或使其失效(见3.2)。GB/T22080要求在具体行业的细化,应按照附录A给定的要求和指南进行。示例1:具体行业标准可能包含对GB/T220802016附录A的补充控制。在这种情况下,GB/T22080一2016的6.1.3c)和d)中与信息安全风险处置相关的要求,需进行细化,以包含具体行业标准中给出的补充控制允许给出符合GB/T22080要求的特定方法的规范。示例2:特定行业有规定的方法确定在具体行业管理体系范围内工作人员的能力。这一要求能细化GB/T22080-2016的7.2中的通用要求。
5.4解释要求
充许对GB/T22080的要求作出解释。注:解释不会使GB/T22080的任一要求失效,只是对其作出解释或将其放人具体行业背景中(见3.1)。对GB/T22080要求在具体行业作出解释,应按照附录A给定的要求和指南进行。6补充或修改GB/T22081指南
6.1总则
图2阐明了如何对GB/T22081的指南进行补充和修改。GB/T22081档4
每项控制应仅包含一个“宜”。补克/修改指南
图2具体行业指南的构建
只体行业指南
注:在GB/T22080一2016中,信息安全风险处置要求组织陈述所选择的控制及其选择的合理性说明,以及对附录A3
GB/T38631—2020
控制删减的合理性说明。在控制描述中只使用一个“宜”,可明确控制的范围。6.2
补充指南
允许对GB/T22081的章节、控制目标、控制、实现指南和其他信息进行补充对GB/T22081补充章节、控制目标、控制、实现指南和其他信息,应按照附录A给定的要求和指南进行。
在规定补充章节、控制目标或控制之前,制定与GB/T22080相关具体行业标准的机构宜考虑是否有更有效的方法来修改GB/T22081已有内容,或是否有更有效的方法在GB/T22081已有内容之上补充具体行业控制目标、控制、实现指南和其他信息来达成期望的结果。6.3修改指南
充许对GB/T22081的章节、控制目标、控制、实现指南和其他信息进行修改任何修改不应删除GB/T22081的控制、使其失效或减弱。对GB/T22081章节、控制目标、控制、实现指南和其他信息的修改,应按照附录A给定的要求和指南进行。
附录A
(规范性附录)bZxz.net
GB/T38631—2020
制定与GB/T22080-—2016或GB/T22081—2016相关的具体行业标准的模板A.1起草说明
A.2中使用了如下格式规则:
尖括号《)中的文本需用适宜的具体行业文本代替;示例:对于电信行业,A.2模板中第4章的标题,“行业)一具体要求...\宜变为“电信行业具体要求.”花括号(中斜体的文本表示如何使用模板的此部分:本部分文本在具体行业标准发布版本中需删除;
一没有特殊格式的文本可逐字复制。A.2模板
0引言
(包含:本标准中的要求和(或)指南,如何与GB/T22080中规定的要求及GB/T22081中的指南相关联。)
1范围
(包含:适用范围的声明,该声明包含了本标准与GB/T22080及GB/T22081的关系。)2规范性引用文件
《插入相关的规范性引用文件,包含GB/T22080和GB/T22081。>3术语和定义
《确保包含GB/T29246。)
4与GB/T22080相关的(行业)具体要求《插入以下文本。》
4.1本标准结构
本标准是与GB/T22080相关的<行业)标准如果具体行业标准有在GB/T22081基础上补充或修改的具体行业章节、控制目标或控制.插人以下文本。>
《行业》具体参考控制目标和控制参见附录A。(如果有,插人描述具体行业ISMS问题的子章节。)4.2
2《行业》具体要求
《在适当的情况下,插人下列两段文本中的一段。对GB/T22080一2016第4章到第10章的所有要求,仍适用。《或)对GB/T22080一2016第4章到第10章的所有要求,未在下面列出的,仍适用。(补充具体行业要求。对补充要求,使用与GB/T22080一2016相同格式的章节(子章节)号,并对行业使用国民经济行业名称(参见GB/T4754一2017)作为前缀。当补充一项要求时,首先检查它是否与GB/T22080一2016中已有要求相关。如果是相关的,将新要求补充到相关的章节中并给予恰当序号。如果不相关,将补充要求置于GB/T22080一2016相关要求之后,在章节中引人一个适宜的新子章节号。)
GB/T38631—2020
《通过插人以下文本来表示补充到GB/T22080—2016要求上的具体行业要求。)GB/T22080—2016要求<章节(子章节)号)补充如下:《通过插入以下文本来表示对GB/T22080一2016要求进行细化的具体行业要求。)GB/T22080一2016要求<章节(子章节)号)细化如下:通过插人以下文本来表示对GB/T22080一2016要求作出解释的具体行业要求。)GB/T22080—2016要求(章节(子章节)号)解释如下:《如果可能,请使用斜体表示补充、细化或解释的内容。:)《如果具体行业标准有针对具体行业的控制,则插人以下文本。GB/T22080一2016中6.1.3c)的要求细化如下:将6.1.3b)确定的控制、GB/T220802016中附录A以及本文件附录A中的控制进行比较,并验证没有忽略必要的控制。
GB/T22080—2016中6.1.3d)的要求细化如下:制定一个适用性声明,包含:
必要的控制见GB/T22080—2016,6.1.3b)和c);一选择这些控制的合理性说明(无论这些必要的控制是否已实现);一对GB/T22080一2016中附录A或本文件附录A中的控制删减的合理性说明。要强制应用某些特定控制,请在GB/T22080一2016.6.1.3d)之后插人以下文本.并以恰当的方式识别强制控制,建议使用((强制)作为控制编号的前缀。组织应实现由(行业)识别的强制控制。5与GB/T22081—2016相关的(行业)具体指南(如果具体行业标准有在GB/T22081一2016基础上补充或修改的具体行业章节、控制目标、控制、实现指南或其他信息,在本章节插人它们。补充章节、控制目标或控制的序号与GB/T22081一2016采用相同格式,并对行业使用国民经济行业名称(参见GB/T4754—2017)作为前缴缀。当对GB/T22081—2016控制目标、控制、实现指南和(或)其他信息补充或修改时,首先检查它是否与GB/T22081一2016中已有控制目标、控制、实现指南和(或)其他信息相关。如果是相关的,补充或修改新控制目标、控制、实现指南和(或)其他信息到GB/T22081一2016相关的章节中并相应编号。如果不相关,将补充条自放置到GB/T22081—2016已有章节、控制目标或控制之后。√(插人以下文本。)
对GB/T22081一2016所有的章节、控制目标、控制、实现指南和其他信息,未在下面列出的,仍适用。
(通过插人以下文本来表示补充到GB/T22081一2016的具体行业章节。)GB/T22081—2016的章节补充如下:(通过在恰当章节之后插人以下文本来表示补充到GB/T22081一2016的具体行业控制目标。)GB/T22081—2016章节号》[(章节标题)]的控制目标补充如下:(通过在恰当的控制目标之后插人以下文本来表示补充到GB/T22081一2016的具体行业控制;确保控制目标反映补充的具体行业控制,并确保该补充不会使任何已有控制失效。)补充到GB/T22081一2016(控制目标号)《控制目标标题)的控制补充如下:当修改控制目标、控制、实现指南或其他信息时(例如通过修改或补充到已有文本),根据GB/T22081一2016要求重新进行理解。根据需要插人以下任一项来表示对GB/T22081一2016中控制目标或控制的具体行业修改。《控制目标号》[(控制目标标题)修改如下:(或)
《控制号>[(控制标题》修改如下:6
(如果已有控制未被修改,仅给出补充的指南,根据需要插人以下标题之一。GB/T22081—2016控制号>[<控制标题)]的实现指南补充如下:GB/T22081一2016(控制号>(控制标题)的其他信息补充如下:《建议使用斜体表示补充的或修改的文本。)GB/T38631—2020
(如果具体行业标准具有根据GB/T22081一2016补充的或者修改的具体行业章节、控制目标或控制,以与GB/T22081一2016附录A相同的方式构建规范性附录A.并在适用时用“应”代替\宜”。附录的名称和标题如下。>
附录A
(规范性附录)
《行业)-具体参考控制目标和控制(下面介绍表A.1。)
表A.1中所列的补充或修改的控制目标和控制,是直接来源于本标准并与之相对应,并用于本标准细化的GB/T22080—2016.6.1.3环境中。GB/T38631—2020
B.1说明
附录B
(资料性附录)
面向医疗行业的信息安全管理体系指南示例本附录参考ISO27799:2016,依据信息安全管理体系在医疗行业具体应用实践,形成面向医疗行业的信息安全管理体系标准。其中5与GB/T22081一2016相关的医疗行业指南”中,从ISO27799:2016的5.1.1、6.1.5和9.1.1选取部分控制、实现指南和其他信息,补充或修改后作为医疗行业指南示例。
本附录的目的不是为了形成完善的面向医疗行业的信息安全管理体系指南,仅是给出面向行业的信息安全管理体系指南的示例,便于理解本标准并推动本标准落地实施B.2面向医疗的信息安全管理体系如下为依据附录A选取医疗行业给出的面向医疗行业的信息安全管理体系指南范围
本标准规定了GB/T22080应用于医疗行业时补充、细化和作出解释的要求,以及和GB/T22081应用于医疗行业时补充和修改的指南。本标准适用于医疗行业构建包含其特定要求的信息安全管理体系。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T22080—2016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013,IDT)
GB/T22081—2016信息技术安全技术信息安全控制实践指南(ISO/IEC27002:2013,IDT)
GB/T29246—2017信息技术安全技术信息安全管理体系2016,IDT)
3术语和定义
GB/T29246—2017界定的术语和定义适用于本文件。4与GB/T22080相关的医疗行业要求4.1本标准结构
本标准是与GB/T22080相关的具体行业标准。医疗行业具体参考控制目标和控制参见附录A。4.2医疗行业要求
概述和词汇(ISO/IEC27000:
对GB/T22080一2016第4章~第10章的所有要求,未在下面列出的,仍适用GB/T22080一2016要求7.1解释如下在医疗行业,机构应提供信息安全管理体系所需的医疗专业人员、医疗设备、场地、医疗信息系统、办公设备等医疗资源。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T38631—2020
信息技术
安全技术
GB/T22080具体行业应用
Information technology-Security techniques-要求
Sector-specific application of GB/T 22080—Requirements(ISO/IEC 27009:2016,Information technology—Security techniquesSector-specific application of ISO/IEC 27oo1Requirements,MOD)2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
GB/T38631-—2020
规范性引用文件
3术语和定义
本标准结构
4.3扩展GB/T22080要求或GB/T22081控制5补充、细化或解释GB/T22080要求·….5.1
补充要求
细化要求
解释要求
6补充或修改GB/T22081指南
补充指南
修改指南
附录A(规范性附录):制定与GB/T22080—2016或GB/T22081—2016相关的具体行业标准的模板
附录B(资料性附录)
参考文献
面向医疗行业的信息安全管理体系指南示例前言
本标准按照GB/T1.1一2009给出的规则起草。GB/T38631—2020
本标准使用重新起草法修改采用ISO/IEC27009:2016《信息技术安全技术ISO/IEC27001具体行业应用要求》。
本标准与ISO/IEC27009:2016的技术性差异及其产生的原因如下:范围增加本标准适用于制定与GB/T22080相关的具体行业标准”(见第1章);一4.1删除“ISO/IEC之外的组织也制定了实现具体行业需求的标准”;一增加\依据附录A,面向医疗行业的信息安全管理体系指南示例参见附录B\(见4.2);一附录A的A.1删除“具体行业标准宜命名如下:面向<行业>的信息安全管理体系”:一附录A的A.2模板中,4.2和5的(控制目标号)(控制自标标题)和<控制号)<控制标题)改为《控制目标号》[《控制目标标题)、《控制号[《控制标题),以避免标题与其后文字混淆;一附录A的A.2模板中,4.2和5中,“对行业至少使用三个字母作为前缀”改为“对行业使用国民经济行业名称(见GB/T4754一2017)作为前缀”,4.2中强制实施的控制,“使用(M)作为控制编号的前缀”改为“使用(强制)作为控制编号的前缀”。本标准做了下列编辑性修改:
增加了参考文献ISO27799:2016和ISO22600;增加资料性附录B面向医疗行业的信息安全管理体系指南示例”,有利于标准落地实施。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:山东省标准化研究院、中国网络安全审查技术与认证中心、成都秦川物联网科技股份有限公司、陕西省网络与信息安全测评中心、山东崇弘信息技术有限公司。本标准主要起草人:王曙光、魏军、王庆升、公伟、张斌、来永钧、部泽华、赵首花、杨镜、尤其、郭杨、权亚强、李怡、何果、路津、李红胜、路征、陈慧勤、刘勘伪、于秀彦、胡鑫磊、王栋、刘鑫。1
1范围
信息技术安全技术
GB/T22080具体行业应用要求
GB/T38631—2020
本标准规定了GB/T22080应用于具体行业(领域、应用)时的要求。本标准解释了如何在GB/T22080要求上包含补充要求,如何细化GB/T22080的要求,以及如何包含GB/T22080一2016附录A之外的控制或控制集。
本标准确保补充的或细化的要求与GB/T22080的要求不冲突。本标准适用于制定与GB/T22080相关的具体行业标准。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T220802016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013IDT)
GB/T22081—2016信息技术安全技术信息安全控制实践指南(ISO/IEC27002:2013.IDT)GB/T29246—2017信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC27000:2016.IDT)
3术语和定义
GB/T29246—2017界定的以及下列术语和定义适用于本文件。3.1
interpretation
在具体行业背景下对GB/T22080要求的说明(以要求或指南的形式),该说明不会使GB/T22080的要求失效。
细化refinement
GB/T22080要求在具体行业的详述,该详述不会删除GB/T22080任一要求或使其失效4概述
4.1总则
GB/T22080规定了建立、实现、维护和持续改进信息安全管理体系的要求。这些要求是通用的适用于各种类型、规模或性质的机构。注:ISO管理体系标准的建立依据ISO/IEC导则第1部分融合的JTC1补充部分(2016)GB/T22081为信息安全管理实践提供了指南,考虑了机构信息安全风险环境下控制的选择、实施和管理。该指南采用分层结构,包括章节、控制目标、控制、实现指南以及其他信息。指南是通用的,适GB/T38631-—2020
用于各种类型、规模或性质的机构GB/T22081的控制目标和控制以规范性附录形式列在GB/T22080一2016的附录A中GB/T22080一2016要求机构确定信息安全风险处置选项所必需的所有控制见6.1.3b),并将6.1.3b)确定的控制与附录A中的控制进行比较,并验证没有忽略必要的控制见6.1.3c)。随着GB/T22080和GB/T22081在企业、政府机构和非营利组织中的广泛应用,需要开发针对这些具体行业的标准,主要完成的标准包括:GB/T32920,信息技术安全技术行业间和组织间通信的信息安全管理;ISO/IEC27011.基于ISO/IEC27002的电信组织信息安全管理指南;一ISO/IEC27017,基于ISO/IEC27002的云服务信息安全控制实践指南;ISO/IEC27018,可识别个人信息(PII处理者在公有云中保护可识别个人信息的实践指南。具体行业标准需要与信息安全管理体系要求相一致。本标准主要从以下两方面规定了相关要求:一具体行业如何补充、细化GB/T22080的要求或对其作出解释;具体行业如何补充或修改GB/T22081的指南。本标准假定所有来自GB/T22080未被细化的或未作出解释的要求、所有来自GB/T22081未被修改的控制,将不加修改的适用于具体行业环境。4.2本标准结构
第5章提供要求和指南,给出如何在GB/T22080要求上确定补充要求、细化要求或作出解释第6章提供要求和指南,给出如何在GB/T22081内容上补充或修改控制目标、控制、实现指南或其他信息。
附录A给出与GB/T22080和(或)GB/T22081可用于具体行业标准的模板依据附录A,面向医疗行业的信息安全管理体系指南示例参见附录B本标准使用如下概念以使GB/T22080的要求适用于具体行业:—补充:见5.2
—细化:见5.3
—解释:见5.4
本标准使用如下概念以使GB/T22081的指南适用于具体行业:—补充:见6.2
修改:见6.3
注:遵循本标准要求和指南而制定的具体行业指南不可包含在技术报告中。ISO/IEC导则将技术报告定义为不含要求的文档,而任一依据本标准开发的具体行业标准,特别是附录A,都将至少包含一个最小的要求集合(见A.2中模板的4.1)。
4.3扩展GB/T22080要求或GB/T22081控制与GB/T22080相关的具体行业标准可以对GB/T22080或GB/T22081进行补充,可将信息安全之外的要求或指南纳人具体行业之中。示例:ISO/IEC27018:2014附录A包含一组旨在保护可识别个人信息的控制.从而使ISO/IEC27018的范围除信息安全外还涵盖可识别个人信息的保护。5补充、细化或解释GB/T22080要求5.1总则
图1阐明了如何构建与GB/T22080相关的具体行业要求。2
:B/T 22080要求
5.2补充要求
允许给出补充要求的规范。
补充/细化/
解释要求
图1具体行业要求的构建
GB/T38631—2020
具运行业婴求
示例:对信息安全方针有补充要求的行业,可将其补充到GB/T22080一2016的5.2规定的要求中对GB/T22080要求进行补充不应删除GB/T22080确定的任一要求或使其失效,具体行业对GB/T22080要求的补充,应按照附录A给定的要求和指南进行。5.3细化要求
允许对GB/T22080的要求进行细化注:细化不会删除GB/T22080的任一要求或使其失效(见3.2)。GB/T22080要求在具体行业的细化,应按照附录A给定的要求和指南进行。示例1:具体行业标准可能包含对GB/T220802016附录A的补充控制。在这种情况下,GB/T22080一2016的6.1.3c)和d)中与信息安全风险处置相关的要求,需进行细化,以包含具体行业标准中给出的补充控制允许给出符合GB/T22080要求的特定方法的规范。示例2:特定行业有规定的方法确定在具体行业管理体系范围内工作人员的能力。这一要求能细化GB/T22080-2016的7.2中的通用要求。
5.4解释要求
充许对GB/T22080的要求作出解释。注:解释不会使GB/T22080的任一要求失效,只是对其作出解释或将其放人具体行业背景中(见3.1)。对GB/T22080要求在具体行业作出解释,应按照附录A给定的要求和指南进行。6补充或修改GB/T22081指南
6.1总则
图2阐明了如何对GB/T22081的指南进行补充和修改。GB/T22081档4
每项控制应仅包含一个“宜”。补克/修改指南
图2具体行业指南的构建
只体行业指南
注:在GB/T22080一2016中,信息安全风险处置要求组织陈述所选择的控制及其选择的合理性说明,以及对附录A3
GB/T38631—2020
控制删减的合理性说明。在控制描述中只使用一个“宜”,可明确控制的范围。6.2
补充指南
允许对GB/T22081的章节、控制目标、控制、实现指南和其他信息进行补充对GB/T22081补充章节、控制目标、控制、实现指南和其他信息,应按照附录A给定的要求和指南进行。
在规定补充章节、控制目标或控制之前,制定与GB/T22080相关具体行业标准的机构宜考虑是否有更有效的方法来修改GB/T22081已有内容,或是否有更有效的方法在GB/T22081已有内容之上补充具体行业控制目标、控制、实现指南和其他信息来达成期望的结果。6.3修改指南
充许对GB/T22081的章节、控制目标、控制、实现指南和其他信息进行修改任何修改不应删除GB/T22081的控制、使其失效或减弱。对GB/T22081章节、控制目标、控制、实现指南和其他信息的修改,应按照附录A给定的要求和指南进行。
附录A
(规范性附录)bZxz.net
GB/T38631—2020
制定与GB/T22080-—2016或GB/T22081—2016相关的具体行业标准的模板A.1起草说明
A.2中使用了如下格式规则:
尖括号《)中的文本需用适宜的具体行业文本代替;示例:对于电信行业,A.2模板中第4章的标题,“行业)一具体要求...\宜变为“电信行业具体要求.”花括号(中斜体的文本表示如何使用模板的此部分:本部分文本在具体行业标准发布版本中需删除;
一没有特殊格式的文本可逐字复制。A.2模板
0引言
(包含:本标准中的要求和(或)指南,如何与GB/T22080中规定的要求及GB/T22081中的指南相关联。)
1范围
(包含:适用范围的声明,该声明包含了本标准与GB/T22080及GB/T22081的关系。)2规范性引用文件
《插入相关的规范性引用文件,包含GB/T22080和GB/T22081。>3术语和定义
《确保包含GB/T29246。)
4与GB/T22080相关的(行业)具体要求《插入以下文本。》
4.1本标准结构
本标准是与GB/T22080相关的<行业)标准如果具体行业标准有在GB/T22081基础上补充或修改的具体行业章节、控制目标或控制.插人以下文本。>
《行业》具体参考控制目标和控制参见附录A。(如果有,插人描述具体行业ISMS问题的子章节。)4.2
2《行业》具体要求
《在适当的情况下,插人下列两段文本中的一段。对GB/T22080一2016第4章到第10章的所有要求,仍适用。《或)对GB/T22080一2016第4章到第10章的所有要求,未在下面列出的,仍适用。(补充具体行业要求。对补充要求,使用与GB/T22080一2016相同格式的章节(子章节)号,并对行业使用国民经济行业名称(参见GB/T4754一2017)作为前缀。当补充一项要求时,首先检查它是否与GB/T22080一2016中已有要求相关。如果是相关的,将新要求补充到相关的章节中并给予恰当序号。如果不相关,将补充要求置于GB/T22080一2016相关要求之后,在章节中引人一个适宜的新子章节号。)
GB/T38631—2020
《通过插人以下文本来表示补充到GB/T22080—2016要求上的具体行业要求。)GB/T22080—2016要求<章节(子章节)号)补充如下:《通过插入以下文本来表示对GB/T22080一2016要求进行细化的具体行业要求。)GB/T22080一2016要求<章节(子章节)号)细化如下:通过插人以下文本来表示对GB/T22080一2016要求作出解释的具体行业要求。)GB/T22080—2016要求(章节(子章节)号)解释如下:《如果可能,请使用斜体表示补充、细化或解释的内容。:)《如果具体行业标准有针对具体行业的控制,则插人以下文本。GB/T22080一2016中6.1.3c)的要求细化如下:将6.1.3b)确定的控制、GB/T220802016中附录A以及本文件附录A中的控制进行比较,并验证没有忽略必要的控制。
GB/T22080—2016中6.1.3d)的要求细化如下:制定一个适用性声明,包含:
必要的控制见GB/T22080—2016,6.1.3b)和c);一选择这些控制的合理性说明(无论这些必要的控制是否已实现);一对GB/T22080一2016中附录A或本文件附录A中的控制删减的合理性说明。要强制应用某些特定控制,请在GB/T22080一2016.6.1.3d)之后插人以下文本.并以恰当的方式识别强制控制,建议使用((强制)作为控制编号的前缀。组织应实现由(行业)识别的强制控制。5与GB/T22081—2016相关的(行业)具体指南(如果具体行业标准有在GB/T22081一2016基础上补充或修改的具体行业章节、控制目标、控制、实现指南或其他信息,在本章节插人它们。补充章节、控制目标或控制的序号与GB/T22081一2016采用相同格式,并对行业使用国民经济行业名称(参见GB/T4754—2017)作为前缴缀。当对GB/T22081—2016控制目标、控制、实现指南和(或)其他信息补充或修改时,首先检查它是否与GB/T22081一2016中已有控制目标、控制、实现指南和(或)其他信息相关。如果是相关的,补充或修改新控制目标、控制、实现指南和(或)其他信息到GB/T22081一2016相关的章节中并相应编号。如果不相关,将补充条自放置到GB/T22081—2016已有章节、控制目标或控制之后。√(插人以下文本。)
对GB/T22081一2016所有的章节、控制目标、控制、实现指南和其他信息,未在下面列出的,仍适用。
(通过插人以下文本来表示补充到GB/T22081一2016的具体行业章节。)GB/T22081—2016的章节补充如下:(通过在恰当章节之后插人以下文本来表示补充到GB/T22081一2016的具体行业控制目标。)GB/T22081—2016章节号》[(章节标题)]的控制目标补充如下:(通过在恰当的控制目标之后插人以下文本来表示补充到GB/T22081一2016的具体行业控制;确保控制目标反映补充的具体行业控制,并确保该补充不会使任何已有控制失效。)补充到GB/T22081一2016(控制目标号)《控制目标标题)的控制补充如下:当修改控制目标、控制、实现指南或其他信息时(例如通过修改或补充到已有文本),根据GB/T22081一2016要求重新进行理解。根据需要插人以下任一项来表示对GB/T22081一2016中控制目标或控制的具体行业修改。《控制目标号》[(控制目标标题)修改如下:(或)
《控制号>[(控制标题》修改如下:6
(如果已有控制未被修改,仅给出补充的指南,根据需要插人以下标题之一。GB/T22081—2016控制号>[<控制标题)]的实现指南补充如下:GB/T22081一2016(控制号>(控制标题)的其他信息补充如下:《建议使用斜体表示补充的或修改的文本。)GB/T38631—2020
(如果具体行业标准具有根据GB/T22081一2016补充的或者修改的具体行业章节、控制目标或控制,以与GB/T22081一2016附录A相同的方式构建规范性附录A.并在适用时用“应”代替\宜”。附录的名称和标题如下。>
附录A
(规范性附录)
《行业)-具体参考控制目标和控制(下面介绍表A.1。)
表A.1中所列的补充或修改的控制目标和控制,是直接来源于本标准并与之相对应,并用于本标准细化的GB/T22080—2016.6.1.3环境中。GB/T38631—2020
B.1说明
附录B
(资料性附录)
面向医疗行业的信息安全管理体系指南示例本附录参考ISO27799:2016,依据信息安全管理体系在医疗行业具体应用实践,形成面向医疗行业的信息安全管理体系标准。其中5与GB/T22081一2016相关的医疗行业指南”中,从ISO27799:2016的5.1.1、6.1.5和9.1.1选取部分控制、实现指南和其他信息,补充或修改后作为医疗行业指南示例。
本附录的目的不是为了形成完善的面向医疗行业的信息安全管理体系指南,仅是给出面向行业的信息安全管理体系指南的示例,便于理解本标准并推动本标准落地实施B.2面向医疗的信息安全管理体系如下为依据附录A选取医疗行业给出的面向医疗行业的信息安全管理体系指南范围
本标准规定了GB/T22080应用于医疗行业时补充、细化和作出解释的要求,以及和GB/T22081应用于医疗行业时补充和修改的指南。本标准适用于医疗行业构建包含其特定要求的信息安全管理体系。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T22080—2016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013,IDT)
GB/T22081—2016信息技术安全技术信息安全控制实践指南(ISO/IEC27002:2013,IDT)
GB/T29246—2017信息技术安全技术信息安全管理体系2016,IDT)
3术语和定义
GB/T29246—2017界定的术语和定义适用于本文件。4与GB/T22080相关的医疗行业要求4.1本标准结构
本标准是与GB/T22080相关的具体行业标准。医疗行业具体参考控制目标和控制参见附录A。4.2医疗行业要求
概述和词汇(ISO/IEC27000:
对GB/T22080一2016第4章~第10章的所有要求,未在下面列出的,仍适用GB/T22080一2016要求7.1解释如下在医疗行业,机构应提供信息安全管理体系所需的医疗专业人员、医疗设备、场地、医疗信息系统、办公设备等医疗资源。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。