《信息技术 安全技术 ISO_IEC 27001具体行业应用要求-编制说明》.pdfVIP

一、 工作简况 根据国家标准化管理委员会 “关于下达2017年第四批国家标准制修订计划 的通知 （国标委综合 〔2017〕128号）”的安排，由山东省标准化研究院负责起 草 《信息技术 安全技术 GB/T 22080-2016具体行业应用 要求》国家标准，该 标准由全国信息安全标准化技术委员会 （SAC/TC260）提出并归口，该标准计划 号为T-469。 本标准主要起草单位包括：山东省标准化研究院、中国信息安全认证中心、 陕西省网络与信息安全测评中心、成都秦川物联网科技股份有限公司等。 本标准主要起草人：。 主要工作过程如下： 1、2016年3月-2017年3月，跟踪信息安全国际标准ISO/IEC 27009:2016 相关标准编制情况，了解标准主要内容； 2、2017年3月-2017年4月，形成标准草案第一稿，参加全国信安标委武 汉2017年第一次会议周，会上汇报标准相关情况，参与标准立项汇报； 3、2017年7月14 日，全国信安标委正式下达了国家标准 《信息技术 安 全技术 GB/T 22080-2016具体行业应用 要求》制定任务； 4、2017年8月，由项目牵头单位和参与单位共同组成的标准编制组正式成 立并启动工作。 5、2017年4月至2017年9月，标准编制组内部修改完善标准，并继续跟 踪和研究ISMS标准族的其他相关标准。 6、2017年9月，形成 《信息技术 安全技术 GB/T 22080-2016具体行业 应用 要求》标准草案第二稿及编制说明； 7、2017年9月，在北京召开 《信息技术 安全技术 GB/T 22080-2016具 体行业应用 要求》标准草案第二稿专家征求意见会，与会专家对标准提出了意 见，并给出了下一步标准改进方向； 8、2017年 10月，标准编制组根据专家意见对标准进行了修改完善，形成 了 《信息技术 安全技术 GB/T 22080-2016具体行业应用 要求》标准草案第 三稿，并更新了标准编制说明和标准编制意见汇总表； 9、2017年10月，参加全国信安标委在厦门举办的2017年第二次工作组会 1 议周，会上汇报标准相关情况，并征集相关专家意见，会议通过工作组决议，本 标准进入征求意见稿； 10、2017年10月-11月，针对全国信安标委2017年第二次会议周专家意见， 对标准进行修改完善，形成标准征求意见第一稿，并更新了标准编制说明和标准 编制意见汇总表，将形成的征求意见稿提交全国信安标委秘书处，进行公开征求 意见工作； 11、2017年12月-2018年1月，秘书处面向部分专家对标准进行审查，编 制组对标准进行修改完善，形成形成标准征求意见第二稿，并更新了标准编制说 明和标准编制意见汇总表，将形成的征求意见稿提交全国信安标委秘书处； 12、2017年12月29 日，国标委正式下达关于下达2017年第四批国家标准 制修订计划的通知 （国标委综合 〔2017〕128号），本标准正式立项，计划号为： T-469。 二、标准编制原则和确定主要内容的论据及解决的主要问题 本标准深入研究信息安全管理体系在具体行业应用，修改采用国际标准《信 息技术 安全技术GB/T22080-2016具体行业应用 要求》（ISO/IEC27009），制 定 《信息技术 安全技术GB/T 22080-2016具体行业应用 要求》国家标准，为 如何附加、细化或解释GB/T22080-2016要求、如何附加或修改GB/T22080-2016 的具体行业应用指南提供要求，进一步完善我国信息安全管理标准体系。 按照GB/T 20000.2-2009的要求，本标准编制原则： a）修改采用国际标准 ISO/IEC 27009：2016 《信息技术 安全技术GB/T 22080-2016具体行业应用 要求》。理由如下： ——国际标准ISO/IEC 27009:2016 中未给出依据附录A形成的面向行业的 信息安全管理体系，本标准依据附录A给出了面向医疗的信息安全管理体系，根 据GB/T 20000.2-2009 《标准化工作指南 第2部分：采用国际标准》中4.3规 定，“国家标准内容多与相应的国际标准”，因此采用修改采用。 b）重新起草法：按照GB/T 20000.1-2009要求，修改采用国际标准采用重 新