信息技术 安全技术 ISO_IEC 27001具体行业应用要求-编制说明.docxVIP

PAGE 5 一、 工作简况 根据国家标准化管理委员会“关于下达2017年第四批国家标准制修订计划的通知（国标委综合〔2017〕128号）”的安排，由山东省标准化研究院负责起草《信息技术 安全技术 GB/T 22080-2016具体行业应用 要求》国家标准，该标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口，该标准计划号为T-469。 本标准主要起草单位包括：山东省标准化研究院、中国信息安全认证中心、陕西省网络与信息安全测评中心、成都秦川物联网科技股份有限公司等。 本标准主要起草人：。 主要工作过程如下： 1、2016年3月-2017年3月，跟踪信息安全国际标准ISO/IEC 27009:2016相关标准编制情况，了解标准主要内容； 2、2017年3月-2017年4月，形成标准草案第一稿，参加全国信安标委武汉2017年第一次会议周，会上汇报标准相关情况，参与标准立项汇报； 3、2017年7月14日，全国信安标委正式下达了国家标准《信息技术　安全技术　GB/T 22080-2016具体行业应用　要求》制定任务； 4、2017年8月，由项目牵头单位和参与单位共同组成的标准编制组正式成立并启动工作。 5、2017年4月至2017年9月，标准编制组内部修改完善标准，并继续跟踪和研究ISMS标准族的其他相关标准。 6、2017年9月，形成《信息技术　安全技术　GB/T 22080-2016具体行业应用　要求》标准草案第二稿及编制说明； 7、2017年9月，在北京召开《信息技术　安全技术　GB/T 22080-2016具体行业应用　要求》标准草案第二稿专家征求意见会，与会专家对标准提出了意见，并给出了下一步标准改进方向； 8、2017年10月，标准编制组根据专家意见对标准进行了修改完善，形成了《信息技术　安全技术　GB/T 22080-2016具体行业应用　要求》标准草案第三稿，并更新了标准编制说明和标准编制意见汇总表； 9、2017年10月，参加全国信安标委在厦门举办的2017年第二次工作组会议周，会上汇报标准相关情况，并征集相关专家意见，会议通过工作组决议，本标准进入征求意见稿； 10、2017年10月-11月，针对全国信安标委2017年第二次会议周专家意见，对标准进行修改完善，形成标准征求意见第一稿，并更新了标准编制说明和标准编制意见汇总表，将形成的征求意见稿提交全国信安标委秘书处，进行公开征求意见工作； 11、2017年12月-2018年1月，秘书处面向部分专家对标准进行审查，编制组对标准进行修改完善，形成形成标准征求意见第二稿，并更新了标准编制说明和标准编制意见汇总表，将形成的征求意见稿提交全国信安标委秘书处； 12、2017年12月29日，国标委正式下达关于下达2017年第四批国家标准制修订计划的通知（国标委综合〔2017〕128号），本标准正式立项，计划号为T-469。 二、标准编制原则和确定主要内容的论据及解决的主要问题 本标准深入研究信息安全管理体系在具体行业应用，修改采用国际标准《信息技术 安全技术GB/T 22080-2016具体行业应用　要求》（ISO/IEC 27009），制定《信息技术 安全技术GB/T 22080-2016具体行业应用　要求》国家标准，为如何附加、细化或解释GB/T 22080-2016要求、如何附加或修改GB/T 22080-2016的具体行业应用指南提供要求，进一步完善我国信息安全管理标准体系。 按照GB/T 20000.2-2009的要求，本标准编制原则： a）修改采用国际标准ISO/IEC 27009：2016《信息技术 安全技术GB/T 22080-2016具体行业应用　要求》。理由如下： ——国际标准ISO/IEC 27009:2016中未给出依据附录A形成的面向行业的信息安全管理体系，本标准依据附录A给出了面向医疗的信息安全管理体系，根据GB/T 20000.2-2009《标准化工作指南 第2部分：采用国际标准》中4.3规定，“国家标准内容多与相应的国际标准”，因此采用修改采用。 b）重新起草法：按照GB/T 20000.1-2009要求，修改采用国际标准采用重新起草法，在国际标准基础上重新编写国家标准。 标准主要内容如下： 本标准规定了在任何具体行业（领域、应用区域或市场部门）使用GB/T 22080-2016的要求。本标准解释了如何在GB/T 22080-2016要求上包含附加的要求，如何细化GB/T 22080-2016的要求，和如何包含GB/T 22080-2016附录A之外的控制或控制集。 本标准确保附加的或细化的要求与GB/T 22080-2016的要求不冲突。 本标准适用于那些制定与GB/T 220