信息安全技术 信息安全管理体系 要求.docVIP

ICS35.030

CCSL80

中华人民共和国国家标准

GB/T22080—XXXX/ISO/IEC27001:2022

代替GB/T22080-2016

信息安全技术信息安全管理体系要求

Informationsecuritytechnology—Informationsecuritymanagementsystems—Requirements

(ISO/IEC27001:2022,Informationsecurity,cybersecurityandprivacyprotection—Informationsecuritymanagementsystem—Requirements,IDT)

(征求意见稿)

(本稿完成日期：2023/12/12)

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX

发布

XXXX-XX-XX

实施

国家市场监督管理总局发布

国家标准化管理委员会

I

GB/T22080—XXXX/ISO/IEC27001:2022

目次

前言 II

引言 IV

1范围 1

2规范性引用文件 1

3术语和定义 1

4组织环境 1

41理解组织及其环境 1

42理解相关方的需求和期望 1

43确定信息安全管理体系范围 1

4A信息安全管理体系 2

5领导 2

5.1领导和承诺 2

52方针 2

5.3组织的角色、责任和权限 2

6规划 3

61应对风险和机会的措施 3

62信息安全目标及其实现规划 4

63针对变更的规划 4

7支持 4

71资源 4

72能力 5

73意识 5

74沟通 5

75文件化信息 5

8运行 6

R1运行规划和控制 6

R2信息安全风险评估 6

R3信息安全风险处置 6

9绩效评价 6

91监视、测量、分析和评价 6

92内部审核 7

93管理评审 7

10改进 8

101持续改进 8

102不符合与纠正措施 8

附录A(规范性)信息安全控制参考 9

参考文献 13

II

GB/T22080—XXXX/ISO/IEC27001:2022

III

GB/T22080—XXXX/ISO/IEC27001:2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》和GB/T1.2—2020《标准化工作导则第2部分：以ISO/IEC标准化文件为基础的标准化文件起草规则》的规定起草。

本文件代替GB/T22080—2016《信息技术安全技术信息安全管理体系要求》,与GB/T22080—2016相比，除结构调整和编辑性改动外，主要技术变化如下：

a)增加了“组织应确定哪些要求将通过信息安全管理体系来解决”(见4.2c)];

b)更改了“信息安全风险处置”中适用性声明相关要求(见6.1.3d)];

c)增加了“针对变更的规划”要求(见6.3);

d)更改了“参考信息安全控制”(见附录A)。

本文件等同采用ISO/IEC27001:2022《信息安全网络空间安全和隐私保护信息安全管理体系要求》。

本文件做了下列最小限度的编辑性改动：

——为与我国技术标准体系协调，标准名称改为《信息安全技术信息安全管理体系要求》。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本文件起草单位：中国电子技术标准化研究院、中国合格评定国家认可中心、中国网络安全审查技术与认证中心、北京安信天行科技有限公司、中国信息安全测评中心、黑龙江省网络空间研究中心、中电长城网际系统应用有限公司、山东省标准化研究院、亚信科技(成都)有限公司、深圳市腾讯计算机系统有限公司、南方电网数字电网集团信息通信科技有限公司、中国烟草总公司湖北省公司、北京天融信网络安全技术有限公司、唯品会(中国)有限公司、杭州安恒信息技术股份有限公司、广州赛宝认证中心服务有限公司、中