行業(yè)信息安全技術(shù)規(guī)范

1、 II行業(yè)信息安全技術(shù)規(guī)范Information technology - Security techniques Sector-specific application of GB/T 22080- Requirements目次 TOC h z t前言、引言標(biāo)題,1,參考文獻(xiàn)、索引標(biāo)題,1,章標(biāo)題,1,參考文獻(xiàn),1,附錄標(biāo)識(shí),1,一級(jí)條標(biāo)題, 3,二級(jí)條標(biāo)題, 4 * MERGEFORMAT HYPERLINK l _Toc503867619 前言 PAGEREF _Toc503867619 h II HYPERLINK l _Toc503867620 1范圍 PAGEREF _Toc503

2、867620 h 1 HYPERLINK l _Toc503867621 2規(guī)范性引用文件 PAGEREF _Toc503867621 h 1 HYPERLINK l _Toc503867622 3術(shù)語(yǔ)和定義 PAGEREF _Toc503867622 h 1 HYPERLINK l _Toc503867625 4本標(biāo)準(zhǔn)概述 PAGEREF _Toc503867625 h 1 HYPERLINK l _Toc503867626 4.1總則 PAGEREF _Toc503867626 h 1 HYPERLINK l _Toc503867627 4.2本標(biāo)準(zhǔn)結(jié)構(gòu) PAGEREF _Toc50386

3、7627 h 2 HYPERLINK l _Toc503867628 4.3擴(kuò)展GB/T22080-2016要求或GB/T22081-2016控制 PAGEREF _Toc503867628 h 2 HYPERLINK l _Toc503867629 5附加、細(xì)化GB/T22080-2016要求或?qū)σ蟮慕忉?PAGEREF _Toc503867629 h 2 HYPERLINK l _Toc503867630 5.1總則 PAGEREF _Toc503867630 h 3 HYPERLINK l _Toc503867631 5.2附加的要求 PAGEREF _Toc503867631 h 3

4、 HYPERLINK l _Toc503867632 5.3細(xì)化的要求 PAGEREF _Toc503867632 h 3 HYPERLINK l _Toc503867633 5.4解釋的要求 PAGEREF _Toc503867633 h 3 HYPERLINK l _Toc503867634 6附加或修改GB/T22081-2016指南 PAGEREF _Toc503867634 h 3 HYPERLINK l _Toc503867635 6.1總則 PAGEREF _Toc503867635 h 3 HYPERLINK l _Toc503867636 6.2附加的指南 PAGEREF _

5、Toc503867636 h 4 HYPERLINK l _Toc503867637 6.3修改的指南 PAGEREF _Toc503867637 h 4 HYPERLINK l _Toc503867638 附錄A（規(guī)范性附錄）開(kāi)發(fā)與GB/T22080-2016或GB/T22081-2016相關(guān)的具體行業(yè)標(biāo)準(zhǔn)的模版 PAGEREF _Toc503867638 h 5 HYPERLINK l _Toc503867639 附錄B（資料性附錄）面向醫(yī)療的信息安全管理體系 PAGEREF _Toc503867639 h 8 HYPERLINK l _Toc503867640 參考文獻(xiàn) PAGEREF

6、_Toc503867640 h 16前言本標(biāo)準(zhǔn)依據(jù)GB/T 1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫和GB/T 20000.2-2009標(biāo)準(zhǔn)化工作指南 第2部分：采用國(guó)際標(biāo)準(zhǔn)給出的規(guī)則起草。本標(biāo)準(zhǔn)使用重新起草法修改采用ISO/IEC 27009:2016信息技術(shù) 安全技術(shù) GB/T 22080-2016具體行業(yè)應(yīng)用要求。本標(biāo)準(zhǔn)與ISO/IEC 27009:2016的技術(shù)性差異及其原因如下：4.2節(jié)增加“附錄B依據(jù)附錄A，選取醫(yī)療行業(yè)給出了面向醫(yī)療的信息安全管理體系”，保證附錄B在正文中被引用；增加資料性附錄B“面向醫(yī)療信息安全管理體系”，有利于標(biāo)準(zhǔn)落地實(shí)施，根據(jù)GB/T 20

7、000.2-2009標(biāo)準(zhǔn)化工作指南 第2部分：采用國(guó)際標(biāo)準(zhǔn)中4.3規(guī)定，“國(guó)家標(biāo)準(zhǔn)內(nèi)容多與相應(yīng)的國(guó)際標(biāo)準(zhǔn)”，故修改采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 27009:2016；增加參考文獻(xiàn)ISO 27799:2016。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口。本標(biāo)準(zhǔn)起草單位：山東省標(biāo)準(zhǔn)化研究院、中國(guó)信息安全認(rèn)證中心、陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、成都秦川物聯(lián)網(wǎng)科技股份有限公司本標(biāo)準(zhǔn)主要起草人： 王曙光、魏軍、王慶升、公偉、張斌、李怡、尤其、郭楊、趙首花信息技術(shù) 安全技術(shù) GB/T 22080-2016具體行業(yè)應(yīng)用 要求范圍本標(biāo)準(zhǔn)規(guī)定了在任何具體行業(yè)（領(lǐng)域、應(yīng)用區(qū)域或市場(chǎng)部門）使

8、用GB/T 22080-2016的要求。本標(biāo)準(zhǔn)解釋了如何在GB/T 22080-2016要求上包含附加的要求，如何細(xì)化GB/T 22080-2016的要求，和如何包含GB/T 22080-2016附錄A之外的控制或控制集。本標(biāo)準(zhǔn)確保附加的或細(xì)化的要求與GB/T 22080-2016的要求不沖突。本標(biāo)準(zhǔn)適用于那些制定與GB/T 22080-2016相關(guān)具體行業(yè)標(biāo)準(zhǔn)的組織。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 22080-2016信息技術(shù)安全技術(shù)信息安全管

9、理體系要求（ISO/IEC 27001:2013,IDT）GB/T 22081-2016信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南（ISO/IEC 27002:2013,IDT）GB/T 29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯（ISO/IEC 27000:2016,IDT）術(shù)語(yǔ)和定義GB/T 29246-2017界定的及下列術(shù)語(yǔ)和定義適用于本文件。解釋 interpretation 在具體行業(yè)背景下對(duì)GB/T 22080-2016要求的說(shuō)明（以要求或指南的形式），這種說(shuō)明不會(huì)使GB/T 22080-2016要求失效。細(xì)化 refinement對(duì)GB/T 22080-2016要

10、求在具體行業(yè)的詳述，這種詳述不會(huì)移除GB/T 22080-2016要求或使其失效。本標(biāo)準(zhǔn)概述總則GB/T 22080-2016是定義要求的標(biāo)準(zhǔn)，以建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系。該標(biāo)準(zhǔn)聲明其要求是通用的，適用于各種類型、規(guī)?；蛐再|(zhì)的組織。ISO管理體系標(biāo)準(zhǔn)的建立依據(jù)ISO/IEC 導(dǎo)則 第1部分 ISO綜合補(bǔ)充（2016）1。GB/T 22081-2016是為信息安全管理實(shí)踐提供指南的標(biāo)準(zhǔn)，包括考慮了組織信息安全風(fēng)險(xiǎn)環(huán)境的控制的選擇、實(shí)現(xiàn)和管理。該標(biāo)準(zhǔn)具備分層結(jié)構(gòu)，包括章節(jié)、控制目標(biāo)、控制、實(shí)現(xiàn)指南和其他信息。GB/T 22081-2016指南是通用的，適用于各種類型、規(guī)?；蛐再|(zhì)的

11、組織。GB/T 22081-2016控制目標(biāo)和控制以規(guī)范性附錄形式列在GB/T 22080-2016的附錄A中。GB/T 22080-2016要求組織確定實(shí)現(xiàn)已選的信息安全風(fēng)險(xiǎn)處置選項(xiàng)所必需的所有控制（見(jiàn)6.1.3 b），將6.1.3 b）確定的控制與附錄A中的控制進(jìn)行比較，并驗(yàn)證沒(méi)有忽略必要的控制（見(jiàn)6.1.3 c）。隨著GB/T 22080-2016和GB/T 22080-2016在組織（包括商業(yè)企業(yè)、政府機(jī)構(gòu)和非營(yíng)利組織）中被廣泛接受，對(duì)這些標(biāo)準(zhǔn)的具體行業(yè)版本的需求正在出現(xiàn)。為實(shí)現(xiàn)這些具體行業(yè)需求而開(kāi)發(fā)的標(biāo)準(zhǔn)示例有：ISO/IEC 270102，行業(yè)間和組織間通信的信息安全管理；ISO/

12、IEC 270113，基于GB/T 22081-2016的電信組織信息安全管理指南；ISO/IEC 270174，基于GB/T 22081-2016的云服務(wù)信息安全控制實(shí)踐指南；ISO/IEC 270185，可識(shí)別個(gè)人信息（PII）處理者在公有云中保護(hù)可識(shí)別個(gè)人信息的實(shí)踐指南。ISO/IEC 之外的組織也制訂了實(shí)現(xiàn)具體行業(yè)需求的標(biāo)準(zhǔn)。具體行業(yè)標(biāo)準(zhǔn)宜與信息安全管理體系要求相一致。本標(biāo)準(zhǔn)為具體行業(yè)如何附加、細(xì)化或解釋GB/T 22080-2016的要求、如何附加或修改GB/T 22081-2016的指南提供要求。本標(biāo)準(zhǔn)假定所有來(lái)自GB/T 22080-2016未被細(xì)化或解釋的要求和所有GB/T 2

13、2081-2016未被修改的控制，將不加修改的適用于具體行業(yè)環(huán)境。本標(biāo)準(zhǔn)結(jié)構(gòu)第5章提供要求和指南，給出在GB/T 22080-2016要求上如何確定附加的要求、細(xì)化的要求或?qū)σ蟮慕忉?。?章提供要求和指南，給出在GB/T 22081-2016內(nèi)容上如何提供附加的或修改的控制目標(biāo)、控制、實(shí)現(xiàn)指南或其他信息。附錄A包含與GB/T 22080-2016和（或）GB/T 22081-2016相關(guān)的宜用于具體行業(yè)標(biāo)準(zhǔn)的模版。附錄B依據(jù)附錄A，選取醫(yī)療行業(yè)給出了面向醫(yī)療的信息安全管理體系。在本標(biāo)準(zhǔn)中，使用以下概念以使GB/T 22080-2016的要求適用于行業(yè)：附加：見(jiàn)5.2細(xì)化：見(jiàn)5.3解釋：見(jiàn)5.

14、4在本標(biāo)準(zhǔn)中，使用以下概念以使GB/T 22081-2016的指南適用于行業(yè)：附加：見(jiàn)6.2修改：見(jiàn)6.3遵循本標(biāo)準(zhǔn)要求而制定的任何具體行業(yè)指南不能被包含在技術(shù)報(bào)告中。ISO/IEC導(dǎo)則將技術(shù)報(bào)告定義為不含要求的文檔，而任何依據(jù)本標(biāo)準(zhǔn)開(kāi)發(fā)的具體行業(yè)標(biāo)準(zhǔn)，特別是附錄A，都將至少包含一個(gè)要求集合（見(jiàn)A.2中模板的4.1節(jié)）。擴(kuò)展GB/T 22080-2016要求或GB/T 22081-2016控制與GB/T 22080-2016相關(guān)的具體行業(yè)標(biāo)準(zhǔn)可在GB/T 22080-2016或GB/T 22081-2016上附加要求或指南。這一附加可以將信息安全之外的要求或指南擴(kuò)展到具體行業(yè)主題上。ISO/I

15、EC 27018 可識(shí)別個(gè)人信息（PII）處理者在公有云中保護(hù)可識(shí)別個(gè)人信息的實(shí)踐指南。ISO/IEC 27018:2014附錄A5包含一組旨在保護(hù)可識(shí)別個(gè)人信息的控制，從而使ISO/IEC 270185的范圍除信息安全外還涵蓋可識(shí)別個(gè)人信息的保護(hù)。附加、細(xì)化GB/T 22080-2016要求或?qū)σ蟮慕忉尶倓t圖1 闡明了如何構(gòu)建與GB/T 22080-2016相關(guān)的具體行業(yè)要求。具體行業(yè)要求的構(gòu)建附加的要求允許給出附加要求的規(guī)范。對(duì)信息安全方針有附加要求的行業(yè)，能夠?qū)⑵涓郊拥紾B/T 22080-2016,5.2中規(guī)定的方針要求中。針對(duì)GB/T 22080-2016附加的要求不應(yīng)移除GB/T

16、 22080-2016確定的任何要求或使其失效。具體行業(yè)附加到GB/T 22080-2016中的要求，可能時(shí)，應(yīng)按照本標(biāo)準(zhǔn)附錄A給定的要求和指南進(jìn)行。細(xì)化的要求允許對(duì)GB/T 22080-2016要求進(jìn)行細(xì)化。細(xì)化不會(huì)移除GB/T 22080-2016的任何要求或使其失效（見(jiàn)3.2）。GB/T 22080-2016要求在具體行業(yè)的細(xì)化，可能時(shí)，應(yīng)按照本標(biāo)準(zhǔn)附錄A給定的要求和指南進(jìn)行。具體行業(yè)標(biāo)準(zhǔn)可能包含對(duì)GB/T 22080-2016 附錄A 的附加控制。在這種情況下，GB/T 22080-2016,6.1.3 c）和d）信息安全風(fēng)險(xiǎn)處置的相關(guān)要求，需被細(xì)化，以包含具體行業(yè)標(biāo)準(zhǔn)給出的附加控制。

17、允許給出特定方法的規(guī)范以滿足GB/T 22080-2016要求。特定行業(yè)有規(guī)定的方法確定在具體行業(yè)管理體系范圍內(nèi)工作人員的能力。這一要求能細(xì)化GB/T 22080-2016,7.2中的通用要求。解釋的要求允許對(duì)GB/T 22080-2016要求進(jìn)行解釋。解釋不會(huì)使GB/T 22080-2016的任何要求失效，只是對(duì)其進(jìn)行解釋或?qū)⑵浞湃刖唧w行業(yè)背景中（見(jiàn)3.1）。對(duì)GB/T 22080-2016要求在具體行業(yè)的解釋，可能時(shí)，應(yīng)按照本標(biāo)準(zhǔn)附錄A給定的要求和指南進(jìn)行。附加或修改GB/T 22081-2016指南總則圖2闡明了如何附加或修改GB/T 22081-2016指南。具體行業(yè)指南的構(gòu)建每項(xiàng)控制

18、應(yīng)僅包含一項(xiàng)由“宜”這個(gè)詞形成的實(shí)例。在GB/T 22080-2016中，信息安全風(fēng)險(xiǎn)處置要求組織陳述所選控制以及對(duì)附錄A中保留和刪減的控制給予正當(dāng)理由。在控制描述中只使用一個(gè)“宜”，就消除了控制范圍模糊的可能性。附加的指南允許對(duì)GB/T 22081-2016的章節(jié)、控制目標(biāo)、控制、實(shí)現(xiàn)指南和其他信息進(jìn)行附加。對(duì)GB/T 22081-2016附加的章節(jié)、控制目標(biāo)、控制、實(shí)現(xiàn)指南和其他信息，可能時(shí)，應(yīng)按照本標(biāo)準(zhǔn)附錄A給定的要求和指南進(jìn)行。在規(guī)定附加章節(jié)、控制目標(biāo)或控制之前，制定與GB/T 22080-2016相關(guān)具體行業(yè)標(biāo)準(zhǔn)的組織宜考慮是否有更有效的方法來(lái)修改GB/T 22081-2016已有內(nèi)

19、容，或是否有更有效的方法在GB/T 22081-2016已有內(nèi)容之上附加具體行業(yè)控制目標(biāo)、控制、實(shí)現(xiàn)指南和其他信息來(lái)達(dá)成期望的結(jié)果。修改的指南允許對(duì)GB/T 22081-2016的章節(jié)、控制目標(biāo)、控制、實(shí)現(xiàn)指南和其他信息進(jìn)行修改。任何修改不應(yīng)移除GB/T 22081-2016的控制、使其失效或減少。對(duì)GB/T 22081-2016章節(jié)、控制目標(biāo)、控制、實(shí)現(xiàn)指南和其他信息的修改，可能時(shí)，應(yīng)按照本標(biāo)準(zhǔn)附錄A給定的要求和指南進(jìn)行。（規(guī)范性附錄）開(kāi)發(fā)與GB/T 22080-2016或GB/T 22081-2016相關(guān)的具體行業(yè)標(biāo)準(zhǔn)的模版起草說(shuō)明A.2中使用了下列格式規(guī)則：尖括號(hào)中的文本宜用適宜的具體行

20、業(yè)文本代替；對(duì)于電信行業(yè)，A.2模板中第4章的標(biāo)題，“-具體要求.”,宜讀作“電信-具體要求.”?；ɡㄌ?hào)中斜體的文本表示如何使用模版的此部分；本部分文本在具體行業(yè)標(biāo)準(zhǔn)最終版本中宜刪除；沒(méi)有特定格式的文本宜原樣復(fù)制。具體行業(yè)標(biāo)準(zhǔn)宜命名如下：面向的信息安全管理體系。模版0 簡(jiǎn)介包括：本標(biāo)準(zhǔn)中包含的要求和（或）指南如何與GB/T 22080-2016中規(guī)定的要求及GB/T 22081-2016中的指南相關(guān)聯(lián)。1 范圍包括：適用范圍的聲明，該聲明包含了本標(biāo)準(zhǔn)與GB/T 22080-2016及GB/T 22081-2016的關(guān)系。2 規(guī)范性引用文件插入相關(guān)的規(guī)范性引用文件，包括GB/T 22080-20

21、16和GB/T 22081-2016。3 術(shù)語(yǔ)和定義確保包含ISO/IEC 27000。4 與GB/T 22080-2016相關(guān)的-具體要求總是插入以下文本。4.1 本標(biāo)準(zhǔn)結(jié)構(gòu)這是與GB/T 22080-2016相關(guān)的具體行業(yè)的。如果具體行業(yè)標(biāo)準(zhǔn)有在GB/T 22081-2016基礎(chǔ)上附加的或修改的具體行業(yè)章節(jié)、控制目標(biāo)或控制，插入以下文本。-具體參考控制目標(biāo)和控制詳見(jiàn)附錄A。如果有，插入描述具體行業(yè)ISMS問(wèn)題的子章節(jié)。4.2 -具體要求在適當(dāng)?shù)那闆r下，插入下列兩段文本中的一段。對(duì)GB/T 22080-2016第4章到第10章的所有要求，不加修改的適用?；?qū)B/T 22080-2016第4

22、章到第10章的所有要求，以下沒(méi)有出現(xiàn)的不加修改的適用。附加所有的具體行業(yè)要求。對(duì)附加的要求，使用與GB/T 22080-2016相同格式的章節(jié)（子章節(jié)）號(hào)，但對(duì)行業(yè)至少使用三個(gè)字母作為前綴。當(dāng)附加一項(xiàng)要求時(shí)，首先檢查它是否與GB/T 22080-2016中已有要求相關(guān)。如果是相關(guān)的，將新要求附加到相關(guān)的章節(jié)中并給予恰當(dāng)序號(hào)。如果與已有要求不相關(guān)，將附加要求置于GB/T 22080-2016相關(guān)要求之后，在章節(jié)中引入一個(gè)適宜的新子章節(jié)號(hào)。通過(guò)插入以下文本來(lái)表示附加到GB/T 22080-2016要求上的具體行業(yè)要求。附加到GB/T 22080-2016的要求是：通過(guò)插入以下文本來(lái)表示對(duì)GB/T

23、22080-2016要求進(jìn)行細(xì)化的具體行業(yè)要求。 GB/T 22080-2016要求細(xì)化如下：通過(guò)插入以下文本來(lái)表示對(duì)GB/T 22080-2016要求進(jìn)行解釋的具體行業(yè)要求。GB/T 22080-2016要求解釋如下：如果可能，使用斜體表示附加、細(xì)化或解釋的文本。如果具體行業(yè)標(biāo)準(zhǔn)有具體行業(yè)的控制，則總是插入以下文本。GB/T 22080-2016要求 6.1.3 c）細(xì)化如下：將上述6.1.3 b）確定的控制與GB/T 22080-2016中附錄A以及本附錄A中的控制進(jìn)行比較，以驗(yàn)證沒(méi)有忽略必要的控制。GB/T 22080-2016要求 6.1.3 d）細(xì)化如下：生成適用性聲明，其中包含：-

24、必要的控制（見(jiàn)GB/T 22080-2016，6.1.3 b）和c）；-選擇這些控制的理由；-是否實(shí)現(xiàn)了必要的控制；-未選擇GB/T 22080-2016中附錄A或本附錄A中的任何控制的理由。要強(qiáng)制應(yīng)用特定控制，請(qǐng)?jiān)贕B/T 22080-2016，6.1.3 d）之后總是插入以下文本，并以恰當(dāng)?shù)姆绞阶R(shí)別強(qiáng)制控制，最好使用（M）作為控制編號(hào)的前綴。組織應(yīng)實(shí)現(xiàn)由識(shí)別的強(qiáng)制控制。5 與GB/T 22081-2016相關(guān)的-具體指南如果具體行業(yè)標(biāo)準(zhǔn)有在GB/T 22081-2016基礎(chǔ)上附加的或修改的具體行業(yè)章節(jié)、控制目標(biāo)、控制、實(shí)現(xiàn)指南或其他信息，在本章節(jié)插入他們。附加章節(jié)、控制目標(biāo)或控制的序號(hào)與G

25、B/T 22081-2016采用相同格式，但對(duì)行業(yè)至少使用三個(gè)字母作為前綴。當(dāng)對(duì)GB/T 22081-2016控制目標(biāo)、控制、實(shí)現(xiàn)指南和（或）其他信息附加或修改時(shí)，首先檢查它是否與GB/T 22081-2016中已有控制目標(biāo)、控制、實(shí)現(xiàn)指南和（或）其他信息相關(guān)。如果是相關(guān)的，附加或修改新控制目標(biāo)、控制、實(shí)現(xiàn)指南和（或）其他信息到GB/T 22081-2016相關(guān)的章節(jié)中并相應(yīng)編號(hào)。如果與GB/T 22081-2016中已有章節(jié)、控制目標(biāo)或控制不相關(guān)，將附加的條目放置到GB/T 22081-2016已有章節(jié)、控制目標(biāo)或控制之后。總是插入以下文本。對(duì)GB/T 22081-2016所有的章節(jié)、控制目

26、標(biāo)、控制、實(shí)現(xiàn)指南和其他信息，以下沒(méi)有出現(xiàn)的不加修改的適用。通過(guò)插入以下文本來(lái)表示附加到GB/T 22081-2016的具體行業(yè)章節(jié)。附加到GB/T 22081-2016的章節(jié)是：通過(guò)在恰當(dāng)章節(jié)之后插入以下文本來(lái)表示附加到GB/T 22081-2016的具體行業(yè)控制目標(biāo)。附加到GB/T 22081-2016的控制目標(biāo)是：通過(guò)在恰當(dāng)?shù)目刂颇繕?biāo)之后插入以下文本來(lái)表示附加到GB/T 22081-2016的具體行業(yè)控制；確保控制目標(biāo)反映附加的具體行業(yè)控制，并確保該附加不會(huì)使任何已有控制失效。附加到GB/T 22081-2016的控制是：當(dāng)修改控制目標(biāo)、控制、實(shí)現(xiàn)指南或其他信息時(shí)（例如通過(guò)修改或附加到已

27、有文本），根據(jù)GB/T 22081-2016要求重新進(jìn)行理解。根據(jù)需要插入以下任一項(xiàng)來(lái)表示對(duì)GB/T 22081-2016中控制目標(biāo)或控制的具體行業(yè)修改。修改如下：或修改如下：如果已有控制未被修改，僅給出附加的指南，根據(jù)需要插入以下標(biāo)題之一。附加到GB/T 22081-2016的實(shí)現(xiàn)指南是：附加到GB/T 22081-2016的其它信息是：如果可能，使用斜體表示附加的或修改的文本。如果具體行業(yè)標(biāo)準(zhǔn)具有根據(jù)GB/T 22081-2016附加的或者修改的具體行業(yè)章節(jié)、控制目標(biāo)或控制，以與GB/T 22081-2016附錄A相同的方式構(gòu)建規(guī)范性附錄A，并在適用時(shí)用“應(yīng)”代替“宜”。附錄的名稱和標(biāo)題如

28、下。附錄A（規(guī)范性附錄）-具體參考控制目標(biāo)和控制下面介紹表A.1。表A.1中所列的附加或修改的控制目標(biāo)和控制，是直接來(lái)源于本標(biāo)準(zhǔn)并與之相對(duì)應(yīng)，并用于本標(biāo)準(zhǔn)細(xì)化的GB/T 22080-2016，6.1.3環(huán)境中。附 錄 B（資料性附錄）面向醫(yī)療的信息安全管理體系說(shuō)明本附錄參考ISO 27799:20166健康信息-應(yīng)用GB/T 22081-2016時(shí)的醫(yī)療信息安全管理，依據(jù)信息安全管理體系在醫(yī)療行業(yè)具體應(yīng)用實(shí)踐，形成面向醫(yī)療的信息安全管理體系標(biāo)準(zhǔn)。本附錄目的不是為了形成完善的面向醫(yī)療的信息安全管理體系，僅是給出面向行業(yè)的信息安全管理體系的示例，便于理解本標(biāo)準(zhǔn)并推動(dòng)本標(biāo)準(zhǔn)落地實(shí)施。面向醫(yī)療的信息安

29、全管理體系如下為依據(jù)附錄A選取醫(yī)療行業(yè)給出的面向醫(yī)療的信息安全管理體系。0 簡(jiǎn)介（引言）本標(biāo)準(zhǔn)為醫(yī)療機(jī)構(gòu)如何更好保護(hù)醫(yī)療信息保密性、完整性和可用性提供指導(dǎo)。它基于GB/T 22081-2016提供的通用指南，解決醫(yī)療行業(yè)特定的信息安全要求。本標(biāo)準(zhǔn)將GB/T 22081-2016中信息安全控制應(yīng)用于醫(yī)療行業(yè)，保護(hù)個(gè)人健康信息。1 范圍本標(biāo)準(zhǔn)在GB/T 22081-2016基礎(chǔ)上，為GB/T 22081-2016所述的控制應(yīng)用于醫(yī)療行業(yè)提供實(shí)現(xiàn)指南，并在必要時(shí)對(duì)其補(bǔ)充，以便有效管理醫(yī)療信息安全。本標(biāo)準(zhǔn)與GB/T 22081-2016共同規(guī)定了醫(yī)療信息安全方面控制。本標(biāo)準(zhǔn)適用于醫(yī)療行業(yè)構(gòu)建包含其特定

30、需求的信息安全管理體系。2 規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 29246-XXXX信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯（ISO/IEC 27000:2016,IDT）GB/T 22081-2016信息技術(shù)安全技術(shù)信息安全控制實(shí)踐（GB/T 22081-2016:2013,IDT）3 術(shù)語(yǔ)和定義ISO/IEC 27000界定的術(shù)語(yǔ)和定義適用于本文件。4 本標(biāo)準(zhǔn)結(jié)構(gòu)本標(biāo)準(zhǔn)在GB/T 22081-2016包含的14個(gè)安全控制章節(jié)、35個(gè)主要安全類別

31、及114項(xiàng)控制基礎(chǔ)上，給出針對(duì)醫(yī)療行業(yè)的附加或修改的信息安全控制指南。本標(biāo)準(zhǔn)控制的描述結(jié)構(gòu)如下：Health 控制在GB/T 22081-2016基礎(chǔ)上，給出針對(duì)醫(yī)療行業(yè)的附加或修改的信息安全控制。如無(wú)附加的控制，本項(xiàng)將不給出。Health 實(shí)現(xiàn)指南為支持Health 控制的實(shí)現(xiàn)并滿足控制目標(biāo)，提供更詳細(xì)的信息。如無(wú)附加的實(shí)現(xiàn)指南，則陳述如下：“針對(duì)醫(yī)療行業(yè)沒(méi)有附加的信息安全管理指南”。Health其他信息提供需要考慮的進(jìn)一步的信息。如無(wú)附加的其他信息，本項(xiàng)將不給出。醫(yī)療行業(yè)具體參考控制目標(biāo)和控制詳見(jiàn)附錄A。5 信息安全策略5.1 信息安全管理指導(dǎo)目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)，為信息安全提

32、供管理指導(dǎo)和支持。5.1.1 信息安全策略控制對(duì)GB/T 22081-2016，5.1.1節(jié)控制不加修改的適用。Health 控制處理醫(yī)療相關(guān)信息（包括個(gè)人醫(yī)療信息）的組織，宜有書(shū)面的信息安全策略，由管理者批準(zhǔn)，并發(fā)布傳達(dá)給所有員工和外部相關(guān)方。實(shí)現(xiàn)指南對(duì)GB/T 22081-2016，5.1.1節(jié)實(shí)現(xiàn)指南不加修改的適用。Health 實(shí)現(xiàn)指南醫(yī)療行業(yè)信息安全策略宜包含：a）醫(yī)療信息安全的需求；b）醫(yī)療信息安全的目標(biāo)；c）法律、法規(guī)要求；d）合同要求。醫(yī)療行業(yè)組織在制定其信息安全策略文件時(shí)，需要特別考慮下列因素：a）醫(yī)療信息的傳輸范圍；b）員工的權(quán)利；c）醫(yī)療信息安全措施對(duì)病人安全的影響；d）

33、醫(yī)療信息安全措施對(duì)醫(yī)療信息系統(tǒng)性能的影響。其他信息對(duì)GB/T 22081-2016，5.1.1節(jié)其他信息不加修改的適用。5.1.2 信息安全策略的評(píng)審控制對(duì)GB/T 22081-2016，5.1.2節(jié)控制不加修改的適用。Health 控制宜持續(xù)的、階段性的對(duì)醫(yī)療信息安全策略進(jìn)行評(píng)審。實(shí)現(xiàn)指南對(duì)GB/T 22081-2016，5.1.2節(jié)實(shí)現(xiàn)指南不加修改的適用。Health 實(shí)現(xiàn)指南下列情況宜對(duì)信息安全策略進(jìn)行評(píng)審：a）醫(yī)療相關(guān)組織的業(yè)務(wù)性質(zhì)發(fā)生變化，導(dǎo)致風(fēng)險(xiǎn)配置和風(fēng)險(xiǎn)管理需求發(fā)生變化；b）組織IT基礎(chǔ)設(shè)施變更及后續(xù)變化，使組織引入了新的風(fēng)險(xiǎn)。6 信息安全組織對(duì)GB/T 22081-2016，第

34、6章控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。7 人力資源安全7.1 任用前目標(biāo)：確保員工和合同方理解其責(zé)任，并適合其角色。7.1.1 審查控制對(duì)GB/T 22081-2016，7.1.1節(jié)控制不加修改的適用。Health 控制所有任用候選者的背景驗(yàn)證核查宜包括經(jīng)過(guò)專業(yè)認(rèn)證的醫(yī)療專業(yè)資格的核查。實(shí)現(xiàn)指南對(duì)GB/T 22081-2016，7.1.1節(jié)實(shí)現(xiàn)指南不加修改的適用。Health 實(shí)現(xiàn)指南針對(duì)醫(yī)療行業(yè)沒(méi)有附加的信息安全管理指南。7.1.2 任用條款及條件控制對(duì)GB/T 22081-2016，7.1.2節(jié)控制不加修改的適用。Health 控制宜特別注意醫(yī)療機(jī)構(gòu)臨時(shí)或短期工作人員的角色和責(zé)任。實(shí)

35、現(xiàn)指南對(duì)GB/T 22081-2016，7.1.2節(jié)實(shí)現(xiàn)指南不加修改的適用。Health 實(shí)現(xiàn)指南針對(duì)醫(yī)療行業(yè)沒(méi)有附加的信息安全管理指南。其他信息對(duì)GB/T 22081-2016，7.1.2節(jié)其他信息不加修改的適用。7.2任用中對(duì)GB/T 22081-2016，7.2節(jié)控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。7.3任用的終止和變更對(duì)GB/T 22081-2016，7.3節(jié)控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。8 資產(chǎn)管理對(duì)GB/T 22081-2016，第8章控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。9 訪問(wèn)控制對(duì)GB/T 22081-2016，第9章控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。1

36、0 密碼對(duì)GB/T 22081-2016，第10章控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。11 物理和環(huán)境安全11.1 安全區(qū)域目標(biāo)：防止對(duì)組織信息和信息處理設(shè)施的未授權(quán)物理訪問(wèn)、損壞和干擾。11.1.1 物理安全邊界控制對(duì)GB/T 22081-2016，11.1.1節(jié)控制不加修改的適用。Health 控制處理醫(yī)療信息的組織宜使用安全邊界，以保護(hù)包含醫(yī)療信息的信息處理設(shè)施。實(shí)現(xiàn)指南對(duì)GB/T 22081-2016，11.1.1節(jié)實(shí)現(xiàn)指南不加修改的適用。Health 實(shí)現(xiàn)指南針對(duì)醫(yī)療行業(yè)沒(méi)有附加的信息安全管理指南。其他信息對(duì)GB/T 22081-2016，11.1.1節(jié)附加信息不加修改的適用。1

37、1.1.2 物理入口控制控制對(duì)GB/T 22081-2016，11.1.2節(jié)控制不加修改的適用。實(shí)現(xiàn)指南對(duì)GB/T 22081-2016，11.1.2節(jié)實(shí)現(xiàn)指南不加修改的適用。Health 實(shí)現(xiàn)指南針對(duì)醫(yī)療行業(yè)沒(méi)有附加的信息安全管理指南。11.1.3 辦公室、房間和設(shè)施的安全保護(hù)控制對(duì)GB/T 22081-2016，11.1.3節(jié)控制不加修改的適用。實(shí)現(xiàn)指南對(duì)GB/T 22081-2016，11.1.3節(jié)實(shí)現(xiàn)指南不加修改的適用。Health 實(shí)現(xiàn)指南針對(duì)醫(yī)療行業(yè)沒(méi)有附加的信息安全管理指南。11.1.4 外部和環(huán)境威脅的安全防護(hù)控制對(duì)GB/T 22081-2016，11.1.4節(jié)控制不加修改的適

38、用。實(shí)現(xiàn)指南對(duì)GB/T 22081-2016，11.1.4節(jié)實(shí)現(xiàn)指南不加修改的適用。Health 實(shí)現(xiàn)指南針對(duì)醫(yī)療行業(yè)沒(méi)有附加的信息安全管理指南。11.1.5 在安全區(qū)域工作控制對(duì)GB/T 22081-2016，11.1.5節(jié)控制不加修改的適用。實(shí)現(xiàn)指南對(duì)GB/T 22081-2016，11.1.5節(jié)實(shí)現(xiàn)指南不加修改的適用。Health 實(shí)現(xiàn)指南針對(duì)醫(yī)療行業(yè)沒(méi)有附加的信息安全管理指南。11.1.6 交接區(qū)控制對(duì)GB/T 22081-2016，11.1.6節(jié)控制不加修改的適用。實(shí)現(xiàn)指南對(duì)GB/T 22081-2016，11.1.6節(jié)實(shí)現(xiàn)指南不加修改的適用。Health 實(shí)現(xiàn)指南值得注意的是，醫(yī)療

39、信息的提供包含了大量關(guān)于人身體相關(guān)的敏感信息。收集健康信息的相關(guān)領(lǐng)域應(yīng)進(jìn)行額外的安全審查。11.2 設(shè)備對(duì)GB/T 22081-2016，11.2節(jié)控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。12 運(yùn)行安全對(duì)GB/T 22081-2016，第12章控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。13 通信安全對(duì)GB/T 22081-2016，第13章控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。14 系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)對(duì)GB/T 22081-2016，第14章控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。15 供應(yīng)商關(guān)系15.1 供應(yīng)商關(guān)系中的信息安全15.1.1 供應(yīng)商關(guān)系的信息安全策略控制對(duì)GB/T 22081

40、-2016，15.1.1節(jié)控制不加修改的適用。Health 控制組織處理醫(yī)療信息時(shí)，宜評(píng)估與信息相關(guān)系統(tǒng)和數(shù)據(jù)的風(fēng)險(xiǎn)。實(shí)現(xiàn)指南對(duì)GB/T 22081-2016，15.1.1節(jié)實(shí)現(xiàn)指南不加修改的適用。Health 實(shí)現(xiàn)指南針對(duì)醫(yī)療行業(yè)沒(méi)有附加的信息安全管理指南。其他信息對(duì)GB/T 22081-2016，15.1.1節(jié)其他信息不加修改的適用。15.1.2 在供應(yīng)商協(xié)議中強(qiáng)調(diào)安全控制對(duì)GB/T 22081-2016，15.1.2節(jié)控制不加修改的適用。實(shí)現(xiàn)指南對(duì)GB/T 22081-2016，15.1.2節(jié)實(shí)現(xiàn)指南不加修改的適用。Health 實(shí)現(xiàn)指南針對(duì)醫(yī)療行業(yè)沒(méi)有附加的信息安全管理指南。其他信息對(duì)

41、GB/T 22081-2016，15.1.2節(jié)其他信息不加修改的適用。15.1.3 信息與通信技術(shù)供應(yīng)鏈控制對(duì)GB/T 22081-2016，15.1.3節(jié)控制不加修改的適用。實(shí)現(xiàn)指南對(duì)GB/T 22081-2016，15.1.3節(jié)實(shí)現(xiàn)指南不加修改的適用。Health 實(shí)現(xiàn)指南針對(duì)醫(yī)療行業(yè)沒(méi)有附加的信息安全管理指南。其他信息對(duì)GB/T 22081-2016，15.1.3節(jié)其他信息不加修改的適用。15.2 供應(yīng)商服務(wù)交付管理對(duì)GB/T 22081-2016，15.2節(jié)控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。16 信息安全事件管理對(duì)GB/T 22081-2016，第16章控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。17 業(yè)務(wù)連續(xù)性管理的信息安全方面對(duì)GB/T 22081-2016，第17章控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。18 符合性對(duì)GB/T 22081-2016，第18章控制、實(shí)現(xiàn)指南和其他信息不加修改的適用。附錄