標(biāo)準(zhǔn)解讀

GB/T 22080-2016《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》相對于GB/T 22080-2008版本,在多個方面進(jìn)行了更新和改進(jìn),以更好地適應(yīng)當(dāng)前的信息安全環(huán)境和技術(shù)發(fā)展需求。主要變化包括但不限于以下幾個方面:

  1. 結(jié)構(gòu)與術(shù)語的調(diào)整:新版標(biāo)準(zhǔn)采用了ISO/IEC導(dǎo)則第1部分附件SL中定義的高級結(jié)構(gòu)(High-Level Structure, HLS),這使得GB/T 22080-2016與其他管理體系標(biāo)準(zhǔn)如ISO 9001:2015等在框架上更加一致,便于組織進(jìn)行多體系整合。同時,對一些術(shù)語進(jìn)行了更新或重新定義,以便更準(zhǔn)確地反映實(shí)際操作中的情況。

  2. 風(fēng)險(xiǎn)管理方法論的強(qiáng)化:新版本強(qiáng)調(diào)了基于風(fēng)險(xiǎn)的方法在整個信息安全管理體系(ISMS)中的重要性,并提供了更多關(guān)于如何實(shí)施有效風(fēng)險(xiǎn)管理過程的具體指導(dǎo)。此外,還增加了對于識別、評估及處理信息安全風(fēng)險(xiǎn)的新要求,旨在幫助組織更全面地理解其面臨的風(fēng)險(xiǎn),并采取適當(dāng)措施加以控制。

  3. 關(guān)注點(diǎn)的變化:相較于2008版,2016版更加注重信息安全的文化建設(shè)以及全員參與的重要性。它鼓勵所有員工參與到ISMS活動中來,而不僅僅是IT部門或?qū)iT的安全團(tuán)隊(duì)。通過提高整個組織對信息安全的認(rèn)識水平,可以更有效地預(yù)防潛在威脅。

  4. 隱私保護(hù)內(nèi)容的增加:隨著近年來數(shù)據(jù)泄露事件頻發(fā)以及個人隱私權(quán)保護(hù)意識的增強(qiáng),GB/T 22080-2016特別加入了有關(guān)個人信息保護(hù)的相關(guān)條款,明確了組織在收集、處理和存儲個人敏感信息時應(yīng)遵循的原則和做法,從而加強(qiáng)了對用戶隱私權(quán)的保護(hù)力度。

  5. 持續(xù)改進(jìn)機(jī)制的完善:新標(biāo)準(zhǔn)進(jìn)一步強(qiáng)化了PDCA(計(jì)劃-執(zhí)行-檢查-行動)循環(huán)的應(yīng)用,不僅要求組織定期評審其ISMS的有效性,而且還需根據(jù)內(nèi)外部環(huán)境的變化不斷優(yōu)化和完善自身的安全策略與實(shí)踐,確保信息安全管理水平能夠與時俱進(jìn)。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2016-08-29 頒布
  • 2017-03-01 實(shí)施
?正版授權(quán)
GB/T 22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求_第1頁
GB/T 22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求_第2頁
GB/T 22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求_第3頁
GB/T 22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求_第4頁
GB/T 22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求_第5頁
已閱讀5頁,還剩23頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求-免費(fèi)下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T22080—2016/ISO/IEC270012013

代替:

GB/T22080—2008

信息技術(shù)安全技術(shù)

信息安全管理體系要求

Informationtechnology—Securitytechniques—Informationsecurity

managementsystems—Requirements

(ISO/IEC27001:2013,IDT)

2016-08-29發(fā)布2017-03-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T22080—2016/ISO/IEC270012013

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

組織環(huán)境

4…………………1

理解組織及其環(huán)境

4.1…………………1

理解相關(guān)方的需求和期望

4.2…………1

確定信息安全管理體系范圍

4.3………………………1

信息安全管理體系

4.4…………………2

領(lǐng)導(dǎo)

5………………………2

領(lǐng)導(dǎo)和承諾

5.1…………………………2

方針

5.2…………………2

組織的角色責(zé)任和權(quán)限

5.3,……………2

規(guī)劃

6………………………2

應(yīng)對風(fēng)險(xiǎn)和機(jī)會的措施

6.1……………2

信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃

6.2………………………4

支持

7………………………4

資源

7.1…………………4

能力

7.2…………………4

意識

7.3…………………4

溝通

7.4…………………4

文件化信息

7.5…………………………5

運(yùn)行

8………………………5

運(yùn)行規(guī)劃和控制

8.1……………………5

信息安全風(fēng)險(xiǎn)評估

8.2…………………5

信息安全風(fēng)險(xiǎn)處置

8.3…………………6

績效評價

9…………………6

監(jiān)視測量分析和評價

9.1、、……………6

內(nèi)部審核

9.2……………6

管理評審

9.3……………6

改進(jìn)

10………………………7

不符合及糾正措施

10.1…………………7

持續(xù)改進(jìn)

10.2……………7

附錄規(guī)范性附錄參考控制目標(biāo)和控制

A()……………8

GB/T22080—2016/ISO/IEC270012013

:

附錄資料性附錄與版對比

NA()GB/T22080—2016GB/T22080—2008………18

附錄資料性附錄與主要關(guān)鍵詞變化

NB()GB/T22080—2016GB/T22080—2008……………20

參考文獻(xiàn)

……………………21

GB/T22080—2016/ISO/IEC270012013

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2008《》。

與相比主要技術(shù)變化如下

GB/T22080—2008,:

結(jié)構(gòu)變化見附錄

———NA;

術(shù)語變化見附錄

———NB。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系要

ISO/IEC27001:2013《

》。

與本標(biāo)準(zhǔn)中規(guī)范性引用的國際文件有一致性對應(yīng)關(guān)系的我國文件如下

:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2012

(ISO/IEC27000:2009,IDT)

本標(biāo)準(zhǔn)做了下列編輯性修改

:

增加了資料性附錄

———NA;

增加了資料性附錄

———NB。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司中國信息安全認(rèn)

:、、

證中心山東省標(biāo)準(zhǔn)化研究院廣州賽寶認(rèn)證中心服務(wù)有限公司北京江南天安科技有限公司上海三零

、、、、

衛(wèi)士信息安全有限公司中國合格評定國家認(rèn)可中心北京時代新威信息技術(shù)有限公司黑龍江電子信

、、、

息產(chǎn)品監(jiān)督檢驗(yàn)院浙江遠(yuǎn)望電子有限公司杭州在信科技有限公司

、、。

本標(biāo)準(zhǔn)主要起草人上官曉麗許玉娜閔京華尤其公偉盧列文倪文靜王連強(qiáng)陳冠直

:、、、、、、、、、

于驚濤付志高趙英慶盧普明王曙光虞仲華韓碩祥魏軍程瑜琦孔祥林鄔敏華李華李陽

、、、、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T22080—2008。

GB/T22080—2016/ISO/IEC270012013

:

引言

01總則

.

本標(biāo)準(zhǔn)提供建立實(shí)現(xiàn)維護(hù)和持續(xù)改進(jìn)信息安全管理體系的要求采用信息安全管理體系是組織

、、。

的一項(xiàng)戰(zhàn)略性決策組織信息安全管理體系的建立和實(shí)現(xiàn)受組織的需要和目標(biāo)安全要求組織所采用

。、、

的過程規(guī)模和結(jié)構(gòu)的影響所有這些影響因素可能隨時間發(fā)生變化

、。。

信息安全管理體系通過應(yīng)用風(fēng)險(xiǎn)管理過程來保持信息的保密性完整性和可用性并為相關(guān)方樹立

、,

風(fēng)險(xiǎn)得到充分管理的信心

。

重要的是信息安全管理體系是組織的過程和整體管理結(jié)構(gòu)的一部分并集成在其中并且在過程

,,、

信息系統(tǒng)和控制的設(shè)計(jì)中要考慮到信息安全期望的是信息安全管理體系的實(shí)現(xiàn)程度要與組織的需

。,

要相符合

本標(biāo)準(zhǔn)可被內(nèi)部和外部各方用于評估組織的能力是否滿足自身的信息安全要求

。

本標(biāo)準(zhǔn)中所表述要求的順序不反映各要求的重要性或暗示這些要求要予實(shí)現(xiàn)的順序條款編號僅

為方便引用

。

描述了信息安全管理體系的概要和詞匯引用了信息安全管理體系標(biāo)準(zhǔn)族包括

ISO/IEC27000,(

[2][3][4]以及相關(guān)術(shù)語和定義

ISO/IEC27003、ISO/IEC27004、ISO/IEC27005),。

02與其他管理體系標(biāo)準(zhǔn)的兼容性

.

本標(biāo)準(zhǔn)應(yīng)用合并導(dǎo)則附錄中定義的高層結(jié)構(gòu)相同條款標(biāo)題相同文本通用術(shù)語和

ISO/IECSL、、、

核心定義因此維護(hù)了與其他采用附錄的管理體系的標(biāo)準(zhǔn)具有兼容性

,SL。

附錄中定義的通用途徑對于選擇運(yùn)行單一管理體系來滿足兩個或更多管理體系標(biāo)準(zhǔn)要求的組

SL

織是有用的

。

GB/T22080—2016/ISO/IEC270012013

:

信息技術(shù)安全技術(shù)

信息安全管理體系要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了在組織環(huán)境下建立實(shí)現(xiàn)維護(hù)和持續(xù)改進(jìn)信息安全管理體系的要求本標(biāo)準(zhǔn)還包括

、、。

了根據(jù)組織需求所剪裁的信息安全風(fēng)險(xiǎn)評估和處置的要求

。

本標(biāo)準(zhǔn)規(guī)定的要求是通用的適用于各種類型規(guī)?;蛐再|(zhì)的組織當(dāng)組織聲稱符合本標(biāo)準(zhǔn)時不

,、。,

能排除第章到第章中所規(guī)定的任何要求

410。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

ISO/IEC27000(Informationtechnolo-

gy—Securitytechniques—In

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論