| 标准编号 | GB/T 38631-2020 (GB/T38631-2020) | | 中文名称 | 信息技术 安全技术 GB/T 22080具体行业应用 要求 | | 英文名称 | Information technology - Security techniques - Sector-specific application of GB/T 22080 - Requirements | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 14,141 | | 发布日期 | 2020-04-28 | | 实施日期 | 2020-11-01 | | 引用标准 | GB/T 22080-2016; GB/T 22081-2016; GB/T 29246-2017 | | 采用标准 | ISO/IEC 27009-2016, MOD | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了GB/T 22080应用于具体行业(领域、应用)时的要求。本标准解释了如何在GB/T 22080要求上包含补充要求,如何细化GB/T 22080的要求,以及如何包含GB/T 22080-2016附录A之外的控制或控制集。本标准确保补充的或细化的要求与GB/T 22080的要求不冲突。本标准适用于制定与GB/T 22080相关的具体行业标准。 | GB/T 38631-2020
Information technology -- Security techniques -- Sector-specific application of GB/T 22080 -- Requirements
ICS 35.040
L80
中华人民共和国国家标准
信息技术 安全技术
GB/T 22080具体行业应用 要求
2020-04-28发布
2020-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 概述 1
4.1 总则 1
4.2 本标准结构 2
4.3 扩展GB/T 22080要求或GB/T 22081控制 2
5 补充、细化或解释GB/T 22080要求 2
5.1 总则 2
5.2 补充要求 3
5.3 细化要求 3
5.4 解释要求 3
6 补充或修改GB/T 22081指南 3
6.1 总则 3
6.2 补充指南 4
6.3 修改指南 4
附录A(规范性附录) 制定与GB/T 22080-2016或GB/T 22081-2016相关的具体行业标准的模板 5
附录B(资料性附录) 面向医疗行业的信息安全管理体系指南示例 8
参考文献 11
信息技术 安全技术
GB/T 22080具体行业应用 要求
1 范围
本标准规定了 GB/T 22080应用于具体行业(领域、应用)时的要求。本标准解释了如何在
GB/T 22080要求上包含补充要求,如何细化GB/T 22080的要求,以及如何包含GB/T 22080-2016附
录A之外的控制或控制集。
本标准确保补充的或细化的要求与GB/T 22080的要求不冲突。
本标准适用于制定与GB/T 22080相关的具体行业标准。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22080-2016 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC 27001:2013,IDT)
GB/T 22081-2016 信息技术 安全技术 信息安全控制实践指南(ISO/IEC 27002:2013,IDT)
GB/T 29246-2017 信息技术 安全技术 信息安全管理体系 概述和词汇(ISO/IEC 27000:2016,IDT)
3 术语和定义
GB/T 29246-2017界定的以及下列术语和定义适用于本文件。
3.1
解释
在具体行业背景下对GB/T 22080要求的说明(以要求或指南的形式),该说明不会使GB/T 22080
的要求失效。
3.2
细化
GB/T 22080要求在具体行业的详述,该详述不会删除GB/T 22080任一要求或使其失效。
4 概述
4.1 总则
GB/T 22080规定了建立、实现、维护和持续改进信息安全管理体系的要求。这些要求是通用的,
适用于各种类型、规模或性质的机构。
注:ISO 管理体系标准的建立依据ISO/IEC 导则 第1部分 融合的JTC1补充部分(2016)。
GB/T 22081为信息安全管理实践提供了指南,考虑了机构信息安全风险环境下控制的选择、实施和管理。
该指南采用分层结构,包括章节、控制目标、控制、实现指南以及其他信息。指南是通用的,适
用于各种类型、规模或性质的机构。
GB/T 22081的控制目标和控制以规范性附录形式列在 GB/T 22080-2016的附录 A 中。
GB/T 22080-2016要求机构确定信息安全风险处置选项所必需的所有控制[见6.1.3b)],并将
6.1.3b)确定的控制与附录A中的控制进行比较,并验证没有忽略必要的控制[见6.1.3c)]。
随着GB/T 22080和GB/T 22081在企业、政府机构和非营利组织中的广泛应用,需要开发针对这
些具体行业的标准,主要完成的标准包括:
---GB/T 32920,信息技术 安全技术 行业间和组织间通信的信息安全管理;
---ISO/IEC 27011,基于ISO/IEC 27002的电信组织信息安全管理指南;
---ISO/IEC 27017,基于ISO/IEC 27002的云服务信息安全控制实践指南;
---ISO/IEC 27018,可识别个人信息(PII)处理者在公有云中保护可识别个人信息的实践指南。
具体行业标准需要与信息安全管理体系要求相一致。本标准主要从以下两方面规定了相关要求:
---具体行业如何补充、细化GB/T 22080的要求或对其作出解释;
---具体行业如何补充或修改GB/T 22081的指南。
本标准假定所有来自GB/T 22080未被细化的或未作出解释的要求、所有来自GB/T 22081未被
修改的控制,将不加修改的适用于具体行业环境。
4.2 本标准结构
第5章提供要求和指南,给出如何在GB/T 22080要求上确定补充要求、细化要求或作出解释。
第6章提供要求和指南,给出如何在GB/T 22081内容上补充或修改控制目标、控制、实现指南或其他信息。
附录A给出与GB/T 22080和(或)GB/T 22081可用于具体行业标准的模板。
依据附录A,面向医疗行业的信息安全管理体系指南示例参见附录B。
本标准使用如下概念以使GB/T 22080的要求适用于具体行业:
---补充:见5.2
---细化:见5.3
---解释:见5.4
本标准使用如下概念以使GB/T 22081的指南适用于具体行业:
---补充:见6.2
---修改:见6.3
注:遵循本标准要求和指南而制定的具体行业指南不可包含在技术报告中。ISO/IEC 导则将技术报告定义为不含要求的文档,
而任一依据本标准开发的具体行业标准,特别是附录 A,都将至少包含一个最小的要求集合(见
A.2中模板的4.1)。
4.3 扩展GB/T 22080要求或GB/T 22081控制
与GB/T 22080相关的具体行业标准可以对GB/T 22080或GB/T 22081进行补充,可将信息安全
之外的要求或指南纳入具体行业之中。
示例:ISO/IEC 27018:2014附录A包含一组旨在保护可识别个人信息的控制,从而使ISO/IEC 27018的范围除信
息安全外还涵盖可识别个人信息的保护。
5 补充、细化或解释GB/T 22080要求
5.1 总则
图1阐明了如何构建与GB/T 22080相关的具体行业要求。
控制删减的合理性说明。在控制描述中只使用一个“宜”,可明确控制的范围。
6.2 补充指南
允许对GB/T 22081的章节、控制目标、控制、实现指南和其他信息进行补充。
对GB/T 22081补充章节、控制目标、控制、实现指南和其他信息,应按照附录A给定的要求和指南进行。
在规定补充章节、控制目标或控制之前,制定与GB/T 22080相关具体行业标准的机构宜考虑是否
有更有效的方法来修改GB/T 22081已有内容,或是否有更有效的方法在GB/T 22081已有内容之上
补充具体行业控制目标、控制、实现指南和其他信息来达成期望的结果。
6.3 修改指南
允许对GB/T 22081的章节、控制目标、控制、实现指南和其他信息进行修改。
任何修改不应删除GB/T 22081的控制、使其失效或减弱。
对GB/T 22081章节、控制目标、控制、实现指南和其他信息的修改,应按照附录A给定的要求和指南进行。
附 录 A
(规范性附录)
制定与GB/T 22080-2016或GB/T 22081-2016相关的具体行业标准的模板
A.1 起草说明
A.2中使用了如下格式规则:
---尖括号< >中的文本需用适宜的具体行业文本代替;
示例:对于电信行业,A.2模板中第4章的标题,“< 行业 >-具体要求..”宜变为“电信行业具体要求..”。
---花括号{}中斜体的文本表示如何使用模板的此部分;本部分文本在具体行业标准发布版本中需删除;
---没有特殊格式的文本可逐字复制。
A.2 模板
0 引言
{包含:本标准中的要求和(或)指南,如何与GB/T 22080中规定的要求及GB/T 22081中的指南相关联。}
1 范围
{包含:适用范围的声明,该声明包含了本标准与GB/T 22080及GB/T 22081的关系。}
2 规范性引用文件
{插入相关的规范性引用文件,包含GB/T 22080和GB/T 22081。}
3 术语和定义
{确保包含GB/T 29246。}
4 与GB/T 22080相关的< 行业 >具体要求
{插入以下文本。}
4.1 本标准结构
本标准是与GB/T 22080相关的< 行业 >标准。
{如果具体行业标准有在GB/T 22081基础上补充或修改的具体行业章节、控制目标或控制,插入
以下文本。}
< 行业 >具体参考控制目标和控制参见附录A。
{如果有,插入描述具体行业ISMS问题的子章节。}
4.2 < 行业 >具体要求
{在适当的情况下,插入下列两段文本中的一段。}
对GB/T 22080-2016第4章到第10章的所有要求,仍适用。{或}
对GB/T 22080-2016第4章到第10章的所有要求,未在下面列出的,仍适用。
{补充具体行业要求。对补充要求,使用与GB/T 22080-2016相同格式的章节(子章节)号,并对
行业使用国民经济行业名称(参见GB/T 4754-2017)作为前缀。当补充一项要求时,首先检查它是否
与GB/T 22080-2016中已有要求相关。如果是相关的,将新要求补充到相关的章节中并给予恰当序
号。如果不相关,将补充要求置于GB/T 22080-2016相关要求之后,在章节中引入一个适宜的新子章节号。}
{通过插入以下文本来表示补充到GB/T 22080-2016要求上的具体行业要求。}
GB/T 22080-2016要求< 章节(子章节)号 >补充如下:
{通过插入以下文本来表示对GB/T 22080-2016要求进行细化的具体行业要求。}
GB/T 22080-2016要求< 章节(子章节)号 >细化如下:
{通过插入以下文本来表示对GB/T 22080-2016要求作出解释的具体行业要求。}
GB/T 22080-2016要求< 章节(子章节)号 >解释如下:
{如果可能,请使用斜体表示补充、细化或解释的内容。}
{如果具体行业标准有针对具体行业的控制,则插入以下文本。}
GB/T 22080-2016中6.1.3c)的要求细化如下:
将6.1.3b)确定的控制、GB/T 22080-2016中附录A以及本文件附录A中的控制进行比较,并验
证没有忽略必要的控制。
GB/T 22080-2016中6.1.3d)的要求细化如下:
制定一个适用性声明,包含:
---必要的控制[见GB/T 22080-2016,6.1.3b)和c)];
---选择这些控制的合理性说明(无论这些必要的控制是否已实现);
---对GB/T 22080-2016中附录A或本文件附录A中的控制删减的合理性说明。
{要强制应用某些特定控制,请在GB/T 22080-2016,6.1.3d)之后插入以下文本,并以恰当的方
式识别强制控制,建议使用(强制)作为控制编号的前缀。}
组织应实现由< 行业 >识别的强制控制。
5 与GB/T 22081-2016相关的< 行业 >具体指南
{如果具体行业标准有在GB/T 22081-2016基础上补充或修改的具体行业章节、控制目标、控制、实
现指南或其他信息,在本章节插入它们。补充章节、控制目标或控制的序号与GB/T 22081-2016采用相
同格式,并对行业使用国民经济行业名称(参见GB/T 4754-2017)作为前缀。当对GB/T 22081-2016控
制目标、控制、实现指南和(或)其他信息补充或修改时,首先检查它是否与GB/T 22081-2016中已有控制
目标、控制、实现指南和(或)其他信息相关。如果是相关的,补充或修改新控制目标、控制、实现指南和
(或)其他信息到 GB/T 22081-2016相关的章节中并相应编号。如果不相关,将补充条目放置到
GB/T 22081-2016已有章节、控制目标或控制之后。}
{插入以下文本。}
对GB/T 22081-2016所有的章节、控制目标、控制、实现指南和其他信息,未在下面列出的,仍
适用。
{通过插入以下文本来表示补充到GB/T 22081-2016的具体行业章节。}
GB/T 22081-2016的章节补充如下:
{通过在恰当章节之后插入以下文本来表示补充到GB/T 22081-2016的具体行业控制目标。}
GB/T 22081-2016< 章节号 >[< 章节标题 >]的控制目标补充如下:
{通过在恰当的控制目标之后插入以下文本来表示补充到GB/T 22081-2016的具体行业控制;确
保控制目标反映补充的具体行业控制,并确保该补充不会使任何已有控制失效。}
补充到GB/T 22081-2016......
|