搜索结果: GB/T 22080-2025, GB/T22080-2025, GBT 22080-2025, GBT22080-2025
| 标准编号 | GB/T 22080-2025 (GB/T22080-2025) | | 中文名称 | 网络安全技术 信息安全管理体系 要求 | | 英文名称 | Cybersecurity technology - Information security management systems - Requirements | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 22,224 | | 发布日期 | 2025-06-30 | | 实施日期 | 2026-01-01 | | 旧标准 (被替代) | GB/T 22080-2016 | | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | GB/T 22080-2025: 网络安全技术 信息安全管理体系 要求
ICS 35.030
CCSL80
中华人民共和国国家标准
代替GB/T 22080-2016
网络安全技术 信息安全管理体系 要求
Requirements
2025-06-30发布
2026-01-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 组织环境 1
4.1 理解组织及其环境 1
4.2 理解相关方的需求和期望 1
4.3 确定信息安全管理体系范围 2
4.4 信息安全管理体系 2
5 领导 2
5.1 领导和承诺 2
5.2 方针 2
5.3 组织的角色、责任和权限 2
6 规划 3
6.1 应对风险和机会的措施 3
6.2 信息安全目标及其实现规划 4
6.3 针对变更的规划 4
7 支持 4
7.1 资源 4
7.2 能力 4
7.3 意识 5
7.4 沟通 5
7.5 文件化信息 5
8 运行 6
8.1 运行规划和控制 6
8.2 信息安全风险评估 6
8.3 信息安全风险处置 6
9 绩效评价 6
9.1 监视、测量、分析和评价 6
9.2 内部审核 6
9.3 管理评审 7
10 改进 7
10.1 持续改进 7
10.2 不符合与纠正措施 7
附录A(规范性) 信息安全控制参考 9
参考文献 16
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件代替GB/T 22080-2016《信息技术 安全技术 信息安全管理体系 要求》,与GB/T 22080-
2016相比,除编辑性改动外,主要技术变化如下:
a) 增加了“组织应确定气候变化是否是一个相关事项”(见4.1);
b) 增加了“组织应确定哪些要求将通过信息安全管理体系来解决”[见4.2c)];
c) 更改了“信息安全风险处置”中适用性声明相关要求[见6.1.3d),2016年版的6.1.3d)];
d) 增加了“针对变更的规划”要求(见6.3);
e) 更改了信息安全控制参考,包括对部分原有的控制进行合并、增加新的控制和调整控制的展示
方式(见附录A,2016年版的附录A)。
本文件等同采用ISO/IEC 27001:2022《信息安全、网络安全和隐私保护信息安全管理体系 要
求》。
本文件做了下列最小限度的编辑性改动:
---为与我国技术标准体系协调,标准名称改为《网络安全技术 信息安全管理体系 要求》;
---纳入ISO/IEC 27001:2022/Amd1:2024《信息安全、网络安全和隐私保护 信息安全管理体
系 要求》修正案1:与气候行动相关的变化,并用双垂线在对应有变化的条款外侧标示。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:中国电子技术标准化研究院、中国合格评定国家认可中心、中国网络安全审查认
证和市场监管大数据中心、北京安信天行科技有限公司、中国信息安全测评中心、黑龙江省网络空间研
究中心、中电长城网际系统应用有限公司、山东省标准化研究院、亚信科技(成都)有限公司、深圳市腾讯
计算机系统有限公司、南方电网数字电网集团信息通信科技有限公司、中国烟草总公司湖北省公司、
北京天融信网络安全技术有限公司、唯品会(中国)有限公司、杭州安恒信息技术股份有限公司、广州赛
宝认证中心服务有限公司、中国船级社质量认证有限公司、北京赛西认证有限责任公司、启明星辰信息
技术集团股份有限公司、北京中金云网科技有限公司、浙江网商银行股份有限公司、北京时代新威信息
技术有限公司、中国石油天然气股份有限公司西北销售分公司。
本文件主要起草人:许玉娜、付志高、王秉政、林阳荟晨、尤其、魏立茹、翟亚红、陈青民、陆丽、杨婧婧、
王琰、曲家兴、方舟、白瑞、杨霄璇、闵京华、白旭东、王姣、朱雪峰、公伟、廖双晓、刘震宇、王琼、杨斯可、
寇增杰、周禹、王拓、鲁立、孙毅、赵丽华、杨天识、程燕、史艳语、王连强、谢建林、刘杰、于慧超。
本文件及其所代替文件的历次版本发布情况为:
---2008年首次发布为GB/T 22080-2008,2016年第一次修订;
---本次为第二次修订。
引 言
0.1 概述
本文件提供了建立、实现、维护和持续改进信息安全管理体系的要求。采用信息安全管理体系是组
织的一项战略性决策。组织信息安全管理体系的建立和实现受组织的需求和目标、安全要求、组织所采
用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。
信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并为相关方树立
风险得到充分管理的信心。
对组织而言,重要的是要将信息安全管理体系整合到组织的过程和整体管理结构中,使之成为后者
的一部分,并在组织的过程、信息系统和控制的设计中要考虑信息安全。信息安全管理体系的实现程度
是要与组织的需求相符合。
本文件能被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。
本文件表述要求的顺序并不反映各要求的重要性,也不意味着实现这些要求时的顺序。条款编号
仅是为了方便引用。
ISO/IEC 27000描述了信息安全管理体系的概述和词汇,引用了信息安全管理体系标准族(包括
ISO/IEC 27003、ISO/IEC 27004和ISO/IEC 27005),以及相关术语和定义。
0.2 与其他管理体系标准的兼容性
本文件应用ISO/IEC Directives,Part1附录SL定义的高层结构、相同条款标题、相同文本、通用
术语和核心定义,因此维护了与其他采用附录SL的管理体系标准的兼容性。
附录SL中定义的通用途径对于选择运行单一管理体系来满足多个管理体系标准要求的组织是有
用的。
网络安全技术 信息安全管理体系 要求
1 范围
本文件规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。本文件还规定
了根据组织需求所剪裁的信息安全风险评估和处置的要求。本文件规定的要求是通用的,适用于各种
类型、规模或性质的组织。当组织声称符合本文件时,不接受排除第4章到第10章中规定的任何要求。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
ISO/IEC 27000 信息技术 安全技术 信息安全管理体系 概述和词汇(Information
注:GB/T 29246-2023 信息安全技术信息安全管理体系概述和词汇(ISO/IEC 27000:2018,IDT)
3 术语和定义
ISO/IEC 27000界定的术语和定义适用于本文件。
ISO 和IEC 维护的用于标准化的术语数据库网址如下:
---ISO 在线浏览平台:https://www.iso.org/obp;
4 组织环境
4.1 理解组织及其环境
组织应确定与其意图相关的,且影响其达到信息安全管理体系预期结果能力的外部和内部事项。
组织应确定气候变化1)是否是一个相关事项。
1) 有关气候变化的更多信息,见ISO 和国际认可论坛(IAF)关于管理体系标准中增加气候变化因素的联合公报。
注:对这些事项的确定,见GB/T 24353-2022中5.4.1建立外部和内部环境。
4.2 理解相关方的需求和期望
组织应确定:
a) 信息安全管理体系的相关方;
b) 这些相关方的有关要求;
c) 哪些要求将通过信息安全管理体系予以解决。
注1:相关方的要求包括法律、法规和合同义务。
注2:相关方可能提出与气候变化相关的要求。
4.3 确定信息安全管理体系范围
组织应确定信息安全管理体系的边界及其适用性,以建立其范围。
组织应根据以下内容确定信息安全管理体系范围:
a) 4.1中提到的外部和内部事项;
b)4.2中提到的要求;
c) 组织实施的活动与其他组织实施的活动之间的接口和依赖关系。
范围应形成文件化信息并可用。
4.4 信息安全管理体系
组织应按本文件的要求,建立、实现、维护和持续改进信息安全管理体系,包括所需的过程及其相互
作用。
5 领导
5.1 领导和承诺
最高管理层应通过以下活动,证实其对信息安全管理体系的领导和承诺:
a) 确保建立了信息安全方针和信息安全目标,并与组织战略方向一致;
b) 确保将信息安全管理体系要求整合到组织的业务过程中;
c) 确保信息安全管理体系所需资源可用;
d) 沟通有效信息安全管理的重要性和符合信息安全管理体系要求的重要性;
e) 确保信息安全管理体系达到预期结果;
f) 指导并支持相关人员为信息安全管理体系的有效性作出贡献;
g) 促进持续改进;
h) 支持其他相关管理角色在职责范围内证实其领导作用。
注:本文件中提到的“业务”能广义地解释为对组织的意图具有核心意义的活动。
5.2 方针
最高管理层应建立信息安全方针,该方针应:
a) 与组织的意图相适宜;
b) 包括信息安全目标(见6.2)或为设定信息安全目标提供框架;
c) 包括对满足适用的信息安全相关要求的承诺;
d) 包括对持续改进信息安全管理体系的承诺。
信息安全方针应:
a) 形成文件化信息并可用;
b) 在组织内得到沟通;
c) 适当时,对相关方可用。
5.3 组织的角色、责任和权限
最高管理层应确保与信息安全相关角色的责任和权限在组织内得到分配和沟通。
最高管理层应分配责任和权限,以便:
a) 确保信息安全管理体系符合本文件的要求;
b) 向其报告信息安全管理体系绩效。
注:最高管理层也能在组织内分配报告信息安全管理体系绩效的责任和权限。
6 规划
6.1 应对风险和机会的措施
6.1.1 通则
当规划信息安全管理体系时,组织应明确4.1中提到的事项和4.2中提到的要求,并确定需要应对
的风险和机会,以便:
a) 确保信息安全管理体系能达到预期结果;
b) 预防或减少不良影响;
c) 达到持续改进。
组织应规划:
a) 应对这些风险和机会的措施;
b) 如何:
1) 将这些措施整合到信息安全管理体系过程中,并予以实现;
2) 评价这些措施的有效性。
6.1.2 信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a) 建立并维护信息安全风险准则,包括:
1) 风险接受准则;
2) 信息安全风险评估实施准则。
b) 确保重复实施的信息安全风险评估能产生一致的、有效的和可比较的结果。
c) 识别信息安全风险:
1) 应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可
用性损失有关的风险;
2) 识别风险责任人。
d) 分析信息安全风险:
1) 评估6.1.2c)1)中所识别的风险发生后,可能导致的潜在后果;
2) 评估6.1.2c)1)中所识别的风险实际发生的可能性;
3) 确定风险级别。
e) 评价信息安全风险:
1) 将风险分析结果与6.1.2a)中建立的风险准则进行比较;
2) 对已分析的风险进行风险处置优先级排序。
组织应保留有关信息安全风险评估过程的文件化信息。
6.1.3 信息安全风险处置
组织应定义并应用信息安全风险处置过程,以:
a) 在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;
b) 确定实现已选的信息安全风险处置选项所必需的所有控制;
注1:组织能按需设计控制,或识别来自任何来源的控制。
c) 将6.1.3b)确定的控制与附录A中的控制进行比较,并验证没有遗漏必要的控制;
注2:附录A包含了可能的信息安全控制清单。本文件的用户在附录A的指引下,确保没有忽略必要的信息安全
控制。
注3:附录A所列的信息安全控制并不是完备的,且如有必要,组织能引入额外的信息安全控制。
d) 制定适用性声明,其包含:
---必要的控制[见6.1.3b)和c)];
---选择这些控制的合理性说明;
---必要的控制是否已实现;
---删减附录A中控制的合理性说明;
e) 制定正式的信息安全风险处置计划;
f) 获得风险责任人对信息安全风险处置计划的批准和对信息安全残余风险的接受。
组织应保留有关信息安全风险处置过程的文件化信息。
注4:本文件中的信息安全风险评估和处置过程与GB/T 24353-2022中给出的原则和通用指南相一致。
6.2 信息安全目标及其实现规划
组织应在相关职能和层级上建立信息安全目标。
信息安全目标应:
a) 与信息安全方针一致;
b) 可测量(如可行);
c) 考虑适用的信息安全要求,以及风险评估和风险处置的结果;
d) 得到监视;
e) 得到沟通;
f) 适当时予以更新;
g) 形成文件化信息且可用。
组织应保留有关信息安全目标的文件化信息。
在规划如何达到信息安全目标时,组织应确定:
a) 要做什么;
b) 需要什么资源;
c) 由谁负责;
d) 何时完成;
e) 如何评价结果。
6.3 针对变更的规划
当组织确定需要变更信息安全管理体系时,应对这些变更的实施进行规划。
7 支持
7.1 资源
组织应确定并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。
7.2 能力
组织应:
a) 确定在其控制下工作且影响其信息安全绩效的人员的必要能力;
b) 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;
c) 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;
d) 保留适当的文件化信息作为能力的证据。
注:适用的措施可能包括:例如,针对现有雇员提供培训、指导或重新分配工作;雇佣或签约有能力的人员。
7.3 意识
在组织控制下工作的人员应了解:
a) 信息安全方针;
b) 其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;
c) 不符合信息安全管理体系要求带来的影响。
7.4 沟通
组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括:
a) 沟通什么;
b) 何时沟通;
c) 与谁沟通;
d) 如何沟通。
7.5 文件化信息
7.5.1 通则
组织的信息安全管理体系应包括:
a) 本文件要求的文件化信息;
b) 组织所确定的、对于信息安全管理体系有效性所必需的文件化信息。
注:不同组织有关信息安全管理体系文件化信息的详略程度可能是不同的,这是由于:
1) 组织的规模及其活动、过程、产品和服务的类型;
2) 过程及其相互作用的复杂性;
3) 人员的能力。
7.5.2 创建和更新
创建和更新文件化信息时,组织应确保适当的:
a) 标识和描述(例如,标题、日期、作者或引用编号);
b) 格式(例如,语言、软件版本、图表)和介质(例如,纸质的、电子的);
c) 对适宜性和充分性的评审和批准。
7.5.3 文件化信息的控制
信息安全管理体系及本文件所要求的文件化信息应得到控制,以确保其:
a) 在需要的地点和时间,是可用的和适宜使用的;
b) 得到充分的保护(例如,避免保密性损失、不恰当使用、完整性损失)。
为控制文件化信息,适用时,组织应开展以下活动:
c) 分发、访问、检索和使用;
注:访问可能隐含着仅允许浏览文件化信息,或允许并授权浏览和更改文件化信息等的决定。
d) 存储和保护,包括保持可读性;
e) 对变更的控制(例如,版本控制);
f) 保留和处理。
组织确定的、为规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并
予以控制。
8 运行
8.1 运行规划和控制
为了满足要求并实现第6章中确定的措施,组织应通过以下方式来规划、实现和控制所需的过程:
---建立过程的准则;
---根据准则实现对过程的控制。
文件化信息应可用,其程度足以确信这些过程按计划得到执行。
组织应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻任何负面影响。
组织应确保由外部提供的与信息安全管理体系有关的过程、产品或服务是受控的。
8.2 信息安全风险评估
组织应依据6.1.2a)所建立的准则,按计划的时间间隔,或当重大变更提出或发生时,执行信息安全
风险评估。
组织应保留信息安全风险评估结果的文件化信息。
8.3 信息安全风险处置
组织应实现信息安全风险处置计划。
组织应保留信息安全风险处置结果的文件化信息。
9 绩效评价
9.1 监视、测量、分析和评价
组织应确定:
a) 需要被监视和测量的内容,包括信息安全过程和控制;
b) 适用的监视、测量、分析和评价的方法,以确保得到有效的结果。所选的方法宜产生可比较和
可再现的结果,才会被视为有效;
c) 何时执行监视和测量;
d) 谁监视和测量;
e) 何时分析和评价监视和测量的结果;
f) 谁分析和评价这些结果。
作为结果证据的文件化信息应可用。
组织应评价信息安全绩效和信息安全管理体系的有效性。
9.2 内部审核
9.2.1 通则
组织应按计划的时间间隔进行内部审核,以提供下列相关信息:
a) 信息安全管理体系是否符合:
1) 组织自身对信息安全管理体系的要求;
2) 本文件的要求;
b) 信息安全管理体系是否得到有效实现和维护。
9.2.2 内部审核方案
组织应规划、建立、实施和维护审核方案(一个或多个),包括审核频次、方法、责任、规划要求和
报告。
组织应根据相关过程的重要性和以往审核的结果,建立审核方案。
组织应:
a) 定义每次审核的审核准则和范围;
b) 选择审核员并实施审核,确保审核过程的客观性和公正性;
c) 确保将审核结果报告至相关管理层。
作为审核方案实施和审核结果证据的文件化信息应可用。
9.3 管理评审
9.3.1 通则
最高管理层应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和
有效性。
9.3.2 管理评审的输入
管理评审应包括下列相关信息。
a) 以往管理评审提出的措施的状态。
b) 与信息安全管理体系相关的外部和内部事项的变化。
c) 信息安全管理体系相关方的需求和期望的变化。
d) 有关信息安全绩效的反馈,包括以下方面的趋势:
1) 不符合与纠正措施;
2) 监视和测量结果;
3) 审核结果;
4) 信息安全目标完成情况。
e) 相关方反馈。
f) 风险评估结果及风险处置计划的状态。
g) 持续改进的机会。
9.3.3 管理评审的结果
管理评审的结果应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。
作为管理评审结果证据的文件化信息应可用。
10 改进
10.1 持续改进
组织应持续改进信息安全管理体系的适宜性、充分性和有效性。
10.2 不符合与纠正措施
当发生不符合时,组织应:
a) 对不符合做出反应,且适用时:
1) 采取措施,对其予以控制和纠正;
2) 处理其后果;
b) 通过以下活动,评价采取消除不符合原因的措施的需求,以防止不符合再次发生或在其他地方
发生:
1) 评审不符合;
2) 确定不符合的原因;
3) 确定类似的不符合是否存在,或是否可能发生;
c) 实现任何需要的措施;
d) 评审任何所采取的纠正措施的有效性;
e) 必要时,对信息安全管理体系进行变更。
纠正措施应与所发生的不符合的影响相适应。
作为以下证据的文件化信息应可用:
a) 不符合的性质及所采取的任何后续措施;
b) 任何纠正措施的结果。
附 录 A
(规范性)
信息安全控制参考
表A.1所列的信息安全控制是直接源自GB/T 22081-2024第5章至第8章中所列的信息安全控
制并与之相一致,应与6.1.3一起使用。
表A.1 信息安全控制
5 组织控制
5.1 信息安全策略
控制
应定义信息安全方针和特定主题策略,由管理层批准后发布,传达并让相关工
作人员和相关方知悉,按计划的时间间隔以及在发生重大变更时对其进行评审
5.2 信息安全角色和责任
控制
信息安全角色和责任应根据组织需求进行定义和分配
5.3 职责分离
控制
应分离相互冲突的职责和责任范围
5.4 管理责任
控制
管理层应要求所有工作人员根据组织已建立的信息安全方针、特定主题策略和
规程,履行信息安全责任
5.5 与职能机构的联系
控制
组织应建立并维护与相关职能机构的联系
5.6 与特定相关方的联系
控制
组织应建立并维护与特定相关方或其他专业安全论坛和专业协会的联系
5.7 威胁情报
控制
应收集并分析信息安全威胁相关的信息,以生成威胁情报
5.8 项目管理中的信息安全
控制
应将信息安全整合到项目管理中
5.9
信息及其他相关资产的
清单
控制
应编制和维护信息及其他相关资产(包括资产拥有者)的清单
5.10
信息及其他相关资产的
可接受使用
控制
......
|