标准规范下载简介

GB／T 38631-2020 信息技术 安全技术 GB／T 22080具体行业应用 要求

GB/T 386312020

国家市场监督管理总局 发布 国家标准化管理委员会

TB／T 3355-2014 轨道几何状态动态检测及评定GB/T386312020

范围 规范性引用文件 术语和定义 概述 4.1总则 4.2本标准结构 4.3扩展GB/T22080要求或GB/T22081控制 补充、细化或解释GB/T22080要求. 5.1 总则 5.2 补充要求 5.3 细化要求 5.4 解释要求 补充或修改GB/T22081指南 6.1 总则 6.2补充指南 6.3修改指南 村录A（规范性附录）制定与GB/T22080—2016或GB/T22081—2016相关的具体行业标准 的模板 寸录B（资料性附录）面向医疗行业的信息安全管理体系指南示例 参考文献

本标准按照GB/T1.1一2009给出的规则起草。 本标准使用重新起草法修改采用ISO/IEC27009：2016《信息技术安全技术ISO/IEC27001具 行业应用要求》。 本标准与ISO/IEC27009：2016的技术性差异及其产生的原因如下： 范围增加“本标准适用于制定与GB/T22080相关的具体行业标准”（见第1章）； 4.1删除“ISO/IEC之外的组织也制定了实现具体行业需求的标准”； 增加“依据附录A，面向医疗行业的信息安全管理体系指南示例参见附录B”（见4.2）； 附录A的A.1删除“具体行业标准宜命名如下：面向<行业》的信息安全管理体系”； 附录A的A.2模板中，4.2和5的<控制目标号》<控制目标标题>和<控制号>（控制标题>改为 控制目标号>[<控制目标标题》]、《控制号》[<控制标题》，以避免标题与其后文字混淆； 附录A的A.2模板中，4.2和5中，“对行业至少使用三个字母作为前缀”改为“对行业使用国 民经济行业名称（见GB/T4754一2017）作为前缴”，4.2中强制实施的控制，“使用（M)作为控 制编号的前缀改为“使用（强制）作为控制编号的前缀”。 本标准做了下列编辑性修改： 增加了参考文献ISO27799：2016和ISO22600； 增加资料性附录B“面向医疗行业的信息安全管理体系指南示例”，有利于标准落地实施。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位：山东省标准化研究院、中国网络安全审查技术与认证中心、成都秦川物联网科技 份有限公司、陕西省网络与信息安全测评中心、山东票弘信息技术有限公司。 本标准主要起草人：王曙光、魏军、王庆升、公伟、张斌、来永钧、邵泽华、赵首花、杨锐、尤其、郭杨 亚强、李怡、何果、路津、李红胜、路征、陈慧勤、刘勘伪、于秀彦、胡鑫磊、王栋、刘鑫。

GB/T386312020

本标准规定了GB/T22080应用于具体行业（领域、应用）时的要求。本标准解释了如何在 GB/T22080要求上包含补充要求，如何细化GB/T22080的要求，以及如何包含GB/T22080—2016附 录A之外的控制或控制集。 本标准确保补充的或细化的要求与GB/T22080的要求不冲突。 本标准适用于制定与GB/T22080相关的具体行业标准。

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T22080一2016信息技术安全技术信息安全管理体系要求（ISO/IEC27001：2013， IDT) GB/T22081—2016信息技术安全技术信息安全控制实践指南（ISO/IEC27002:2013，IDT） GB/T29246一2017信息技术安全技术信息安全管理体系概述和词汇（ISO/IEC27000： 2016,IDT)

GB/T29246一2017界定的以及下列术语和定义适用于本文件。 3.1 解释interpretation 在具体行业背景下对GB/T22080要求的说明（以要求或指南的形式），该说明不会使GB/T22080 的要求失效。 3.2 细化refinement GB/T22080要求在具体行业的详述，该详述不会删除GB/T22080任一要求或使其失效，

GB/T22080规定了建立、实现、维护和持续改进信息安全管理体系的要求。这些要求是通用的 适用于各种类型、规模或性质的机构。 注：ISO管理体系标准的建立依据ISO/IEC导则第1部分融合的JTC1补充部分（2016）。 GB/T22081为信息安全管理实践提供了指南，考虑了机构信息安全风险环境下控制的选择、实施 和管理。该指南采用分层结构，包括章节、控制目标、控制、实现指南以及其他信息。指南是通用的，适

GB/T22080规定了建立、实现、维护和持续改进信息安全管理体系的要求。这些要求是通用 月于各种类型、规模或性质的机构。 注：ISO管理体系标准的建立依据ISO/IEC导则第1部分融合的JTC1补充部分（2016）。 GB/T22081为信息安全管理实践提供了指南，考虑了机构信息安全风险环境下控制的选择、实 管理。该指南采用分层结构，包括章节、控制目标、控制、实现指南以及其他信息。指南是通用的

GB/T386312020

第5章提供要求和指南，给出如何在GB/T22080要求上确定补充要求、细化要求或作出解释。 第6章提供要求和指南，给出如何在GB/T22081内容上补充或修改控制目标、控制、实现指南或 其他信息。 附录A给出与GB/T22080和（或)GB/T22081可用于具体行业标准的模板。 依据附录A，面向医疗行业的信息安全管理体系指南示例参见附录B。 本标准使用如下概念以使GB/T22080的要求适用于具体行业： 一补充：见5.2 细化：见5.3 一解释：见5.4 本标准使用如下概念以使GB/T22081的指南适用于具体行业： 补充：见6.2 一修改：见6.3 注：遵循本标准要求和指南而制定的具体行业指南不可包含在技术报告中。ISO/IEC导则将技术报告定义为不含 要求的文档，而任一依据本标准开发的具体行业标准，特别是附录A，都将至少包含一个最小的要求集合（见 A.2中模板的4.1)

GB/T22080要求或GB

与GB/T22080相关的具体行业标准可以对GB/T22080或GB/T22081进行补充，可将信息安全 之外的要求或指南纳入具体行业之中， 示例：ISO/IEC27018:2014附录A包含一组旨在保护可识别个人信息的控制，从而使ISO/IEC27018的范围除信 息安全外还涵盖可识别个人信息的保护

5补充、细化或解释GB/T22080要求

图1阐明了如何构建与GB/T22080相关的具体行业要求。

TB/10415-2018_铁路桥涵工程施工质量验收标准图1具体行业要求的构建

允许给出补充要求的规范。 示例：对信息安全方针有补充要求的行业，可将其补充到GB/T22080一2016的5.2规定的要求中 对GB/T22080要求进行补充不应删除GB/T22080确定的任一要求或使其失效。具体行 /T22080要求的补充，应按照附录A给定的要求和指南进行

允许对GB/T22080的要求作出解释。 注：解释不会使GB/T22080的任一要求失效，只是对其作出解释或将其放入具体行业背景中（见3.1）。 对GB/T22080要求在具体行业作出解释.应按照附录A给定的要求和指南进行

GB51427-2021 自动跟踪定位射流灭火系统技术标准及条文说明.pdf6补充或修改GB/T22081指南

图2具体行业指南的构建

每项控制应仅包含一个“宜” 注：在GB/T22080一2016中，信息安全风险处置要求组织陈述所选择的控制及其选择的合理性说明，以及对附