標(biāo)準(zhǔn)解讀

《GB/T 22080-2025 網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系 要求》與《GB/T 22080-2016 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》相比,在內(nèi)容上進(jìn)行了多方面的更新和調(diào)整,以適應(yīng)近年來(lái)網(wǎng)絡(luò)安全環(huán)境的變化和技術(shù)的發(fā)展。這些變更主要體現(xiàn)在以下幾個(gè)方面:

一、標(biāo)準(zhǔn)名稱的改變:從“信息技術(shù) 安全技術(shù)”變更為“網(wǎng)絡(luò)安全技術(shù)”,這反映了當(dāng)前對(duì)網(wǎng)絡(luò)安全重視程度的提高以及領(lǐng)域范圍的擴(kuò)大。

二、術(shù)語(yǔ)定義更新:根據(jù)最新的行業(yè)實(shí)踐和技術(shù)發(fā)展情況,對(duì)部分關(guān)鍵術(shù)語(yǔ)進(jìn)行了修訂或新增,確保文檔能夠準(zhǔn)確反映當(dāng)前的信息安全管理狀況。

三、風(fēng)險(xiǎn)管理方法論強(qiáng)化:增加了更多關(guān)于如何識(shí)別、評(píng)估及應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的具體指導(dǎo),幫助組織更好地理解其面臨的風(fēng)險(xiǎn),并采取有效措施進(jìn)行管理。

四、隱私保護(hù)要求加強(qiáng):隨著GDPR等國(guó)際隱私法規(guī)的影響日益加深,《GB/T 22080-2025》更加注重個(gè)人信息保護(hù)方面的規(guī)定,明確了在處理個(gè)人數(shù)據(jù)時(shí)應(yīng)遵循的原則和最佳做法。

五、供應(yīng)鏈安全管理增強(qiáng):針對(duì)越來(lái)越多的企業(yè)依賴第三方服務(wù)提供商的情況,新版本強(qiáng)調(diào)了對(duì)供應(yīng)商及其所提供產(chǎn)品和服務(wù)的安全審查與控制機(jī)制。

六、云服務(wù)安全考量增加:鑒于云計(jì)算技術(shù)的廣泛應(yīng)用,《GB/T 22080-2025》特別加入了有關(guān)使用云服務(wù)時(shí)應(yīng)注意的安全事項(xiàng),包括數(shù)據(jù)存儲(chǔ)位置、訪問(wèn)權(quán)限控制等方面的要求。

七、物理與環(huán)境安全措施細(xì)化:除了繼續(xù)強(qiáng)調(diào)信息資產(chǎn)的邏輯安全性外,還進(jìn)一步詳細(xì)描述了數(shù)據(jù)中心及其他重要設(shè)施的物理防護(hù)措施,如門禁系統(tǒng)、監(jiān)控設(shè)備等。

八、持續(xù)改進(jìn)文化倡導(dǎo):鼓勵(lì)組織建立并維護(hù)一個(gè)積極主動(dòng)地尋找改進(jìn)機(jī)會(huì)的文化氛圍,通過(guò)定期評(píng)審ISMS的有效性來(lái)促進(jìn)整體安全水平的不斷提升。

九、合規(guī)性要求明確化:對(duì)于法律法規(guī)遵從性的要求變得更加具體清晰,有助于企業(yè)更好地理解和滿足相關(guān)監(jiān)管機(jī)構(gòu)的規(guī)定。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 即將實(shí)施
  • 暫未開始實(shí)施
  • 2025-06-30 頒布
  • 2026-01-01 實(shí)施
?正版授權(quán)
GB/T 22080-2025網(wǎng)絡(luò)安全技術(shù)信息安全管理體系要求_第1頁(yè)
GB/T 22080-2025網(wǎng)絡(luò)安全技術(shù)信息安全管理體系要求_第2頁(yè)
GB/T 22080-2025網(wǎng)絡(luò)安全技術(shù)信息安全管理體系要求_第3頁(yè)
GB/T 22080-2025網(wǎng)絡(luò)安全技術(shù)信息安全管理體系要求_第4頁(yè)
GB/T 22080-2025網(wǎng)絡(luò)安全技術(shù)信息安全管理體系要求_第5頁(yè)
已閱讀5頁(yè),還剩19頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

GB/T 22080-2025網(wǎng)絡(luò)安全技術(shù)信息安全管理體系要求-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T22080—2025/ISO/IEC270012022

:

代替GB/T22080—2016

網(wǎng)絡(luò)安全技術(shù)信息安全管理體系要求

Cybersecuritytechnology—Informationsecuritymanagementsystems—

Requirements

ISO/IEC270012022Informationsecuritcbersecuritandrivac

(:,y,yypy

rotection—Informationsecuritmanaementsstems—ReuirementsIDT

pygyq,)

2025-06-30發(fā)布2026-01-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T22080—2025/ISO/IEC270012022

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

組織環(huán)境

4…………………1

理解組織及其環(huán)境

4.1…………………1

理解相關(guān)方的需求和期望

4.2…………1

確定信息安全管理體系范圍

4.3………………………2

信息安全管理體系

4.4…………………2

領(lǐng)導(dǎo)

5………………………2

領(lǐng)導(dǎo)和承諾

5.1…………………………2

方針

5.2…………………2

組織的角色責(zé)任和權(quán)限

5.3、……………2

規(guī)劃

6………………………3

應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施

6.1……………3

信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃

6.2………………………4

針對(duì)變更的規(guī)劃

6.3……………………4

支持

7………………………4

資源

7.1…………………4

能力

7.2…………………4

意識(shí)

7.3…………………5

溝通

7.4…………………5

文件化信息

7.5…………………………5

運(yùn)行

8………………………6

運(yùn)行規(guī)劃和控制

8.1……………………6

信息安全風(fēng)險(xiǎn)評(píng)估

8.2…………………6

信息安全風(fēng)險(xiǎn)處置

8.3…………………6

績(jī)效評(píng)價(jià)

9…………………6

監(jiān)視測(cè)量分析和評(píng)價(jià)

9.1、、……………6

內(nèi)部審核

9.2……………6

管理評(píng)審

9.3……………7

改進(jìn)

10………………………7

GB/T22080—2025/ISO/IEC270012022

:

持續(xù)改進(jìn)

10.1……………7

不符合與糾正措施

10.2…………………7

附錄規(guī)范性信息安全控制參考

A()……………………9

參考文獻(xiàn)

……………………16

GB/T22080—2025/ISO/IEC270012022

:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術(shù)安全技術(shù)信息安全管理體系要求與

GB/T22080—2016《》,GB/T22080—

相比除編輯性改動(dòng)外主要技術(shù)變化如下

2016,,:

增加了組織應(yīng)確定氣候變化是否是一個(gè)相關(guān)事項(xiàng)見

a)“”(4.1);

增加了組織應(yīng)確定哪些要求將通過(guò)信息安全管理體系來(lái)解決見

b)“”[4.2c)];

更改了信息安全風(fēng)險(xiǎn)處置中適用性聲明相關(guān)要求見年版的

c)“”[6.1.3d),20166.1.3d)];

增加了針對(duì)變更的規(guī)劃要求見

d)“”(6.3);

更改了信息安全控制參考包括對(duì)部分原有的控制進(jìn)行合并增加新的控制和調(diào)整控制的展示

e),、

方式見附錄年版的附錄

(A,2016A)。

本文件等同采用信息安全網(wǎng)絡(luò)安全和隱私保護(hù)信息安全管理體系要

ISO/IEC27001:2022《、

》。

本文件做了下列最小限度的編輯性改動(dòng)

:

為與我國(guó)技術(shù)標(biāo)準(zhǔn)體系協(xié)調(diào)標(biāo)準(zhǔn)名稱改為網(wǎng)絡(luò)安全技術(shù)信息安全管理體系要求

———,《》;

納入信息安全網(wǎng)絡(luò)安全和隱私保護(hù)信息安全管理體

———ISO/IEC27001:2022/Amd1:2024《、

系要求修正案與氣候行動(dòng)相關(guān)的變化并用雙垂線在對(duì)應(yīng)有變化的條款外側(cè)標(biāo)示

》1:,。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院中國(guó)合格評(píng)定國(guó)家認(rèn)可中心中國(guó)網(wǎng)絡(luò)安全審查認(rèn)

:、、

證和市場(chǎng)監(jiān)管大數(shù)據(jù)中心北京安信天行科技有限公司中國(guó)信息安全測(cè)評(píng)中心黑龍江省網(wǎng)絡(luò)空間研

、、、

究中心中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司山東省標(biāo)準(zhǔn)化研究院亞信科技成都有限公司深圳市騰訊

、、、()、

計(jì)算機(jī)系統(tǒng)有限公司南方電網(wǎng)數(shù)字電網(wǎng)集團(tuán)信息通信科技有限公司中國(guó)煙草總公司湖北省公司

、、、

北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司唯品會(huì)中國(guó)有限公司杭州安恒信息技術(shù)股份有限公司廣州賽

、()、、

寶認(rèn)證中心服務(wù)有限公司中國(guó)船級(jí)社質(zhì)量認(rèn)證有限公司北京賽西認(rèn)證有限責(zé)任公司啟明星辰信息

、、、

技術(shù)集團(tuán)股份有限公司北京中金云網(wǎng)科技有限公司浙江網(wǎng)商銀行股份有限公司北京時(shí)代新威信息

、、、

技術(shù)有限公司中國(guó)石油天然氣股份有限公司西北銷售分公司

、。

本文件主要起草人許玉娜付志高王秉政林陽(yáng)薈晨尤其魏立茹翟亞紅陳青民陸麗楊婧婧

:、、、、、、、、、、

王琰曲家興方舟白瑞楊霄璇閔京華白旭東王姣朱雪峰公偉廖雙曉劉震宇王瓊楊斯可

、、、、、、、、、、、、、、

寇增杰周禹王拓魯立孫毅趙麗華楊天識(shí)程燕史艷語(yǔ)王連強(qiáng)謝建林劉杰于慧超

、、、、、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為年第一次修訂

———2008GB/T22080—2008,2016;

本次為第二次修訂

———。

GB/T22080—2025/ISO/IEC270012022

:

引言

01概述

.

本文件提供了建立實(shí)現(xiàn)維護(hù)和持續(xù)改進(jìn)信息安全管理體系的要求采用信息安全管理體系是組

、、。

織的一項(xiàng)戰(zhàn)略性決策組織信息安全管理體系的建立和實(shí)現(xiàn)受組織的需求和目標(biāo)安全要求組織所采

。、、

用的過(guò)程規(guī)模和結(jié)構(gòu)的影響所有這些影響因素可能隨時(shí)間發(fā)生變化

、。。

信息安全管理體系通過(guò)應(yīng)用風(fēng)險(xiǎn)管理過(guò)程來(lái)保持信息的保密性完整性和可用性并為相關(guān)方樹立

、,

風(fēng)險(xiǎn)得到充分管理的信心

。

對(duì)組織而言重要的是要將信息安全管理體系整合到組織的過(guò)程和整體管理結(jié)構(gòu)中使之成為后者

,,

的一部分并在組織的過(guò)程信息系統(tǒng)和控制的設(shè)計(jì)中要考慮信息安全信息安全管理體系的實(shí)現(xiàn)程度

,、。

是要與組織的需求相符合

本文件能被內(nèi)部和外部各方用于評(píng)估組織的能力是否滿足自身的信息安全要求

。

本文件表述要求的順序并不反映各要求的重要性也不意味著實(shí)現(xiàn)這些要求時(shí)的順序條款編號(hào)

,。

僅是為了方便引用

。

描述了信息安全管理體系的概述和詞匯引用了信息安全管理體系標(biāo)準(zhǔn)族包括

ISO/IEC27000,(

和以及相關(guān)術(shù)語(yǔ)和定義

ISO/IEC27003、ISO/IEC27004ISO/IEC27005),。

02與其他管理體系標(biāo)準(zhǔn)的兼容性

.

本文件應(yīng)用附錄定義的高層結(jié)構(gòu)相同條款標(biāo)題相同文本通用

ISO/IECDirectives,Part1SL、、、

術(shù)語(yǔ)和核心定義因此維護(hù)了與其他采用附錄的管理體系標(biāo)準(zhǔn)的兼容性

,SL。

附錄中定義的通用途徑對(duì)于選擇運(yùn)行單一管理體系來(lái)滿足多個(gè)管理體系標(biāo)準(zhǔn)要求的組織是有

SL

用的

。

GB/T22080—2025/ISO/IEC270012022

:

網(wǎng)絡(luò)安全技術(shù)信息安全管理體系要求

1范圍

本文件規(guī)定了在組織環(huán)境下建立實(shí)現(xiàn)維護(hù)和持續(xù)改進(jìn)信息安全管理體系的要求本文件還規(guī)定

、、。

了根據(jù)組織需求所剪裁的信息安全風(fēng)險(xiǎn)評(píng)估和處置的要求本文件規(guī)定的要求是通用的適用于各種

。,

類型規(guī)?;蛐再|(zhì)的組織當(dāng)組織聲稱符合本文件時(shí)不接受排除第章到第章中規(guī)定的任何要求

、。,410。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

ISO/IEC27000(Information

technology

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論