ICS35. 040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 38631—2020 信息技术 安全技术 GB/T22080 具体行业应用 要求 I n f o rma t i ont e chno l o e c u r i t e chn i e s— gy—S yt qu S e c t o r s c i f i capp l i c a t i ono fGB/T22080—Requ i r emen t s pe ( I SO/ IEC27009: 2016, I n f o rma t i ont e chno l ogy—Se cur i t e chn i s— yt que Se c t o r spe c i f i capp l i c a t i ono fI SO/ IEC27001—Requ i r emen t s,MOD) 2020 04 28 发布 2020 11 01 实施 国家市场监督管理总局 国家标准化管理委员会 发 布 GB/T 38631—2020 目 次 前言 ………………………………………………………………………………………………………… Ⅰ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 概述 ……………………………………………………………………………………………………… 1 4. 1 总则 ………………………………………………………………………………………………… 1 4. 2 本标准结构 ………………………………………………………………………………………… 2 4. 3 扩展 GB/T22080 要求或 GB/T22081 控制 …………………………………………………… 2 5 补充、细化或解释 GB/T22080 要求 …………………………………………………………………… 2 5. 1 总则 ………………………………………………………………………………………………… 2 5. 2 补充要求 …………………………………………………………………………………………… 3 5. 3 细化要求 …………………………………………………………………………………………… 3 5. 4 解释要求 …………………………………………………………………………………………… 3 6 补充或修改 GB/T22081 指南 ………………………………………………………………………… 3 6. 1 总则 ………………………………………………………………………………………………… 3 6. 2 补充指南 …………………………………………………………………………………………… 4 6. 3 修改指南 …………………………………………………………………………………………… 4 附录 A (规范性附录) 制定与 GB/T22080—2016 或 GB/T22081—2016 相关的具体行业标准 的模板 …………………………………………………………………………… 5 附录 B (资料性附录) 面向医疗行业的信息安全管理体系指南示例 ………………………………… 8 参考文献 …………………………………………………………………………………………………… 11 GB/T 38631—2020 前 言 本标准按照 GB/T1. 1—2009 给出的规则起草。 本标准使用重新起草法修改采用I SO/ IEC27009: 2016《信息技术 体行业应用 要求》。 安全技术 I SO/ IEC27001 具 本标准与I SO/ IEC27009: 2016 的技术性差异及其产生的原因如下: ———范围增加“本标准适用于制定与 GB/T22080 相关的具体行业标准”(见第 1 章); ———4. 1 删除“ I SO/ IEC 之外的组织也制定了实现具体行业需求的标准”; ———增加“依据附录 A,面向医疗行业的信息安全管理体系指南示例参见附录 B”(见 4. 2); ———附录 A 的 A. 1 删除“具体行业标准宜命名如下:面向<行业>的信息安全管理体系”; ———附录 A 的 A. 2 模板中, 4. 2 和 5 的<控制目标号><控 制 目 标 标 题>和<控 制 号><控 制 标 题>改 为 <控制目标号>[<控制目标标题>]、<控制号>[<控制标题>],以避免标题与其后文字混淆; ———附录 A 的 A. 2 模板中, 4. 2 和 5 中,“对行业 至 少 使 用 三 个 字 母 作 为 前 缀”改 为“对 行 业 使 用 国 民经济行业名称(见 GB/T4754—2017)作为前缀”, 4. 2 中强制实施的控制,“使用(M)作 为 控 制编号的前缀”改为“使用(强制)作为控制编号的前缀”。 本标准做了下列编辑性修改: ———增加了参考文献I SO27799: 2016 和ISO22600; ———增加资料性附录 B“面向医疗行业的信息安全管理体系指南示例”,有利于标准落地实施。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本标准起草单位:山东省标准化研究院、中国网络安全审查技 术 与 认 证 中 心、成 都 秦 川 物 联 网 科 技 股份有限公司、陕西省网络与信息安全测评中心、山东崇弘信息技术有限公司。 本标准主要 起 草 人:王 曙 光、魏 军、王 庆 升、公 伟、张 斌、来 永 钧、邵 泽 华、赵 首 花、杨 锐、尤 其、郭 杨、 权亚强、李怡、何果、路津、李红胜、路征、陈慧勤、刘勘伪、于秀彦、胡鑫磊、王栋、刘鑫。 Ⅰ GB/T 38631—2020 信息技术 安全技术 GB/T22080 具体行业应用 要求 1 范围 本标准规 定 了 GB/T 22080 应 用 于 具 体 行 业 (领 域、应 用 )时 的 要 求。 本 标 准 解 释 了 如 何 在 / GB T22080要求上包含补充要求,如何细化 GB/T22080 的要求,以及如何包含 GB/T22080—2016 附 录 A 之外的控制或控制集。 本标准确保补充的或细化的要求与 GB/T22080 的要求不冲突。 本标准适用于制定与 GB/T22080 相关的具体行业标准。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引 用 文 件,仅 注 日 期 的 版 本 适 用 于 本 文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T22080—2016 信 息 技 术 IDT) GB/T22081—2016 信息技术 GB/T29246—2017 信息技术 2016, IDT) 安全技术 安全技术 安全技术 信息安全管理体系 要求( I SO/ IEC27001: 2013, 信息安全控制实践指南( I SO/ IEC27002: 2013, IDT) / 信息安全管理体系 概述和词汇( ISO IEC27000: 3 术语和定义 3. 1 GB/T29246—2017 界定的以及下列术语和定义适用于本文件。 解释 i n t e rpr e t a t i on 在具体行业背景下对 GB/T22080 要求的说明(以要求或指南的形式),该说明不会使 GB/T22080 的要求失效。 3. 2 细化 r e f i neme n t / 要求在具体行业的详述, 该详述不会删除 GB/T22080 任一要求或使其失效。 GB T22080 4 概述 4. 1 总则 GB/T22080 规定了建立、实现、维护和 持 续 改 进 信 息 安 全 管 理 体 系 的 要 求。 这 些 要 求 是 通 用 的, 适用于各种类型、规模或性质的机构。 注:I SO 管理体系标准的建立依据 I SO/ IEC 导则 第 1 部分 融合的 JTC1 补充部分( 2016)。 GB/T22081 为信息安全管理实践提供了指南,考虑了机构信息安全风险环境下控制的选择、实施 和管理。该指南采用分层结构,包括章节、控制目标、控制、实 现 指 南 以 及 其 他 信 息。指 南 是 通 用 的,适 1 GB/T 38631—2020 用于各种类型、规模或性质的机构。 GB/T22081 的 控 制 目 标 和 控 制 以 规 范 性 附 录 形 式 列 在 GB/T 22080—2016 的 附 录 A 中。 GB/T22080—2016 要 求 机 构 确 定 信 息 安 全 风 险 处 置 选 项 所 必 需 的 所 有 控 制 [见 6. 1. 3b)],并 将 6. 1. 3b)确定的控制与附录 A 中的控制进行比较,并验证没有忽略必要的控制[见 6. 1. 3c)]。 随着 GB/T22080 和 GB/T22081 在企业、政府机构和非营利组织中的广泛应用,需要开发针对这 些具体行业的标准,主要完成的标准包括: ———GB/T32920,信息技术 安全技术 行业间和组织间通信的信息安全管理; ———ISO/ IEC27011,基于I SO/ IEC27002 的电信组织信息安全管理指南; ———ISO/ IEC27017,基于I SO/ IEC27002 的云服务信息安全控制实践指南; ———ISO/ IEC27018,可识别个人信息( PI I)处理者在公有云中保护可识别个人信息的实践指南。 具体行业标准需要与信息安全管理体系要求相一致。本标准主要从以下两方面规定了相关要求: ———具体行业如何补充、细化 GB/T22080 的要求或对其作出解释; ———具体行业如何补充或修改 GB/T22081 的指南。 本标准假定所有来自 GB/T22080 未 被 细 化 的 或 未 作 出 解 释 的 要 求、所 有 来 自 GB/T22081 未 被 修改的控制,将不加修改的适用于具体行业环境。 4. 2 本标准结构 第 5 章提供要求和指南,给出如何在 GB/T22080 要求上确定补充要求、细化要求或作出解释。 第 6 章提供要求和指南,给出如何在 GB/T22081 内 容 上 补 充 或 修 改 控 制 目 标、控 制、实 现 指 南 或 其他信息。 附录 A 给出与 GB/T22080 和(