GB/T 22081-2024 网络安全技术 信息安全控制

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T22081—2024/ISO/IEC270022022

:

代替GB/T22081—2016

网络安全技术信息安全控制

Cybersecuritytechnology—Informationsecuritycontrols

ISO/IEC270022022Informationsecuritcbersecuritand

(:,y,yy

rivacrotection—InformationsecuritcontrolsIDT

pypy,)

2024-09-29发布2025-04-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T22081—2024/ISO/IEC270022022

:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义和缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………5

文件结构

4…………………6

章条设置

4.1……………6

主题和属性

4.2…………………………7

控制的设计

4.3…………………………7

组织控制

5…………………8

信息安全策略

5.1………………………8

信息安全角色和责任

5.2………………10

职责分离

5.3……………11

管理责任

5.4……………12

与职能机构的联系

5.5…………………13

与特定相关方的联系

5.6………………13

威胁情报

5.7……………14

项目管理中的信息安全

5.8……………15

信息及其他相关资产的清单

5.9………………………17

信息及其他相关资产的可接受使用

5.10……………18

资产归还

5.11…………………………19

信息分级

5.12…………………………20

信息标记

5.13…………………………21

信息传输

5.14…………………………23

访问控制

5.15…………………………25

身份管理

5.16…………………………26

鉴别信息

5.17…………………………27

访问权限

5.18…………………………29

供应商关系中的信息安全

5.19………………………30

在供应商协议中强调信息安全

5.20…………………32

管理信息通信技术供应链中的信息安全

5.21………34

Ⅰ

GB/T22081—2024/ISO/IEC270022022

:

供应商服务的监视评审和变更管理

5.22、……………35

云服务使用的信息安全

5.23…………37

信息安全事件管理规划和准备

5.24…………………38

信息安全事态的评估和决策

5.25……………………40

信息安全事件的响应

5.26……………41

从信息安全事件中学习

5.27…………42

证据收集

5.28…………………………42

中断期间的信息安全

5.29……………43

业务连续性的信息通信技术就绪

5.30………………44

法律法规规章和合同要求

5.31、、……………………46

知识产权

5.32…………………………47

记录的保护

5.33………………………48

隐私和个人可识别信息保护

5.34……………………49

信息安全的独立评审

5.35……………50

符合信息安全的策略规则和标准

5.36、………………51

文件化的操作规程

5.37………………52

人员控制

6…………………53

审查

6.1…………………53

任用条款和条件

6.2……………………54

信息安全意识教育和培训

6.3、………………………55

违规处理过程

6.4………………………57

任用终止或变更后的责任

6.5…………58

保密或不泄露协议

6.6…………………59

远程工作

6.7……………60

信息安全事态的报告

6.8………………61

物理控制

7…………………62

物理安全边界

7.1………………………62

物理入口

7.2……………63

办公室房间和设施的安全保护

7.3、…………………64

物理安全监视

7.4………………………65

物理和环境威胁防范

7.5………………66

在安全区域工作

7.6……………………67

清理桌面和屏幕

7.7……………………68

设备安置和保护

7.8……………………69