GB/T 38631-2020 信息技术 安全技术 GB/T 22080具体行业应用 要求

ICS35.040

L80GB

中华人民共和国国家标准

GB/T38631-2020

信息技术安全技术

GB/T22080具体行业应用要求

Informationtechnology-Securitytechniques-

Sector-specificapplicationofGB/T22080-Requirements

CISO/IEC27009:2016,Informationtechnology-Securitytechniques-

Sector-specificapplicationofISO/IEC27001-Requirements,MOD)

2020-04-28发布2020-11-01实施

国家市场监督管理总局申舍

国家标准化管理委员会保叩

GB/T38631-2020

目次

前言”·”……………·……........••••••...I

l范围……·………”…1

2规范性引用文件………·………”1

3术语和定义……”……·…”1

4概述……·………”…1

4.1总则………………”……….1

42本标准结构………·……...............•••.••..................2

4.3扩展GB/T22080要求或GB/T22081控制………”2

5补充、细化或解释GB/T22080要求…………”2

5.14总贝『……………·”…2

5.2补充要求…”…………...••••••••••••••••••••••••••••••3

5.3细化要求…………·…“…·….........•••.••..................3

5.4解释要求………”3

6补充或修改GB/T22081指南…………3

6.1总则……··………”…3

62补充指南………………”……….4

6.3修改指南…………4

附录A（规范性附录）制定与GB/T22080-2016或GB/T22081-2016相关的具体行业标准

的模板……”…5

附录B（资料性附录〉面向医疗行业的信息安全管理体系指南示例…”…8

参考文献……………........••••••...11

GB/T38631-2020

前言

本标准按照GB/T1.12009给出的规则起草。

本标准使用重新起草法修改采用ISO/IEC27009,2016《信息技术安全技术ISO/IEC27001具

体行业应用要求儿

本标准与ISO/IEC27009:2016的技术性差异及其产生的原因如下g

一一范围增加“本标准适用于制定与GB/T22080相关的具体行业标准”（见第1章〉；

一－4.1删除“ISO/IEC之外的组织也制定了实现具体行业需求的标准”g

增加“依据附录A，面向医疗行业的信息安全管理体系指南示例参见附录B气见4.2)'

附录A的A.I删除“具体行业标准宜命名如下．面向〈行业〉的信息安全管理体系飞

附录A的A.2模板中，4.2和5的〈控制l目标号〉〈控制目标标题〉和〈控制号〉〈控制l标题〉改为

〈控制目标号〉［〈控制目标标题〉］、〈控制号〉［〈控制标题刀，以避免标题与其后文字混淆；

一一附录A的A.2模板中，4.2和5中，“对行业至少使用三个字母作为前缀”改为“对行业使用国

民经济行业名称（见GB/T4754-2017）作为前缀”，4.2中强制实施的控制，“使用（M）作为控

制编号的前缀”改为“使用（强制）作为控制编号的前缀飞

本标准做了下列编辑性修改g

增加了参考文献ISO27799,2016和ISO22600;

一一增加资料性附录B“面向医疗行业的信息安全管理体系指南示例”，有利于标准落地实施。

请注意本文件的某些内容可能涉及专利．本文件的发布机构不承担识别这些专利的责任。

本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。

本标准起草单位z山东省标准化研究院、中国网络安全审查技术与认证中心、成都秦川物联网科技

股份有限公司、陕西省网络与信息安全测评中心、山东崇弘信息技术有限公司。

本标准主要起草人·王曙光、魏军、王庆升、公伟、张斌、来永钧、邵泽华、赵首花、杨锐、尤其、郭杨、

权亚强、李怡、何果、路津、李红胜、路征、陈慧勤、刘j勘伪、于秀彦、胡鑫磊、玉栋、刘鑫。

I

GB/T38631-2020

信息技术安全技术

GB/T22080具体行业应用要求

1范围

本标准规定了GB/T22080应用于具体行业（领域、应用）时的要求。本标准解释了如何在

GB/T22080要求上包含补充要求，如何细化GB/T22080的要求，以及如何包含GB/T22080-2016附

录A之外的控制或控制集。

本标准确保补充的或细化的要求与GB/T22080的要求不冲突．

本标准适用于制定与GB/T22080相关的具体行业标准。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22080-2016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013,

IDT)

GB/T220812016信息技术安全技术信息安全控制实践指南(ISO/IEC27002:2013,IDT)

GB/T292462017信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC27000:

2016,IDT)

3术语和定义

GB/T292462017界定的以及下列术语和定义适用于本文件。

3.1

解释interpretation

在具体行业背景下对GB/T22080要求的说明（以要求或指南的形式〉，该说明不会使GB/T22080

的要求失效。

3.2

细化refme：皿ent

GB/T22080要求在具体行业的详述，该详述不会删除GB/T22080任一要求或使其失效。

4概述

4.1总则

GB/T22080规定了建立、实现、维护和持续改进信息安全管理体系的要求回这些要求是通用的，

适用于各种类型、规模或性质的机构。

注zISO管理体系标准的建立依据ISO/IEC导则第1部分融合的JTCI补充部分（2016）。

GB/T22081为信息安全管理实践提供了指南，考虑了机构信息安全风险环境下控制的选择、实施

和管理。该指南采用分层结构，包括章节、控制目标、控制、实现指南以及其他信息．指南是通用的，适

GB/T38631-2020

用于各种类型、规模或性质的机构．

GB/T22081的控制目标和控制以规范性附录形式列在GB/T220802016的附录A中。

GB/T220802016要求机构确定信息安全风险处置选项所必需的所有控制［见6.1.3b月，并将

6.1.3b）确定的控制与附录A中的控制进行比较，并验证没有忽略必要的控制［见6.1.3c汀，

随着GB/T22080和GB/T22081在企业、政府机构和非营利组织中的广泛应用，需要开发针对这

些具体行业的标准，主要完成的标准包括g

一－GB/T32920，信息技术安全技术行业间和组织间通信的信息安全管理P

ISO/IEC27011，基于ISO/IEC27002的电信组织信息安全管理指南s

ISO/IEC27017，基于ISO/IEC27002的云服务信息安全控制实践指南5

ISO/IEC27018，可识别个人信息（PII)处理者在公有云中保护可识别个人信息的实践指南。

具体行业标准需要与信息安全管理体系要求相一致。本标准主要从以下两方面规定了相关要求

一一具体行业如何补充、细化GB/T22080的要求或对其作出解释z

一一具体行业如何补充或修改GB/T22081的指南．

本标准假定所有来自GB/T22080未被细化的或未作出解释的要求、所有来自GB/T22081未被

修改的控制，将不加修改的适用于具体行业环境。

4.2本标准结构

第5章提供要求和指南，给出如何在GB/T22080要求上