GB/T 22081-2016 信息技术 安全技术 信息安全控制实践指南

ICS35.040

L80

中华人民共和国国家标准

/—//:

GBT220812016ISOIEC270022013

代替/—

GBT220812008

信息技术安全技术

信息安全控制实践指南

——

InformationtechnoloSecurittechniuesCodeofracticefor

gyyqp

informationsecuritcontrols

y

(/:,)

ISOIEC270022013IDT

2016-08-29发布2017-03-01实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

/—//:

GBT220812016ISOIEC270022013

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

0.1背景和环境…………………………Ⅳ

0.2信息安全要求………………………Ⅳ

0.3控制的选择…………………………Ⅴ

0.4编制组织自己的指南………………Ⅴ

0.5生命周期的考虑……………………Ⅴ

0.6相关标准……………Ⅴ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4标准结构…………………1

4.1章节…………………1

4.2控制类别……………1

5信息安全策略……………2

5.1信息安全管理指导…………………2

6信息安全组织……………3

6.1内部组织……………3

6.2移动设备和远程工作………………5

7人力资源安全……………7

7.1任用前………………7

7.2任用中………………8

7.3任用的终止和变更…………………10

8资产管理…………………10

8.1有关资产的责任……………………10

8.2信息分级……………11

8.3介质处理……………13

9访问控制…………………14

9.1访问控制的业务要求………………14

9.2用户访问管理………………………15

9.3用户责任……………18

9.4系统和应用访问控制………………19

10密码……………………21

10.1密码控制…………………………21

11物理和环境安全………………………23

Ⅰ

/—//:

GBT220812016ISOIEC270022013

11.1安全区域…………………………23

11.2设备………………25

12运行安全………………28

12.1运行规程和责任…………………28

12.2恶意软件防范……………………30

12.3备份………………31

12.4日志和监视………………………32

12.5运行软件控制……………………34

12.6技术方面的脆弱性管理…………34

12.7信息系统审计的考虑……………36

13通信安全………………36

13.1网络安全管理……………………36

13.2信息传输…………………………38

、…………………

14系统获取开发和维护40

14.1信息系统的安全要求……………40

14.2开发和支持过程中的安全………………………42

14.3测试数据…………………………45

15供应商关系……………46

15.1供应商关系中的信息安全………………………46

15.2供应商服务交付管理……………48

16信息安全事件管理……………………49

16.1信息安全事件的管理和改进……………………49

17业务连续性管理的信息安全方面……………………52

17.1信息安全的连续性………………52

17.2冗余………………54

18符合性…………………54

18.1符合法律和合同要求……………54

18.2信息安全评审………………