GB/T 22080-2025 网络安全技术 信息安全管理体系 要求

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T22080—2025/ISO/IEC270012022

:

代替GB/T22080—2016

网络安全技术信息安全管理体系要求

Cybersecuritytechnology—Informationsecuritymanagementsystems—

Requirements

ISO/IEC270012022Informationsecuritcbersecuritandrivac

(:,y,yypy

rotection—Informationsecuritmanaementsstems—ReuirementsIDT

pygyq,)

2025-06-30发布2026-01-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T22080—2025/ISO/IEC270012022

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

组织环境

4…………………1

理解组织及其环境

4.1…………………1

理解相关方的需求和期望

4.2…………1

确定信息安全管理体系范围

4.3………………………2

信息安全管理体系

4.4…………………2

领导

5………………………2

领导和承诺

5.1…………………………2

方针

5.2…………………2

组织的角色责任和权限

5.3、……………2

规划

6………………………3

应对风险和机会的措施

6.1……………3

信息安全目标及其实现规划

6.2………………………4

针对变更的规划

6.3……………………4

支持

7………………………4

资源

7.1…………………4

能力

7.2…………………4

意识

7.3…………………5

沟通

7.4…………………5

文件化信息

7.5…………………………5

运行

8………………………6

运行规划和控制

8.1……………………6

信息安全风险评估

8.2…………………6

信息安全风险处置

8.3…………………6

绩效评价

9…………………6

监视测量分析和评价

9.1、、……………6

内部审核

9.2……………6

管理评审

9.3……………7

改进

10………………………7

Ⅰ

GB/T22080—2025/ISO/IEC270012022

:

持续改进

10.1……………7

不符合与纠正措施

10.2…………………7

附录规范性信息安全控制参考

A()……………………9

参考文献

……………………16

Ⅱ

GB/T22080—2025/ISO/IEC270012022

:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技术安全技术信息安全管理体系要求与

GB/T22080—2016《》,GB/T22080—

相比除编辑性改动外主要技术变化如下

2016,,:

增加了组织应确定气候变化是否是一个相关事项见

a)“”(4.1);

增加了组织应确定哪些要求将通过信息安全管理体系来解决见

b)“”[4.2c)];

更改了信息安全风险处置中适用性声明相关要求见年版的

c)“”[6.1.3d),20166.1.3d)];

增加了针对变更的规划要求见

d)“”(6.3);

更改了信息安全控制参考包括对部分原有的控制进行合并增加新的控制和调整控制的展示

e),、

方式见附录年版的附录

(A,2016A)。

本文件等同采用信息安全网络安全和隐私保护信息安全管理体系要

ISO/IEC27001:2022《、

求

》。

本文件做了下列最小限度的编辑性改动

:

为与我国技术标准体系协调标准名称改为网络安全技术信息安全管理体系要求

———,《》;

纳入信息安全网络安全和隐私保护信息安全管理体

———ISO/IEC27001:2022/Amd1:2024《、

系要求修正案与气候行动相关的变化并用双垂线在对应有变化的条款外侧标示

》1:,。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院中国合格评定国家认可中心中国网络安全审查认

:、、

证和市场监管大数据中心北京安信天行科技有限公司中国信息安全测评中心黑龙江省网络空间研

、、、

究中心中电长城网际系统应用有限公司山东省标准化研究院亚信科技成都有限公司深圳市腾讯

、、、()、

计算机系统有限公司南方电网数字电网集团信息通信科技有限公司中国烟草总公司湖北省公司

、、、

北京天融信网络安全技术有限公司唯品会中国有限公司杭州安恒信息技术股份有限公司广州赛

、()、、

宝认证中心服务有限公司中国船级社质量认证有限公司北京赛西认证有限责任公司启明星辰信息

、、、

技术集团股份有限公司北京中金云网科技有限公司浙江网商银行股份有限公司北京时代新威信息

、、、

技术有限公司中国石油天然气股份有限公司西北销售分公司

、。

本文件主要起草人许玉娜付志高王秉政林阳荟晨尤其魏立茹翟亚红陈青民陆丽杨婧婧

:、、、、、、、、、、

王琰曲家兴方舟白瑞杨霄璇闵京华白旭东王姣朱雪峰公伟廖双晓刘震宇王琼杨斯可

、、、、、、、、、、、、、、

寇增杰周禹王拓鲁立孙毅赵丽华杨天识程燕史艳语王连强谢建林刘杰于慧超

、、、、、、、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为年第一次修订

———2008GB/T22080—2008,2016;

本次为第二次修订

———。

Ⅲ

GB/T22080—2025/ISO/IEC270012022

:

引言

01概述

.

本文件提供了建立实现维护和持续改进信息安全管理体系的要求采用信息安全管理体系是组

、、。

织的一项战略性决策组织信息安全管理体系的建立和实现受组织的需求和目标安全要求组织所采

。、、

用的过程规模和结构的影响所有这些影响因素可能随时间发生变化

、。。

信息安全管理体系通过应用风险管理过程来保持信息的保密性完整性和可用性并为相关方树立

、,

风险得到充分管理的信心

。

对组织而言重要的是要将信息安全管理体系整合到组织的过程和整体管理结构中使之成为后者

,,

的一部分并在组织的过程信息系统和控制的设计中要考虑信息安全信息安全管理体系的实现程度

,、。

是要与组织的需求相符合

。

本文件能被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求

。

本文件表述要求的顺序并不反映各要求的重要性也不意味着实现这些要求时的顺序条款编号

,。

仅是为了方便引用

。

描述了信息安全管理体系的概述和词汇引用了信息安全管理体系标准族包括

ISO/IEC27000,(

和以及相关术语和定义

ISO/IEC27003、ISO/IEC27004ISO/IEC27005),。

02与其他管理体系标准的兼容性

.

本文件应用附录定义的高层结构相同条款标题相同文本通用

ISO/IECDirectives,Part1SL、、、

术语和核心定义因此维护了与其他采用附录的管理体系标准的兼容性

,SL。

附录中定义的通用途径对于选择运行单一管理体系来满足多个管理体系标准要求的组织是有

SL

用的

。

Ⅳ

GB/T22080—2025/ISO/IEC270012022

:

网络安全技术信息安全管理体系要求

1范围

本文件规定了在组织环境下建立实现维护和持续改进信息安全管理体系的要求本文件还规定

、、。

了根据组织需求所剪裁的信息安全风险评估和处置的要求本文件规定的要求是通用的适用于各种

。,

类型规模或性质的组织当组织声称符合本文件时不接受排除第章到第章中规定的任何要求

、。,410。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息技术安全技术信息安全管理体系概述和词汇

ISO/IEC27000(Information

technology—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary)

注信息安全技术信息安全管理体系概述和词汇

:GB/T29246—2023(ISO/IEC27000:2018,IDT)

3术语和定义

界定的术语和定义适用于本文件

ISO/IEC27000。

和维护的用于标准化的术语数据库网址如下

ISOIEC:

在线浏览平台

———ISO:/obp;

电子百科

———IEC:。

4组织环境

41理解组织及其环境

.

组织应确定与其意图相关的且影响其达到信息安全管理体系预期结果能力的外部和内部事项

,。

组织应确定气候变化1)是否是一个相关事项

。

注对这些事项的确定见中建立外部和内部环境

:,GB/T24353—20225.4.1。

42理解相关方的需求和期望

.

组织应确定

:

信息安全管理体系的相关方

a);

这些相关方的有关要求

b);

哪些要求将通过信息安全管理体系予以解决

c)。

注1相关方的要求包括法律法规和合同义务

:、。

注2相关方可能提出与气候变化相关的要求

:。

有关气候变化的更多信息见和国际认可论坛关于管理体系标准中增加气候变化因素的联合公报

1),ISO(IAF)。

1