GB/T 38631-2020 信息技术 安全技术 GB/T 22080具体行业应用 要求

GB/T 38631-2020 信息技术 安全技术 GB/T 22080具体行业应用 要求
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:377.7K
标准类别:环保标准
资源ID:42032
免费资源

标准规范下载简介

GB/T 38631-2020 信息技术 安全技术 GB/T 22080具体行业应用 要求简介:

GB/T 38631-2020《信息技术 安全技术 信息安全管理体系要求》和GB/T 22080-2016《信息技术 安全技术 信息安全管理体系要求》(即ISO/IEC 27001:2013)是关于信息安全管理体系(ISMS)的国家标准,它们的目标是帮助企业、组织和个人建立和维护一个有效且可持续的信息安全管理系统,以保护其信息资产免受各种威胁。

GB/T 38631-2020是针对特定行业的应用指南,它将GB/T 22080的要求细化到各个行业,如电力、能源、金融、医疗、电信、教育等。这个标准提供了一套行业特性和最佳实践,帮助企业了解和满足其特定行业的信息安全需求。它要求组织进行风险评估、信息安全管理政策的制定、信息安全控制措施的实施、信息安全的监控和改进等,以确保信息安全符合行业法规和业务需求。

总的来说,GB/T 38631-2020的目的是帮助企业根据其行业特性,定制和优化信息安全管理体系,提高信息安全的可操作性和有效性,降低信息安全风险。

GB/T 38631-2020 信息技术 安全技术 GB/T 22080具体行业应用 要求部分内容预览:

国家市场监督管理总局 发布 国家标准化管理委员会

GB/T386312020

范围 规范性引用文件 术语和定义 概述 4.1总则 4.2本标准结构 4.3扩展GB/T22080要求或GB/T22081控制 补充、细化或解释GB/T22080要求. 5.1 总则 5.2 补充要求 5.3 细化要求 5.4 解释要求 补充或修改GB/T22081指南 6.1 总则 6.2补充指南 6.3修改指南 村录A(规范性附录)制定与GB/T22080—2016或GB/T22081—2016相关的具体行业标准 的模板 寸录B(资料性附录)面向医疗行业的信息安全管理体系指南示例 参考文献

本标准按照GB/T1.1一2009给出的规则起草。 本标准使用重新起草法修改采用ISO/IEC27009:2016《信息技术安全技术ISO/IEC27001具 行业应用要求》。 本标准与ISO/IEC27009:2016的技术性差异及其产生的原因如下: 范围增加“本标准适用于制定与GB/T22080相关的具体行业标准”(见第1章); 4.1删除“ISO/IEC之外的组织也制定了实现具体行业需求的标准”; 增加“依据附录A,面向医疗行业的信息安全管理体系指南示例参见附录B”(见4.2); 附录A的A.1删除“具体行业标准宜命名如下:面向<行业》的信息安全管理体系”; 附录A的A.2模板中,4.2和5的<控制目标号》<控制目标标题>和<控制号>(控制标题>改为 控制目标号>[<控制目标标题》]、《控制号》[<控制标题》,以避免标题与其后文字混淆; 附录A的A.2模板中,4.2和5中,“对行业至少使用三个字母作为前缀”改为“对行业使用国 民经济行业名称(见GB/T4754一2017)作为前缴”,4.2中强制实施的控制,“使用(M)作为控 制编号的前缀改为“使用(强制)作为控制编号的前缀”。 本标准做了下列编辑性修改: 增加了参考文献ISO27799:2016和ISO22600; 增加资料性附录B“面向医疗行业的信息安全管理体系指南示例”,有利于标准落地实施。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:山东省标准化研究院、中国网络安全审查技术与认证中心、成都秦川物联网科技 份有限公司、陕西省网络与信息安全测评中心、山东票弘信息技术有限公司。 本标准主要起草人:王曙光、魏军、王庆升、公伟、张斌、来永钧、邵泽华、赵首花、杨锐、尤其、郭杨 亚强、李怡、何果、路津、李红胜、路征、陈慧勤、刘勘伪、于秀彦、胡鑫磊、王栋、刘鑫。

占地面积144平方米三层别墅GB/T386312020

本标准规定了GB/T22080应用于具体行业(领域、应用)时的要求。本标准解释了如何在 GB/T22080要求上包含补充要求,如何细化GB/T22080的要求,以及如何包含GB/T22080—2016附 录A之外的控制或控制集。 本标准确保补充的或细化的要求与GB/T22080的要求不冲突。 本标准适用于制定与GB/T22080相关的具体行业标准。

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T22080一2016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013, IDT) GB/T22081—2016信息技术安全技术信息安全控制实践指南(ISO/IEC27002:2013,IDT) GB/T29246一2017信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC27000: 2016,IDT)

GB/T29246一2017界定的以及下列术语和定义适用于本文件。 3.1 解释interpretation 在具体行业背景下对GB/T22080要求的说明(以要求或指南的形式),该说明不会使GB/T22080 的要求失效。 3.2 细化refinement GB/T22080要求在具体行业的详述,该详述不会删除GB/T22080任一要求或使其失效,

GB/T22080规定了建立、实现、维护和持续改进信息安全管理体系的要求。这些要求是通用的 适用于各种类型、规模或性质的机构。 注:ISO管理体系标准的建立依据ISO/IEC导则第1部分融合的JTC1补充部分(2016)。 GB/T22081为信息安全管理实践提供了指南,考虑了机构信息安全风险环境下控制的选择、实施 和管理。该指南采用分层结构,包括章节、控制目标、控制、实现指南以及其他信息。指南是通用的,适

GB/T22080规定了建立、实现、维护和持续改进信息安全管理体系的要求。这些要求是通用 月于各种类型、规模或性质的机构。 注:ISO管理体系标准的建立依据ISO/IEC导则第1部分融合的JTC1补充部分(2016)。 GB/T22081为信息安全管理实践提供了指南,考虑了机构信息安全风险环境下控制的选择、实 管理。该指南采用分层结构,包括章节、控制目标、控制、实现指南以及其他信息。指南是通用的

GB/T386312020

第5章提供要求和指南,给出如何在GB/T22080要求上确定补充要求、细化要求或作出解释。 第6章提供要求和指南,给出如何在GB/T22081内容上补充或修改控制目标、控制、实现指南或 其他信息。 附录A给出与GB/T22080和(或)GB/T22081可用于具体行业标准的模板。 依据附录A,面向医疗行业的信息安全管理体系指南示例参见附录B。 本标准使用如下概念以使GB/T22080的要求适用于具体行业: 一补充:见5.2 细化:见5.3 一解释:见5.4 本标准使用如下概念以使GB/T22081的指南适用于具体行业: 补充:见6.2 一修改:见6.3 注:遵循本标准要求和指南而制定的具体行业指南不可包含在技术报告中。ISO/IEC导则将技术报告定义为不含 要求的文档,而任一依据本标准开发的具体行业标准,特别是附录A,都将至少包含一个最小的要求集合(见 A.2中模板的4.1)

GB/T22080要求或GB

与GB/T22080相关的具体行业标准可以对GB/T22080或GB/T22081进行补充,可将信息安全 之外的要求或指南纳入具体行业之中, 示例:ISO/IEC27018:2014附录A包含一组旨在保护可识别个人信息的控制,从而使ISO/IEC27018的范围除信 息安全外还涵盖可识别个人信息的保护

5补充、细化或解释GB/T22080要求

图1阐明了如何构建与GB/T22080相关的具体行业要求。

图1具体行业要求的构建

允许给出补充要求的规范。 示例:对信息安全方针有补充要求的行业,可将其补充到GB/T22080一2016的5.2规定的要求中 对GB/T22080要求进行补充不应删除GB/T22080确定的任一要求或使其失效。具体行 /T22080要求的补充,应按照附录A给定的要求和指南进行

允许对GB/T22080的要求作出解释。 注:解释不会使GB/T22080的任一要求失效,只是对其作出解释或将其放入具体行业背景中(见3.1)。 对GB/T22080要求在具体行业作出解释.应按照附录A给定的要求和指南进行

6补充或修改GB/T22081指南

图2具体行业指南的构建

每项控制应仅包含一个“宜” 注:在GB/T22080一2016中,信息安全风险处置要求组织陈述所选择的控制及其选择的合理性说明,以及对附

JGJ 83-1991 软土地区工程地质勘察规范GB/T386312020

的合理性说明。在控制描述中只使用一个“宜”,可明确控

充许对GB/T22081的章节、控制目标、控制、实现指南和其他信息进行补充。 对GB/T22081补充章节、控制目标、控制、实现指南和其他信息,应接照附录A给定的要求和指 南进行。 在规定补充章节、控制目标或控制之前,制定与GB/T22080相关具体行业标准的机构宜考虑是否 有更有效的方法来修改GB/T22081已有内容,或是否有更有效的方法在GB/T22081已有内容之上 补充具体行业控制目标、控制、实现指南和其他信息来达成期望的结果,

允许对GB/T22081的章节、控制目标、控制、实现指南和其他信息进行修改 任何修改不应删除GB/T22081的控制、使其失效或减弱。 对GB/T22081章节、控制目标、控制、实现指南和其他信息的修改,应按照附录A给定的要求和 指南进行

GB 50068-2018标准下载GB/T386312020

制定与GB/T22080一2016或GB/T22081一2016相关的具体行业标准的模板

A.2中使用了如下格式规则: 尖括号<>中的文本需用适宜的具体行业文本代替: 示例:对于电信行业,A.2模板中第4章的标题,“《行业》一具体要求...”宜变为电信行业具体要求..”。 花括号()中斜体的文本表示如何使用模板的此部分;本部分文本在具体行业标准发布版本中 需删除; 没有特殊格式的文本可逐字复制

©版权声明
相关文章