标准解读

《GB/T 38631-2020 信息技术 安全技术 GB/T 22080具体行业应用 要求》是一项国家标准,旨在为特定行业的信息安全管理体系提供指导。该标准基于ISO/IEC 27001(即GB/T 22080)的基础上,进一步细化了针对不同行业特点的信息安全管理要求,使得组织能够根据自身所处的行业特性来建立、实施、维护和持续改进其信息安全管理系统。

标准涵盖了多个方面的要求,包括但不限于:

  • 风险评估与处理:规定了如何识别、分析并评价信息资产面临的风险,并采取适当措施进行管理和控制。
  • 访问控制:明确了对信息系统及数据访问权限的管理原则,确保只有授权人员才能访问敏感信息。
  • 加密技术的应用:对于需要保护的数据,在传输或存储时采用适当的加密手段以增强安全性。
  • 业务连续性管理:强调了制定应急预案的重要性,确保即使在遭遇突发事件时也能维持关键业务功能的运行。
  • 供应商关系管理:提出了对外包服务提供商的安全管理要求,保证第三方接入不会成为安全漏洞。
  • 合规性:确保组织遵守所有适用的法律法规以及合同义务中的信息安全条款。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2020-04-28 颁布
  • 2020-11-01 实施
©正版授权
GB/T 38631-2020信息技术安全技术GB/T 22080具体行业应用要求_第1页
GB/T 38631-2020信息技术安全技术GB/T 22080具体行业应用要求_第2页
GB/T 38631-2020信息技术安全技术GB/T 22080具体行业应用要求_第3页
GB/T 38631-2020信息技术安全技术GB/T 22080具体行业应用要求_第4页
免费预览已结束,剩余12页可下载查看

下载本文档

免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T38631—2020

信息技术安全技术

GB/T22080具体行业应用要求

Informationtechnology—Securitytechniques—

Sector-specificapplicationofGB/T22080—Requirements

(ISO/IEC27009:2016,Informationtechnology—Securitytechniques—

Sector-specificapplicationofISO/IEC27001—Requirements,MOD)

2020-04-28发布2020-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T38631—2020

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概述

4………………………1

总则

4.1…………………1

本标准结构

4.2…………………………2

扩展要求或控制

4.3GB/T22080GB/T22081……………………2

补充细化或解释要求

5、GB/T22080……………………2

总则

5.1…………………2

补充要求

5.2……………3

细化要求

5.3……………3

解释要求

5.4……………3

补充或修改指南

6GB/T22081…………3

总则

6.1…………………3

补充指南

6.2……………4

修改指南

6.3……………4

附录规范性附录制定与或相关的具体行业标准

A()GB/T22080—2016GB/T22081—2016

的模板

……………5

附录资料性附录面向医疗行业的信息安全管理体系指南示例

B()…………………8

参考文献

……………………11

GB/T38631—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准使用重新起草法修改采用信息技术安全技术具

ISO/IEC27009:2016《ISO/IEC27001

体行业应用要求

》。

本标准与的技术性差异及其产生的原因如下

ISO/IEC27009:2016:

范围增加本标准适用于制定与相关的具体行业标准见第章

———“GB/T22080”(1);

删除之外的组织也制定了实现具体行业需求的标准

———4.1“ISO/IEC”;

增加依据附录面向医疗行业的信息安全管理体系指南示例参见附录见

———“A,B”(4.2);

附录的删除具体行业标准宜命名如下面向行业的信息安全管理体系

———AA.1“:<>”;

附录的模板中和的控制目标号控制目标标题和控制号控制标题改为

———AA.2,4.25<><><><>

控制目标号控制目标标题控制号控制标题以避免标题与其后文字混淆

<>[<>]、<>[<>],;

附录的模板中和中对行业至少使用三个字母作为前缀改为对行业使用国

———AA.2,4.25,“”“

民经济行业名称见作为前缀中强制实施的控制使用作为控

(GB/T4754—2017)”,4.2,“(M)

制编号的前缀改为使用强制作为控制编号的前缀

”“()”。

本标准做了下列编辑性修改

:

增加了参考文献和

———ISO27799:2016ISO22600;

增加资料性附录面向医疗行业的信息安全管理体系指南示例有利于标准落地实施

———B“”,。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位山东省标准化研究院中国网络安全审查技术与认证中心成都秦川物联网科技

:、、

股份有限公司陕西省网络与信息安全测评中心山东崇弘信息技术有限公司

、、。

本标准主要起草人王曙光魏军王庆升公伟张斌来永钧邵泽华赵首花杨锐尤其郭杨

:、、、、、、、、、、、

权亚强李怡何果路津李红胜路征陈慧勤刘勘伪于秀彦胡鑫磊王栋刘鑫

、、、、、、、、、、、。

GB/T38631—2020

信息技术安全技术

GB/T22080具体行业应用要求

1范围

本标准规定了应用于具体行业领域应用时的要求本标准解释了如何在

GB/T22080(、)。

要求上包含补充要求如何细化的要求以及如何包含附

GB/T22080,GB/T22080,GB/T22080—2016

录之外的控制或控制集

A。

本标准确保补充的或细化的要求与的要求不冲突

GB/T22080。

本标准适用于制定与相关的具体行业标准

GB/T22080。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息安全管理体系要求

GB/T22080—2016(ISO/IEC27001:2013,

IDT)

信息技术安全技术信息安全控制实践指南

GB/T22081—2016(ISO/IEC27002:2013,IDT)

信息技术安全技术信息安全管理体系概述和词汇

GB/T29246—2017(ISO/IEC27000:

2016,IDT)

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T29246—2017。

31

.

解释interpretation

在具体行业背景下对要求的说明以要求或指南的形式该说明不会使

GB/T22080(),GB/T22080

的要求失效

32

.

细化refinement

要求在具体行业的详述该详述不会删除任一要求或

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论