标准解读
《GB/T 38631-2020 信息技术 安全技术 GB/T 22080具体行业应用 要求》是一项国家标准,旨在为特定行业的信息安全管理体系提供指导。该标准基于ISO/IEC 27001(即GB/T 22080)的基础上,进一步细化了针对不同行业特点的信息安全管理要求,使得组织能够根据自身所处的行业特性来建立、实施、维护和持续改进其信息安全管理系统。
标准涵盖了多个方面的要求,包括但不限于:
- 风险评估与处理:规定了如何识别、分析并评价信息资产面临的风险,并采取适当措施进行管理和控制。
- 访问控制:明确了对信息系统及数据访问权限的管理原则,确保只有授权人员才能访问敏感信息。
- 加密技术的应用:对于需要保护的数据,在传输或存储时采用适当的加密手段以增强安全性。
- 业务连续性管理:强调了制定应急预案的重要性,确保即使在遭遇突发事件时也能维持关键业务功能的运行。
- 供应商关系管理:提出了对外包服务提供商的安全管理要求,保证第三方接入不会成为安全漏洞。
- 合规性:确保组织遵守所有适用的法律法规以及合同义务中的信息安全条款。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2020-04-28 颁布
- 2020-11-01 实施
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T38631—2020
信息技术安全技术
GB/T22080具体行业应用要求
Informationtechnology—Securitytechniques—
Sector-specificapplicationofGB/T22080—Requirements
(ISO/IEC27009:2016,Informationtechnology—Securitytechniques—
Sector-specificapplicationofISO/IEC27001—Requirements,MOD)
2020-04-28发布2020-11-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T38631—2020
目次
前言
…………………………Ⅰ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
概述
4………………………1
总则
4.1…………………1
本标准结构
4.2…………………………2
扩展要求或控制
4.3GB/T22080GB/T22081……………………2
补充细化或解释要求
5、GB/T22080……………………2
总则
5.1…………………2
补充要求
5.2……………3
细化要求
5.3……………3
解释要求
5.4……………3
补充或修改指南
6GB/T22081…………3
总则
6.1…………………3
补充指南
6.2……………4
修改指南
6.3……………4
附录规范性附录制定与或相关的具体行业标准
A()GB/T22080—2016GB/T22081—2016
的模板
……………5
附录资料性附录面向医疗行业的信息安全管理体系指南示例
B()…………………8
参考文献
……………………11
GB/T38631—2020
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本标准使用重新起草法修改采用信息技术安全技术具
ISO/IEC27009:2016《ISO/IEC27001
体行业应用要求
》。
本标准与的技术性差异及其产生的原因如下
ISO/IEC27009:2016:
范围增加本标准适用于制定与相关的具体行业标准见第章
———“GB/T22080”(1);
删除之外的组织也制定了实现具体行业需求的标准
———4.1“ISO/IEC”;
增加依据附录面向医疗行业的信息安全管理体系指南示例参见附录见
———“A,B”(4.2);
附录的删除具体行业标准宜命名如下面向行业的信息安全管理体系
———AA.1“:<>”;
附录的模板中和的控制目标号控制目标标题和控制号控制标题改为
———AA.2,4.25<><><><>
控制目标号控制目标标题控制号控制标题以避免标题与其后文字混淆
<>[<>]、<>[<>],;
附录的模板中和中对行业至少使用三个字母作为前缀改为对行业使用国
———AA.2,4.25,“”“
民经济行业名称见作为前缀中强制实施的控制使用作为控
(GB/T4754—2017)”,4.2,“(M)
制编号的前缀改为使用强制作为控制编号的前缀
”“()”。
本标准做了下列编辑性修改
:
增加了参考文献和
———ISO27799:2016ISO22600;
增加资料性附录面向医疗行业的信息安全管理体系指南示例有利于标准落地实施
———B“”,。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
。。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位山东省标准化研究院中国网络安全审查技术与认证中心成都秦川物联网科技
:、、
股份有限公司陕西省网络与信息安全测评中心山东崇弘信息技术有限公司
、、。
本标准主要起草人王曙光魏军王庆升公伟张斌来永钧邵泽华赵首花杨锐尤其郭杨
:、、、、、、、、、、、
权亚强李怡何果路津李红胜路征陈慧勤刘勘伪于秀彦胡鑫磊王栋刘鑫
、、、、、、、、、、、。
Ⅰ
GB/T38631—2020
信息技术安全技术
GB/T22080具体行业应用要求
1范围
本标准规定了应用于具体行业领域应用时的要求本标准解释了如何在
GB/T22080(、)。
要求上包含补充要求如何细化的要求以及如何包含附
GB/T22080,GB/T22080,GB/T22080—2016
录之外的控制或控制集
A。
本标准确保补充的或细化的要求与的要求不冲突
GB/T22080。
本标准适用于制定与相关的具体行业标准
GB/T22080。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
信息技术安全技术信息安全管理体系要求
GB/T22080—2016(ISO/IEC27001:2013,
IDT)
信息技术安全技术信息安全控制实践指南
GB/T22081—2016(ISO/IEC27002:2013,IDT)
信息技术安全技术信息安全管理体系概述和词汇
GB/T29246—2017(ISO/IEC27000:
2016,IDT)
3术语和定义
界定的以及下列术语和定义适用于本文件
GB/T29246—2017。
31
.
解释interpretation
在具体行业背景下对要求的说明以要求或指南的形式该说明不会使
GB/T22080(),GB/T22080
的要求失效
。
32
.
细化refinement
要求在具体行业的详述该详述不会删除任一要求或
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 中药采购合同范例
- 在建项目施工合同范例
- 婚后定制相册合同范例
- 物业员工车辆安装合同范例
- 托班水果拼盘课程设计
- 幼儿园课程创意课程设计
- 怎样开展单元课程设计
- 文书模板-共保协议用印申请
- 幼儿园的运动课程设计
- 折弯件课程设计
- JT∕T 795-2023 事故汽车修复技术规范
- 趣识古文字智慧树知到期末考试答案章节答案2024年吉林师范大学
- 幼儿园健康领域《脸上的表情》课件
- 二年级乘除法口算题计算练习大全2000题(可直接打印)
- 格兰气吸精量播种机
- 2024年马原试题及完整答案(历年真题)
- 天津在津居住情况承诺书
- 舞台搭建安全管理与风险评估
- MOOC 信息安全-复旦大学 中国大学慕课答案
- 2024入团积极分子考试题库答案
- 共情传播的理论基础与实践路径探索
评论
0/150
提交评论