《信息技术 安全技术 信息安全管理体系 要求》编制说明

一、工作简况

1.1任务来源

《信息技术安全技术信息安全管理体系信息安全管理体系要求》是国

家标准化管理委员会2013年下达的信息安全国家标准制定项目，国标计划号

为：20141159-T-469。由中国电子技术标准化研究院，主要负责起草中电长城网

际系统应用有限公司中国信息安全认证中心、上海三零卫士信息安全有限公司、

广州赛宝认证中心服务有限公司、山东省标准化研究院、中国合格评定国家认可

中心、北京时代新威信息技术有限公司、中国电子技术标准化研究院认证中心、

北京江南天安科技有限公司、黑龙江电子信息产品监督检验院、浙江远望电子有

限公司、杭州在信科技有限公司等单位共同参与了该标准的起草工作。

1.2主要工作过程

1、2012年，跟踪ISO/IEC27001修订最近进展情况，形成ISO/IECFDIS

27001翻译稿。

2、2013年，承担了全国信安标委信息安全专项标准修订项目GB/T

22080-2008《信息技术安全技术信息安全管理体系要求》修订。

3、2014年1月初，中国电子技术标准化研究院发布成立编写工作组通知。

4、2014年3月14日，成立正式的编写工作组，召开第一工作组会议，讨

论工作组章程等文件。

5、2014年4月24日至25日，第二次工作组会议；讨论27001内容；2014

年5月22日至23日，第三次工作组会议，27001内容讨论结束。

6、2014年9月15日，召开专家评审会，就标准草案征求部分专家意见。

7、2014年10月10日，召开第八次项目组工作会议，就专家提的具体意见

进行处理，并再次修改完善标准草案文本。

8、2014年12月18日至12月19日，标准编制组和王立福教授就标准编制

过程中的问题进行当面沟通，对标准草案文本进行讨论修改。

9、2015年1月3日至1月9日，WG7工作组面向全体工作组成员单位进行

草案标准投票，1个反对票，其余均为赞成票，表决通过。反对票的意见主要是

对国际标准制定规则不了解，认为ISO/IEC27001为强制性标准，实际该标准没

有强制性。标准编制组根据意见进行修改完善，形成征求意见稿第一稿。

10、2015年2月4日，标准编制组邀请部分专家与ISMS认证机构代表进行

沟通交流，对标准文本中的一些术语定义进行充分沟通，会后，标准组根据会议

上的意见进行修改完善，形成征求意见稿第二稿。

二、编制原则和主要内容

2.1编制原则

《信息技术安全技术信息安全管理体系要求》是信息安全管理体系标准

族中标准之一。我国已在2008年正式发布了等同采用ISO/IEC27001：2005的

国家标准GB/T22080-2008《信息技术安全技术信息安全管理体系要求》。我

国在参考借鉴国际信息安全管理体系标准族（ISO/IEC27000系列）的基础上，

等同转化了ISO/IEC27000:2009《信息技术安全技术信息安全管理体系概述

和词汇》、ISO/IEC27002:2005《信息技术安全技术信息安全管理使用规则》

（对应国家标准GB/T22081:2008）和ISO/IEC27006:2007《信息技术安全技

术信息安全管理体系认证机构认可要求》，为国内各机构开展信息安全管理体系

认证工作提供了依据和技术支撑。

本标准修订过程中，鉴于上版标准是等同采用ISO/IEC27001：2005，并且

以该标准为核心的ISMS体系认证在我国已经广泛开展，为了便于国际互认，并

且保持我国信息安全管理体系标准的关联性，因此本次修订的原则也是等同采用

ISO/IEC27001:2013。

2.2主要内容

本标准规定了在组织环境下建立、实施、保持和持续改进信息安全管理体

系的要求。本标准还包括了根据组织需求而进行的信息安全风险评估和处置的要

求。本标准规定的要求是通用的，适用于各种类型、规模或性质的组织。当组织

声称符合本标准时，不能删减第4章到第10章的要求。

本标准主要框架如下：

前言

引言

1范围

2规范性应用文件

3术语

4组织环境

5领导

6规划

7支持

8运行

9绩效评价

10改进

附录A（规范性附录）参考控制目标和控制措施

三、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

随着信息安全管理体系在国内外应用的广泛展开，以及在世界范围内认证

数量的日益增多，验证了信息安全管理体系正逐渐成为目前信息安全管理的一种

有效方法。从我国来讲，自2008年国家信息安全管理体系两个基础标准:GB/T

22080和GB/T22081发布之后，有力地推动了信息安全管理体系在我国的推广

和应用，这套标准既为自愿性认证需求的企业提供了展现自我信息安全管理水平

的依据，也为我国涉及电子政务等各种重要信息系统提供了信息安全管理的思路

和参考。但同时，近年来随着云计算、物联网、供应链等新型技术与应用的迅速

普及，随之而来的安全问题也越来越得到重视。从国际标准化组织来讲，已经积

极着手相应安全管理与控制措施的研究及标准化。新的修订版ISO/IEC27001

无论是从标准内容框架还是编写思路上，都更能体现这些变化与需求。因此，及

早与国际标准发展保持一致，开展标准的修订工作是十分迫切和必要的。

本标准与目前国家开展信息安全管理体系认证工作紧密相关，作为了解和

使用信息安全管理体系标准族的基础标准之一，修订现有国家标准GB/T

22080-2008《信息技术安全技术信息安全管理体系要求》，引入新版国际标准

ISO/IEC27001的新思路和内容框架，使我国具有信息安全管理体系建设、管理

和认证需求的组织机构，更加科学、全面地改善自身的信息安全管理水平，同时

为认证机构进行信息安全管理体系国际认证提供技术依据。

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的

对比情况，或与测试的国外样品、样机的有关数据对比情况

本标准等同采用国际标准ISO/IEC27001:2013。

五、与有关的现行法律、法规和强制性国家标准的关系

本标准与现有国家标准GB/T22080:2008《信息技术安全技术信息安全管

理体系要求》、GB/T22081:2008《信息技术安全技术信息安全管理实用规则》

以及GB/T25067:2010《信息技术安全技术信息安全管理体系审核认证机构

的要求》都属于信息安全管理体系标准族标准。本标准提供了信息安全管理体系

（ISMS标准族）的概述，并定义了相关术语，对于标准用户了解整个ISMS标准

族的情况、有关信息安全术语，以及其中每个标准的范围和目的等信息具有十分

重要的参考作用。本标准是了解信息安全管理体系标准族的一个基础和重要标

准。GB/T22080:2008提供了建立信息安全管理体系的模型及每个过程的具体活

动，可供用户建立和实施满足自身业务需求和安全需要的信息安全管理体系。

GB/T22081:2008提供了一套通用的安全控制目标和最佳实践控制措施，可指导

用户选择和实施控制措施以实现信息安全。GB/T25067:2010为依据GB/T

22080:2008提供审核和ISMS认证的机构规定了要求并提供相关指导。

六、重大分歧意见的处理经过和依据

详见标准意见汇总处理表。

七、国家标准作为强制性国家标准或推荐性国家标准的建议

建议本标准作为推荐性国家标准发布实施。

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等

内容）

本标准主要用于支撑国家标准GB/T22080:2008《信息技术安全技术信息

安全管理体系要求》和GB/T22081:2008《信息技术安全技术信息安全管理

实用规则》的实施，为希望了解和建立信息安全管理体系的组织和用户提供了有

关信息安全管理体系标准族的整体概况，以及相关的术语和定义