标准解读
《GB/T 22081-2024 网络安全技术 信息安全控制》与《GB/T 22081-2016 信息技术 安全技术 信息安全控制实践指南》相比,在多个方面进行了更新和调整,以适应当前网络安全环境和技术发展的需求。首先,在标题上,《GB/T 22081-2024》将“信息技术”更改为“网络安全技术”,反映了标准适用范围从更广泛的信息技术领域聚焦到了更加具体的网络安全领域。这一变化体现了随着网络空间安全形势日益严峻,对于特定于网络安全方面的指导和控制措施的需求增加。
在内容层面,《GB/T 22081-2024》根据最新的技术发展和社会经济背景对信息安全控制措施进行了修订和完善。它可能增加了关于新兴威胁(如勒索软件、高级持续性威胁等)的应对策略;强化了数据保护和个人信息管理的相关要求;同时,也可能加强了对于云计算、物联网等新技术应用场景下如何实施有效安全管理的规定。此外,新版标准或许还提高了对企业或组织内部安全意识教育以及应急响应能力的要求,强调了建立全面覆盖事前预防、事中检测响应及事后恢复机制的重要性。
结构框架上,《GB/T 22081-2024》可能对原有章节进行了重新编排,使之更加符合逻辑顺序,并且便于用户理解和操作。例如,可能会按照风险评估、策略制定、技术实现、运维管理这样的流程来组织文档内容,从而帮助读者更好地把握整个信息安全管理体系的构建过程。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 即将实施
- 暂未开始实施
- 2024-10-29 颁布
- 2025-04-01 实施
文档简介
ICS35030
CCSL.80
中华人民共和国国家标准
GB/T22081—2024/ISO/IEC270022022
:
代替GB/T22081—2016
网络安全技术信息安全控制
Cybersecuritytechnology—Informationsecuritycontrols
ISO/IEC270022022Informationsecuritcbersecuritand
(:,y,yy
rivacrotection—InformationsecuritcontrolsIDT
pypy,)
2024-09-29发布2025-04-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T22081—2024/ISO/IEC270022022
:
目次
前言
…………………………Ⅴ
引言
…………………………Ⅵ
范围
1………………………1
规范性引用文件
2…………………………1
术语定义和缩略语
3、………………………1
术语和定义
3.1…………………………1
缩略语
3.2………………5
文件结构
4…………………6
章条设置
4.1……………6
主题和属性
4.2…………………………7
控制的设计
4.3…………………………7
组织控制
5…………………8
信息安全策略
5.1………………………8
信息安全角色和责任
5.2………………10
职责分离
5.3……………11
管理责任
5.4……………12
与职能机构的联系
5.5…………………13
与特定相关方的联系
5.6………………13
威胁情报
5.7……………14
项目管理中的信息安全
5.8……………15
信息及其他相关资产的清单
5.9………………………17
信息及其他相关资产的可接受使用
5.10……………18
资产归还
5.11…………………………19
信息分级
5.12…………………………20
信息标记
5.13…………………………21
信息传输
5.14…………………………23
访问控制
5.15…………………………25
身份管理
5.16…………………………26
鉴别信息
5.17…………………………27
访问权限
5.18…………………………29
供应商关系中的信息安全
5.19………………………30
在供应商协议中强调信息安全
5.20…………………32
管理信息通信技术供应链中的信息安全
5.21………34
Ⅰ
GB/T22081—2024/ISO/IEC270022022
:
供应商服务的监视评审和变更管理
5.22、……………35
云服务使用的信息安全
5.23…………37
信息安全事件管理规划和准备
5.24…………………38
信息安全事态的评估和决策
5.25……………………40
信息安全事件的响应
5.26……………41
从信息安全事件中学习
5.27…………42
证据收集
5.28…………………………42
中断期间的信息安全
5.29……………43
业务连续性的信息通信技术就绪
5.30………………44
法律法规规章和合同要求
5.31、、……………………46
知识产权
5.32…………………………47
记录的保护
5.33………………………48
隐私和个人可识别信息保护
5.34……………………49
信息安全的独立评审
5.35……………50
符合信息安全的策略规则和标准
5.36、………………51
文件化的操作规程
5.37………………52
人员控制
6…………………53
审查
6.1…………………53
任用条款和条件
6.2……………………54
信息安全意识教育和培训
6.3、………………………55
违规处理过程
6.4………………………57
任用终止或变更后的责任
6.5…………58
保密或不泄露协议
6.6…………………59
远程工作
6.7……………60
信息安全事态的报告
6.8………………61
物理控制
7…………………62
物理安全边界
7.1………………………62
物理入口
7.2……………63
办公室房间和设施的安全保护
7.3、…………………64
物理安全监视
7.4………………………65
物理和环境威胁防范
7.5………………66
在安全区域工作
7.6……………………67
清理桌面和屏幕
7.7……………………68
设备安置和保护
7.8……………………69
组织场所外的资产安全
7.9……………70
存储媒体
7.10…………………………71
支持性设施
7.11………………………72
Ⅱ
GB/T22081—2024/ISO/IEC270022022
:
布缆安全
7.12…………………………73
设备维护
7.13…………………………74
设备的安全处置或重复使用
7.14……………………75
技术控制
8…………………76
用户终端设备
8.1………………………76
特许访问权限
8.2………………………78
信息访问限制
8.3………………………79
源代码的访问
8.4………………………80
安全鉴别
8.5……………81
容量管理
8.6……………83
恶意软件防范
8.7………………………84
技术脆弱性管理
8.8……………………85
配置管理
8.9……………88
信息删除
8.10…………………………90
数据脱敏
8.11…………………………91
数据防泄露
8.12………………………92
信息备份
8.13…………………………93
信息处理设施的冗余
8.14……………95
日志
8.15………………96
监视活动
8.16…………………………98
时钟同步
8.17…………………………100
特权实用程序的使用
8.18……………100
运行系统软件的安装
8.19……………101
网络安全
8.20…………………………102
网络服务的安全
8.21…………………104
网络隔离
8.22…………………………105
网页过滤
8.23…………………………106
密码技术的使用
8.24…………………106
安全开发生存周期
8.25………………108
应用程序安全要求
8.26………………109
系统安全架构和工程原则
8.27………………………111
安全编码
8.28…………………………113
开发和验收中的安全测试
8.29………………………115
开发外包
8.30…………………………116
开发测试和生产环境的隔离
8.31、…………………117
变更管理
8.32…………………………118
测试信息
8.33…………………………119
Ⅲ
GB/T22081—2024/ISO/IEC270022022
:
在审计测试中保护信息系统
8.34……………………120
附录资料性属性的使用
A()…………122
概述
A.1………………122
组织视图
A.2…………………………132
附录资料性本文件与的对应关系
B()GB/T22081—2016………133
参考文献
……………………143
Ⅳ
GB/T22081—2024/ISO/IEC270022022
:
前言
本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定
GB/T1.1—2020《1:》
起草
。
本文件代替信息技术安全技术信息安全控制实践指南与
GB/T22081—2016《》,GB/T22081—
相比除结构调整和编辑性改动外主要技术变化如下
2016,,:
对控制进行了合并删除同时也增加了新的控制与对应关系见附录
———、,,GB/T22081—2016B。
本文件等同采用信息安全网络安全和隐私保护信息安全控制
ISO/IEC27002:2022《、》。
本文件做了下列最小限度的编辑性改动
:
为与现有网络安全国家标准协调一致标准名称调整为网络安全技术信息安全控制
———,《》。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任
。。
本文件由全国网络安全标准化技术委员会提出并归口
(SAC/TC260)。
本文件起草单位北京赛西科技发展有限责任公司中国合格评定国家认可中心中电长城网际系
:、、
统应用有限公司中国网络安全审查技术与认证中心北京赛西认证有限责任公司北京时代新威信息
、、、
技术有限公司北京江南天安科技有限公司山东省标准化研究院四川大学杭州安恒信息技术股份有
、、、、
限公司黑龙江省网络空间研究中心上海浦东发展银行股份有限公司信用卡中心北京百度网讯科技
、、、
有限公司亚信科技成都有限公司工业互联网创新中心上海有限公司阿里云计算有限公司联想
、()、()、、
北京有限公司深信服科技股份有限公司启明星辰信息技术集团股份有限公司麒麟软件有限公司
()、、、、
易航科技股份有限公司华夏认证中心有限公司北京数安行科技有限公司上海观安信息技术股份有
、、、
限公司网安联信息技术有限公司北京天融信网络安全技术有限公司国家信息技术安全研究中心北
、、、、
京蓝象标准咨询服务有限公司厦门美柚股份有限公司长扬科技北京股份有限公司浪潮电子信息
、、()、
产业股份有限公司中科信息安全共性技术国家工程研究中心有限公司陕西省网络与信息安全测评中
、、
心美的集团股份有限公司中能融合智慧科技有限公司北京神州绿盟科技有限公司华为技术有限公
、、、、
司北京时代亿信科技股份有限公司北京源堡科技有限公司国网新疆电力有限公司电力科学研究院
、、、、
北京快手科技有限公司
。
本文件主要起草人上官晓丽王姣王秉政甘俊杰付志高闵京华尤其赵丽华许玉娜
:、、、、、、、、、
王连强陈冠直朱雪峰公伟林阳荟晨胡勇赵玉洁陈星李锐王寒生铁锦程李文清郭建领
、、、、、、、、、、、、、
廖双晓秦峰黄正艳施辰琛刘晨杨天识杨诏钧赵翔夏芳刘玉红谢江阮懿宗谢琴朱松
、、、、、、、、、、、、、、
肖婷婷张德保黄鹏华张亚京高丽琴胡建勋杨帆张亮亮刘长川程潞样张喆易天舒俞晓昕
、、、、、、、、、、、、、
顾俊邹振婉刘海军袁莹颖王昕
、、、、。
本文件及其所代替文件的历次版本发布情况为
:
年首次发布为年第一次修订
———2008GB/T22081—2008,2016;
本次为第二次修订
———。
Ⅴ
GB/T22081—2024/ISO/IEC270022022
:
引言
01背景
.
本文件适用于所有类型和规模的组织组织在实施基于信息安全管理体系的信息安
。GB/T22080
全风险处置时本文件作为其确定和实施所需控制的参考本文件还作为组织在确定和实施普遍接受的
,;
信息安全控制时的指导文件此外本文件还能用于针对行业或组织的具体信息安全风险环境编制其
。,
信息安全管理指南除本文件包含的控制外能通过风险评估来确定特定于组织或环境所需要的控制
。,。
所有类型和规模的组织包括公共和私营部门商业和非营利性组织都会以多种形式创建收集
(、)、、
处理存储传输和处置信息包括电子的物理的和口头的如对话会话和演示
、、,、(/)。
信息的价值超出了文字数字和图像的本身如知识概念观点和品牌都是无形信息在互联的世
、:、、。
界中信息和相关资产都值得或需要保护以防范各种风险源无论该风险是源自自然界还是意外或故
,,,,
意破坏
。
信息安全是通过实施一组适宜的控制来实现的包括策略规则过程规程组织结构和软硬件功
,、、、、
能组织宜在必要时定义实施监视评审和改进这些控制以满足其特定的安全和业务目标
。、、、,。
中规定的信息安全管理体系从整体协调的视角审视组织的信息安全风险在协调
GB/T22080(ISMS)、,
一致的管理体系总框架内确定和实施一套全面的信息安全控制
。
对照所规定的和本文件许多信息系统包括其管理和运营尚未被设计为安
GB/T22080ISMS,,,
全的在进行风险处置时需要仔细规划注意细节来确定实施哪些控制
。,、,。
成功的需要得到组织内所有人员的支持还可能需要股东或供应商等其他相关方的参与同
ISMS,,
时也可能需要业内专家的建议
。
一个适宜充分和有效的信息安全管理体系为组织的管理层及其他相关方提供以下保证它们的
、,:
信息及其他相关资产处于合理的安全状态并免受威胁和损害从而使组织能够实现既定的业务目标
,。
02信息安全要求
.
组织确定其信息安全要求是必要的信息安全要求有三个主要来源
。。
考虑组织的整体业务战略与目标来对组织风险进行评估这能通过特定于信息安全的风险评
a)。
估来给予帮助或支持这宜得出对必要控制的确定以确保组织面临的残余风险符合其风险
。,
接受准则
。
组织及其相关方贸易伙伴服务提供者等必须遵守的法律法规规章和合同要求及其社会
b)(、)、、
文化环境
。
组织为支持其运行而为信息生存周期的所有步骤所建立的一整套原则目标和业务要求
c)、。
03控制
.
控制的定义是改变或维持风险的措施本文件中的某些控制是修改风险而其他控制则是维持风
。,
险例如信息安全方针只能维持风险而遵守信息安全方针则能改变风险此外某些控制描述了不
。,,。,
同风险环境下相同的通用措施本文件提供了源于国际公认最佳实践的一系列组织人员物理和技术
。、、
信息安全控制
。
Ⅵ
GB/T22081—2024/ISO/IEC270022022
:
04控制的确定
.
控制的确定取决于组织在风险评估后做出的决策并有一个明确定义的范围与已识别风险相关
,。
的决策宜基于风险接受准则风险处置选项和组织所采用的风险管理方法控制的确定还宜考虑所有
、。
相关的国家和国际法律法规控制的确定还取决于不同控制的协同以实现纵深防御
。,。
组织能根据需要来设计控制或从任何来源识别控制在制定此类控制时组织宜考虑实施和运行一
,。,
项控制所需的资源和投资与该控制所能实现的业务价值之间的比较请参见其提供
。ISO/IECTR27016,
了在资源需求竞争的情况下做出投资决策以及这些决策的经济后果的指南
ISMS。
在为实施控制而部署的资源与因缺乏这些控制而发生安全事件所导致的潜在业务影响之间宜取得
平衡风险评估的结果宜有助于指导和确定适当的管理措施管理信息安全风险的优先顺序以及实施
。、,
为防范这些风险而确定的必要控制
。
本文件中的某些控制能被视为信息安全管理的指导原则适用于大多数组织有关确定控制和其
,。
他风险处置选项的更多信息参见
ISO/IEC27005。
05编制特定于组织的指南
.
本文件能被视为制定特定于组织的指南的出发点本文件中并非所有的控制和指南都适用所有组
。
织组织还可能需要本文件中未包含的额外控制和指南以满足其具体需求和解决已识别到的风险
。,。
在编制包含额外的指南或控制的文件时给出与本文件条款间的交叉引用有助于日后参考
,,。
06生存周期的考虑
.
信息具有从创建到销毁的生存周期在其整个生存周期中信息的价值和其面临的风险可能会变
。,
化例如未经授权披露或窃取公司财务账户在公布后并不重要但完整性仍然至关重要因此在所有
(,,),,
阶段信息安全都很重要
。
与信息安全相关的信息系统和其他资产具有生存周期包括构思规范设计开发测试实施使
,、、、、、、
用维护并最终退役和销毁每个阶段均宜考虑信息安全新的系统开发项目和对现有系统的变更能
、。。,
考虑组织面临的风险和从安全事件中吸取的经验教训
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 成都师范学院《智能设备应用开发》2022-2023学年第一学期期末试卷
- 骨盆骨折的护理查房课件
- 成都师范学院《现代教育技术》2022-2023学年第一学期期末试卷
- 电火锅相关项目实施方案
- 1常见的半导体直击雷防护装置有哪些
- 成都师范学院《国际商务单证》2023-2024学年第一学期期末试卷
- 海滨浴场用鞋相关项目实施方案
- 成都锦城学院《审计学》2021-2022学年第一学期期末试卷
- 成都师范学院《地理文献阅读与写作》2023-2024学年第一学期期末试卷
- 反担保合同的起诉书(标准版)
- 农村小学英语口语教学研究课题结题报告ppt课件
- 级配砂石换填专项施工方案(可编辑)
- 模拟汽车运输振动测试指导书
- 零基预算在企业环境成本控制中的应用
- 采油树维护保养与操作
- 集油池施工方案Word版
- 卫生院工程施工组织设计方案
- 小学三年级上册道德与法治课件-3.做学习的主人(我和时间做朋友)-部编版(14张)ppt课件
- 玉米育种基地建设项目可行性研究分析报告
- 逻辑在高考语文中的运用
- 电梯维护保养规则
评论
0/150
提交评论