GB∕T 38631-2020 信息技术 安全技术 GB∕T 22080具体行业应用 要求.pdf
《GB∕T 38631-2020 信息技术 安全技术 GB∕T 22080具体行业应用 要求.pdf》由会员分享,可在线阅读,更多相关《GB∕T 38631-2020 信息技术 安全技术 GB∕T 22080具体行业应用 要求.pdf(16页珍藏版)》请在咨信网上搜索。
1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T3 8 6 3 12 0 2 0信息技术 安全技术G B/T2 2 0 8 0具体行业应用 要求I n f o r m a t i o nt e c h n o l o g yS e c u r i t y t e c h n i q u e sS e c t o r - s p e c i f i ca p p l i c a t i o no fG B/T2 2 0 8 0R e q u i r e m e n t s(I S O/I E C2 7 0 0 9:2 0 1 6,I n f o r m a
2、 t i o nt e c h n o l o g yS e c u r i t yt e c h n i q u e sS e c t o r - s p e c i f i ca p p l i c a t i o no f I S O/I E C2 7 0 0 1R e q u i r e m e n t s,MOD)2 0 2 0 - 0 4 - 2 8发布2 0 2 0 - 1 1 - 0 1实施国 家 市 场 监 督 管 理 总 局国 家 标 准 化 管 理 委 员 会发 布目 次前言1 范围12 规范性引用文件13 术语和定义14 概述1 4.1 总则1 4.2 本标准结构2 4
3、.3 扩展G B/T2 2 0 8 0要求或G B/T2 2 0 8 1控制25 补充、 细化或解释G B/T2 2 0 8 0要求2 5.1 总则2 5.2 补充要求3 5.3 细化要求3 5.4 解释要求36 补充或修改G B/T2 2 0 8 1指南3 6.1 总则3 6.2 补充指南4 6.3 修改指南4附录A( 规范性附录) 制定与G B/T2 2 0 8 02 0 1 6或G B/T2 2 0 8 12 0 1 6相关的具体行业标准的模板5附录B( 资料性附录) 面向医疗行业的信息安全管理体系指南示例8参考文献1 1G B/T3 8 6 3 12 0 2 0前 言 本标准按照G B
4、/T1.12 0 0 9给出的规则起草。本标准使用重新起草法修改采用I S O/I E C2 7 0 0 9:2 0 1 6 信息技术 安全技术 I S O/I E C2 7 0 0 1具体行业应用 要求 。本标准与I S O/I E C2 7 0 0 9:2 0 1 6的技术性差异及其产生的原因如下: 范围增加“ 本标准适用于制定与G B/T2 2 0 8 0相关的具体行业标准” ( 见第1章) ; 4.1删除“I S O/I E C之外的组织也制定了实现具体行业需求的标准” ; 增加“ 依据附录A, 面向医疗行业的信息安全管理体系指南示例参见附录B” ( 见4.2) ; 附录A的A.1删除
5、“ 具体行业标准宜命名如下: 面向 的信息安全管理体系” ; 附录A的A.2模板中,4.2和5的 和 改为 、 , 以避免标题与其后文字混淆; 附录A的A.2模板中,4.2和5中, “ 对行业至少使用三个字母作为前缀” 改为“ 对行业使用国民经济行业名称( 见G B/T4 7 5 42 0 1 7) 作为前缀” ,4.2中强制实施的控制, “ 使用(M) 作为控制编号的前缀” 改为“ 使用( 强制) 作为控制编号的前缀” 。本标准做了下列编辑性修改: 增加了参考文献I S O2 7 7 9 9:2 0 1 6和I S O2 2 6 0 0; 增加资料性附录B“ 面向医疗行业的信息安全管理体系指
6、南示例” , 有利于标准落地实施。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0) 提出并归口。本标准起草单位: 山东省标准化研究院、 中国网络安全审查技术与认证中心、 成都秦川物联网科技股份有限公司、 陕西省网络与信息安全测评中心、 山东崇弘信息技术有限公司。本标准主要起草人: 王曙光、 魏军、 王庆升、 公伟、 张斌、 来永钧、 邵泽华、 赵首花、 杨锐、 尤其、 郭杨、权亚强、 李怡、 何果、 路津、 李红胜、 路征、 陈慧勤、 刘勘伪、 于秀彦、 胡鑫磊、 王栋、 刘鑫。G B/T3 8
7、6 3 12 0 2 0信息技术 安全技术G B/T2 2 0 8 0具体行业应用 要求1 范围本标准规定了G B/T2 2 0 8 0应 用 于 具 体 行 业 ( 领 域、 应 用) 时 的 要 求。本 标 准 解 释 了 如 何 在G B/T2 2 0 8 0要求上包含补充要求, 如何细化G B/T2 2 0 8 0的要求, 以及如何包含G B/T2 2 0 8 02 0 1 6附录A之外的控制或控制集。本标准确保补充的或细化的要求与G B/T2 2 0 8 0的要求不冲突。本标准适用于制定与G B/T2 2 0 8 0相关的具体行业标准。2 规范性引用文件下列文件对于本文件的应用是必不
8、可少的。凡是注日期的引用文件, 仅注日期的版本适用于本文件。凡是不注日期的引用文件, 其最新版本( 包括所有的修改单) 适用于本文件。G B/T2 2 0 8 02 0 1 6 信息技术 安全技术 信息安全管理体系 要求(I S O/I E C2 7 0 0 1:2 0 1 3,I D T)G B/T2 2 0 8 12 0 1 6 信息技术 安全技术 信息安全控制实践指南(I S O/I E C2 7 0 0 2:2 0 1 3,I D T)G B/T2 9 2 4 62 0 1 7 信息技术 安全技术 信息安全管理体系 概述和词汇(I S O/I E C2 7 0 0 0:2 0 1 6,
9、I D T)3 术语和定义G B/T2 9 2 4 62 0 1 7界定的以及下列术语和定义适用于本文件。3.1解释 i n t e r p r e t a t i o n在具体行业背景下对G B/T2 2 0 8 0要求的说明( 以要求或指南的形式) , 该说明不会使G B/T2 2 0 8 0的要求失效。3.2细化 r e f i n e m e n tG B/T2 2 0 8 0要求在具体行业的详述, 该详述不会删除G B/T2 2 0 8 0任一要求或使其失效。4 概述4.1 总则G B/T2 2 0 8 0规定了建立、 实现、 维护和持续改进信息安全管理体系的要求。这些要求是通用的,
10、适用于各种类型、 规模或性质的机构。注:I S O管理体系标准的建立依据I S O/I E C导则 第1部分 融合的J T C 1补充部分(2 0 1 6) 。G B/T2 2 0 8 1为信息安全管理实践提供了指南, 考虑了机构信息安全风险环境下控制的选择、 实施和管理。该指南采用分层结构, 包括章节、 控制目标、 控制、 实现指南以及其他信息。指南是通用的, 适1G B/T3 8 6 3 12 0 2 0用于各种类型、 规模或性质的机构。G B/T2 2 0 8 1的 控 制 目 标 和 控 制 以 规 范 性 附 录 形 式 列 在G B/T2 2 0 8 02 0 1 6的 附 录A中
11、。G B/T2 2 0 8 02 0 1 6要求机构确定信息安全风险处置选项所必需的所有控制 见6. 1. 3b) , 并将6.1.3b) 确定的控制与附录A中的控制进行比较, 并验证没有忽略必要的控制 见6.1.3c) 。随着G B/T2 2 0 8 0和G B/T2 2 0 8 1在企业、 政府机构和非营利组织中的广泛应用, 需要开发针对这些具体行业的标准, 主要完成的标准包括: G B/T3 2 9 2 0, 信息技术 安全技术 行业间和组织间通信的信息安全管理; I S O/I E C2 7 0 1 1, 基于I S O/I E C2 7 0 0 2的电信组织信息安全管理指南; I S
12、 O/I E C2 7 0 1 7, 基于I S O/I E C2 7 0 0 2的云服务信息安全控制实践指南; I S O/I E C2 7 0 1 8, 可识别个人信息(P I I) 处理者在公有云中保护可识别个人信息的实践指南。具体行业标准需要与信息安全管理体系要求相一致。本标准主要从以下两方面规定了相关要求: 具体行业如何补充、 细化G B/T2 2 0 8 0的要求或对其作出解释; 具体行业如何补充或修改G B/T2 2 0 8 1的指南。本标准假定所有来自G B/T2 2 0 8 0未被细化的或未作出解释的要求、 所有来自G B/T2 2 0 8 1未被修改的控制, 将不加修改的适
13、用于具体行业环境。4.2 本标准结构第5章提供要求和指南, 给出如何在G B/T2 2 0 8 0要求上确定补充要求、 细化要求或作出解释。第6章提供要求和指南, 给出如何在G B/T2 2 0 8 1内容上补充或修改控制目标、 控制、 实现指南或其他信息。附录A给出与G B/T2 2 0 8 0和( 或)G B/T2 2 0 8 1可用于具体行业标准的模板。依据附录A, 面向医疗行业的信息安全管理体系指南示例参见附录B。本标准使用如下概念以使G B/T2 2 0 8 0的要求适用于具体行业: 补充: 见5.2 细化: 见5.3 解释: 见5.4本标准使用如下概念以使G B/T2 2 0 8
14、1的指南适用于具体行业: 补充: 见6.2 修改: 见6.3注:遵循本标准要求和指南而制定的具体行业指南不可包含在技术报告中。I S O/I E C导则将技术报告定义为不含要求的文档, 而任一依据本标准开发的具体行业标准, 特别是附录A, 都将至少包含一个最小的要求集合( 见A.2中模板的4.1) 。4.3 扩展G B/T2 2 0 8 0要求或G B/T2 2 0 8 1控制与G B/T2 2 0 8 0相关的具体行业标准可以对G B/T2 2 0 8 0或G B/T2 2 0 8 1进行补充, 可将信息安全之外的要求或指南纳入具体行业之中。示例:I S O/I E C2 7 0 1 8:2
15、 0 1 4附录A包含一组旨在保护可识别个人信息的控制, 从而使I S O/I E C2 7 0 1 8的范围除信息安全外还涵盖可识别个人信息的保护。5 补充、 细化或解释G B/T2 2 0 8 0要求5.1 总则图1阐明了如何构建与G B/T2 2 0 8 0相关的具体行业要求。2G B/T3 8 6 3 12 0 2 0图1 具体行业要求的构建5.2 补充要求允许给出补充要求的规范。示例: 对信息安全方针有补充要求的行业, 可将其补充到G B/T2 2 0 8 02 0 1 6的5.2规定的要求中。对G B/T2 2 0 8 0要求进行补充不应删除G B/T2 2 0 8 0确定的任一要
16、求或使其失效。具体行业对G B/T2 2 0 8 0要求的补充, 应按照附录A给定的要求和指南进行。5.3 细化要求允许对G B/T2 2 0 8 0的要求进行细化。注:细化不会删除G B/T2 2 0 8 0的任一要求或使其失效( 见3.2) 。G B/T2 2 0 8 0要求在具体行业的细化, 应按照附录A给定的要求和指南进行。示例1: 具体行业标准可能包含对G B/T2 2 0 8 02 0 1 6附录A的补充控制。在这种情况下,G B/T2 2 0 8 02 0 1 6的6.1.3c) 和d) 中与信息安全风险处置相关的要求, 需进行细化, 以包含具体行业标准中给出的补充控制。允许给出
17、符合G B/T2 2 0 8 0要求的特定方法的规范。示例2: 特定行业有规定的方法确定在具体行业管理体系范围内工作人员的能力。这一要求能细化G B/T2 2 0 8 02 0 1 6的7.2中的通用要求。5.4 解释要求允许对G B/T2 2 0 8 0的要求作出解释。注:解释不会使G B/T2 2 0 8 0的任一要求失效, 只是对其作出解释或将其放入具体行业背景中( 见3.1) 。对G B/T2 2 0 8 0要求在具体行业作出解释, 应按照附录A给定的要求和指南进行。6 补充或修改G B/T2 2 0 8 1指南6.1 总则图2阐明了如何对G B/T2 2 0 8 1的指南进行补充和修
18、改。图2 具体行业指南的构建 每项控制应仅包含一个“ 宜” 。注:在G B/T2 2 0 8 02 0 1 6中, 信息安全风险处置要求组织陈述所选择的控制及其选择的合理性说明, 以及对附录A3G B/T3 8 6 3 12 0 2 0控制删减的合理性说明。在控制描述中只使用一个“ 宜” , 可明确控制的范围。6.2 补充指南允许对G B/T2 2 0 8 1的章节、 控制目标、 控制、 实现指南和其他信息进行补充。对G B/T2 2 0 8 1补充章节、 控制目标、 控制、 实现指南和其他信息, 应按照附录A给定的要求和指南进行。在规定补充章节、 控制目标或控制之前, 制定与G B/T2 2
19、 0 8 0相关具体行业标准的机构宜考虑是否有更有效的方法来修改G B/T2 2 0 8 1已有内容, 或是否有更有效的方法在G B/T2 2 0 8 1已有内容之上补充具体行业控制目标、 控制、 实现指南和其他信息来达成期望的结果。6.3 修改指南允许对G B/T2 2 0 8 1的章节、 控制目标、 控制、 实现指南和其他信息进行修改。任何修改不应删除G B/T2 2 0 8 1的控制、 使其失效或减弱。对G B/T2 2 0 8 1章节、 控制目标、 控制、 实现指南和其他信息的修改, 应按照附录A给定的要求和指南进行。4G B/T3 8 6 3 12 0 2 0附 录 A( 规范性附录
20、)制定与G B/T2 2 0 8 02 0 1 6或G B/T2 2 0 8 12 0 1 6相关的具体行业标准的模板A.1 起草说明A.2中使用了如下格式规则: 尖括号 中的文本需用适宜的具体行业文本代替;示例: 对于电信行业,A.2模板中第4章的标题, “ -具体要求. . .” 宜变为“ 电信行业具体要求. . .” 。 花括号 中斜体的文本表示如何使用模板的此部分; 本部分文本在具体行业标准发布版本中需删除; 没有特殊格式的文本可逐字复制。A.2 模板0 引言包含: 本标准中的要求和( 或) 指南, 如何与G B/T2 2 0 8 0中规定的要求及G B/T2 2 0 8 1中的指南相
21、关联。1 范围包含: 适用范围的声明, 该声明包含了本标准与G B/T2 2 0 8 0及G B/T2 2 0 8 1的关系。2 规范性引用文件插入相关的规范性引用文件, 包含G B/T2 2 0 8 0和G B/T2 2 0 8 1。3 术语和定义确保包含G B/T2 9 2 4 6。4 与G B/T2 2 0 8 0相关的 具体要求插入以下文本。4.1 本标准结构本标准是与G B/T2 2 0 8 0相关的 标准。如果具体行业标准有在G B/T2 2 0 8 1基础上补充或修改的具体行业章节、 控制目标或控制, 插入以下文本。具体参考控制目标和控制参见附录A。如果有, 插入描述具体行业I
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GBT 38631-2020 信息技术 安全技术 22080具体行业应用 要求 GB 38631 2020 22080 具体 行业 应用
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【da****hi】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【da****hi】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。