GB∕T 38631-2020 信息技术 安全技术 GB∕T 22080具体行业应用 要求.pdf

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T3 8 6 3 12 0 2 0信息技术 安全技术G B/T2 2 0 8 0具体行业应用 要求I n f o r m a t i o nt e c h n o l o g yS e c u r i t y t e c h n i q u e sS e c t o r - s p e c i f i ca p p l i c a t i o no fG B/T2 2 0 8 0R e q u i r e m e n t s(I S O/I E C2 7 0 0 9:2 0 1 6,I n f o r m a

2、 t i o nt e c h n o l o g yS e c u r i t yt e c h n i q u e sS e c t o r - s p e c i f i ca p p l i c a t i o no f I S O/I E C2 7 0 0 1R e q u i r e m e n t s,MOD)2 0 2 0 - 0 4 - 2 8发布2 0 2 0 - 1 1 - 0 1实施国 家 市 场 监 督 管 理 总 局国 家 标 准 化 管 理 委 员 会发 布目 次前言1 范围12 规范性引用文件13 术语和定义14 概述1 4.1 总则1 4.2 本标准结构2 4

3、.3 扩展G B/T2 2 0 8 0要求或G B/T2 2 0 8 1控制25 补充、 细化或解释G B/T2 2 0 8 0要求2 5.1 总则2 5.2 补充要求3 5.3 细化要求3 5.4 解释要求36 补充或修改G B/T2 2 0 8 1指南3 6.1 总则3 6.2 补充指南4 6.3 修改指南4附录A( 规范性附录) 制定与G B/T2 2 0 8 02 0 1 6或G B/T2 2 0 8 12 0 1 6相关的具体行业标准的模板5附录B( 资料性附录) 面向医疗行业的信息安全管理体系指南示例8参考文献1 1G B/T3 8 6 3 12 0 2 0前 言 本标准按照G B

4、/T1.12 0 0 9给出的规则起草。本标准使用重新起草法修改采用I S O/I E C2 7 0 0 9:2 0 1 6 信息技术 安全技术 I S O/I E C2 7 0 0 1具体行业应用 要求 。本标准与I S O/I E C2 7 0 0 9:2 0 1 6的技术性差异及其产生的原因如下: 范围增加“ 本标准适用于制定与G B/T2 2 0 8 0相关的具体行业标准” ( 见第1章) ; 4.1删除“I S O/I E C之外的组织也制定了实现具体行业需求的标准” ; 增加“ 依据附录A, 面向医疗行业的信息安全管理体系指南示例参见附录B” ( 见4.2) ; 附录A的A.1删除

5、“ 具体行业标准宜命名如下: 面向 的信息安全管理体系” ; 附录A的A.2模板中,4.2和5的 和 改为 、 , 以避免标题与其后文字混淆; 附录A的A.2模板中,4.2和5中, “ 对行业至少使用三个字母作为前缀” 改为“ 对行业使用国民经济行业名称( 见G B/T4 7 5 42 0 1 7) 作为前缀” ,4.2中强制实施的控制, “ 使用(M) 作为控制编号的前缀” 改为“ 使用( 强制) 作为控制编号的前缀” 。本标准做了下列编辑性修改: 增加了参考文献I S O2 7 7 9 9:2 0 1 6和I S O2 2 6 0 0; 增加资料性附录B“ 面向医疗行业的信息安全管理体系指

6、南示例” , 有利于标准落地实施。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0) 提出并归口。本标准起草单位: 山东省标准化研究院、 中国网络安全审查技术与认证中心、 成都秦川物联网科技股份有限公司、 陕西省网络与信息安全测评中心、 山东崇弘信息技术有限公司。本标准主要起草人: 王曙光、 魏军、 王庆升、 公伟、 张斌、 来永钧、 邵泽华、 赵首花、 杨锐、 尤其、 郭杨、权亚强、 李怡、 何果、 路津、 李红胜、 路征、 陈慧勤、 刘勘伪、 于秀彦、 胡鑫磊、 王栋、 刘鑫。G B/T3 8

7、6 3 12 0 2 0信息技术 安全技术G B/T2 2 0 8 0具体行业应用 要求1 范围本标准规定了G B/T2 2 0 8 0应 用 于 具 体 行 业 ( 领 域、 应 用) 时 的 要 求。本 标 准 解 释 了 如 何 在G B/T2 2 0 8 0要求上包含补充要求, 如何细化G B/T2 2 0 8 0的要求, 以及如何包含G B/T2 2 0 8 02 0 1 6附录A之外的控制或控制集。本标准确保补充的或细化的要求与G B/T2 2 0 8 0的要求不冲突。本标准适用于制定与G B/T2 2 0 8 0相关的具体行业标准。2 规范性引用文件下列文件对于本文件的应用是必不

8、可少的。凡是注日期的引用文件, 仅注日期的版本适用于本文件。凡是不注日期的引用文件, 其最新版本( 包括所有的修改单) 适用于本文件。G B/T2 2 0 8 02 0 1 6 信息技术 安全技术 信息安全管理体系 要求(I S O/I E C2 7 0 0 1:2 0 1 3,I D T)G B/T2 2 0 8 12 0 1 6 信息技术 安全技术 信息安全控制实践指南(I S O/I E C2 7 0 0 2:2 0 1 3,I D T)G B/T2 9 2 4 62 0 1 7 信息技术 安全技术 信息安全管理体系 概述和词汇(I S O/I E C2 7 0 0 0:2 0 1 6,

9、I D T)3 术语和定义G B/T2 9 2 4 62 0 1 7界定的以及下列术语和定义适用于本文件。3.1解释 i n t e r p r e t a t i o n在具体行业背景下对G B/T2 2 0 8 0要求的说明( 以要求或指南的形式) , 该说明不会使G B/T2 2 0 8 0的要求失效。3.2细化 r e f i n e m e n tG B/T2 2 0 8 0要求在具体行业的详述, 该详述不会删除G B/T2 2 0 8 0任一要求或使其失效。4 概述4.1 总则G B/T2 2 0 8 0规定了建立、 实现、 维护和持续改进信息安全管理体系的要求。这些要求是通用的,

10、适用于各种类型、 规模或性质的机构。注:I S O管理体系标准的建立依据I S O/I E C导则 第1部分 融合的J T C 1补充部分(2 0 1 6) 。G B/T2 2 0 8 1为信息安全管理实践提供了指南, 考虑了机构信息安全风险环境下控制的选择、 实施和管理。该指南采用分层结构, 包括章节、 控制目标、 控制、 实现指南以及其他信息。指南是通用的, 适1G B/T3 8 6 3 12 0 2 0用于各种类型、 规模或性质的机构。G B/T2 2 0 8 1的 控 制 目 标 和 控 制 以 规 范 性 附 录 形 式 列 在G B/T2 2 0 8 02 0 1 6的 附 录A中

11、。G B/T2 2 0 8 02 0 1 6要求机构确定信息安全风险处置选项所必需的所有控制 见6. 1. 3b) , 并将6.1.3b) 确定的控制与附录A中的控制进行比较, 并验证没有忽略必要的控制 见6.1.3c) 。随着G B/T2 2 0 8 0和G B/T2 2 0 8 1在企业、 政府机构和非营利组织中的广泛应用, 需要开发针对这些具体行业的标准, 主要完成的标准包括: G B/T3 2 9 2 0, 信息技术 安全技术 行业间和组织间通信的信息安全管理; I S O/I E C2 7 0 1 1, 基于I S O/I E C2 7 0 0 2的电信组织信息安全管理指南; I S

12、 O/I E C2 7 0 1 7, 基于I S O/I E C2 7 0 0 2的云服务信息安全控制实践指南; I S O/I E C2 7 0 1 8, 可识别个人信息(P I I) 处理者在公有云中保护可识别个人信息的实践指南。具体行业标准需要与信息安全管理体系要求相一致。本标准主要从以下两方面规定了相关要求: 具体行业如何补充、 细化G B/T2 2 0 8 0的要求或对其作出解释; 具体行业如何补充或修改G B/T2 2 0 8 1的指南。本标准假定所有来自G B/T2 2 0 8 0未被细化的或未作出解释的要求、 所有来自G B/T2 2 0 8 1未被修改的控制, 将不加修改的适

13、用于具体行业环境。4.2 本标准结构第5章提供要求和指南, 给出如何在G B/T2 2 0 8 0要求上确定补充要求、 细化要求或作出解释。第6章提供要求和指南, 给出如何在G B/T2 2 0 8 1内容上补充或修改控制目标、 控制、 实现指南或其他信息。附录A给出与G B/T2 2 0 8 0和( 或)G B/T2 2 0 8 1可用于具体行业标准的模板。依据附录A, 面向医疗行业的信息安全管理体系指南示例参见附录B。本标准使用如下概念以使G B/T2 2 0 8 0的要求适用于具体行业: 补充: 见5.2 细化: 见5.3 解释: 见5.4本标准使用如下概念以使G B/T2 2 0 8

14、1的指南适用于具体行业: 补充: 见6.2 修改: 见6.3注:遵循本标准要求和指南而制定的具体行业指南不可包含在技术报告中。I S O/I E C导则将技术报告定义为不含要求的文档, 而任一依据本标准开发的具体行业标准, 特别是附录A, 都将至少包含一个最小的要求集合( 见A.2中模板的4.1) 。4.3 扩展G B/T2 2 0 8 0要求或G B/T2 2 0 8 1控制与G B/T2 2 0 8 0相关的具体行业标准可以对G B/T2 2 0 8 0或G B/T2 2 0 8 1进行补充, 可将信息安全之外的要求或指南纳入具体行业之中。示例:I S O/I E C2 7 0 1 8:2

15、 0 1 4附录A包含一组旨在保护可识别个人信息的控制, 从而使I S O/I E C2 7 0 1 8的范围除信息安全外还涵盖可识别个人信息的保护。5 补充、 细化或解释G B/T2 2 0 8 0要求5.1 总则图1阐明了如何构建与G B/T2 2 0 8 0相关的具体行业要求。2G B/T3 8 6 3 12 0 2 0图1 具体行业要求的构建5.2 补充要求允许给出补充要求的规范。示例: 对信息安全方针有补充要求的行业, 可将其补充到G B/T2 2 0 8 02 0 1 6的5.2规定的要求中。对G B/T2 2 0 8 0要求进行补充不应删除G B/T2 2 0 8 0确定的任一要

16、求或使其失效。具体行业对G B/T2 2 0 8 0要求的补充, 应按照附录A给定的要求和指南进行。5.3 细化要求允许对G B/T2 2 0 8 0的要求进行细化。注:细化不会删除G B/T2 2 0 8 0的任一要求或使其失效( 见3.2) 。G B/T2 2 0 8 0要求在具体行业的细化, 应按照附录A给定的要求和指南进行。示例1: 具体行业标准可能包含对G B/T2 2 0 8 02 0 1 6附录A的补充控制。在这种情况下,G B/T2 2 0 8 02 0 1 6的6.1.3c) 和d) 中与信息安全风险处置相关的要求, 需进行细化, 以包含具体行业标准中给出的补充控制。允许给出

17、符合G B/T2 2 0 8 0要求的特定方法的规范。示例2: 特定行业有规定的方法确定在具体行业管理体系范围内工作人员的能力。这一要求能细化G B/T2 2 0 8 02 0 1 6的7.2中的通用要求。5.4 解释要求允许对G B/T2 2 0 8 0的要求作出解释。注:解释不会使G B/T2 2 0 8 0的任一要求失效, 只是对其作出解释或将其放入具体行业背景中( 见3.1) 。对G B/T2 2 0 8 0要求在具体行业作出解释, 应按照附录A给定的要求和指南进行。6 补充或修改G B/T2 2 0 8 1指南6.1 总则图2阐明了如何对G B/T2 2 0 8 1的指南进行补充和修

18、改。图2 具体行业指南的构建 每项控制应仅包含一个“ 宜” 。注:在G B/T2 2 0 8 02 0 1 6中, 信息安全风险处置要求组织陈述所选择的控制及其选择的合理性说明, 以及对附录A3G B/T3 8 6 3 12 0 2 0控制删减的合理性说明。在控制描述中只使用一个“ 宜” , 可明确控制的范围。6.2 补充指南允许对G B/T2 2 0 8 1的章节、 控制目标、 控制、 实现指南和其他信息进行补充。对G B/T2 2 0 8 1补充章节、 控制目标、 控制、 实现指南和其他信息, 应按照附录A给定的要求和指南进行。在规定补充章节、 控制目标或控制之前, 制定与G B/T2 2

19、 0 8 0相关具体行业标准的机构宜考虑是否有更有效的方法来修改G B/T2 2 0 8 1已有内容, 或是否有更有效的方法在G B/T2 2 0 8 1已有内容之上补充具体行业控制目标、 控制、 实现指南和其他信息来达成期望的结果。6.3 修改指南允许对G B/T2 2 0 8 1的章节、 控制目标、 控制、 实现指南和其他信息进行修改。任何修改不应删除G B/T2 2 0 8 1的控制、 使其失效或减弱。对G B/T2 2 0 8 1章节、 控制目标、 控制、 实现指南和其他信息的修改, 应按照附录A给定的要求和指南进行。4G B/T3 8 6 3 12 0 2 0附 录 A( 规范性附录

20、)制定与G B/T2 2 0 8 02 0 1 6或G B/T2 2 0 8 12 0 1 6相关的具体行业标准的模板A.1 起草说明A.2中使用了如下格式规则: 尖括号 中的文本需用适宜的具体行业文本代替;示例: 对于电信行业,A.2模板中第4章的标题, “ -具体要求. . .” 宜变为“ 电信行业具体要求. . .” 。 花括号 中斜体的文本表示如何使用模板的此部分; 本部分文本在具体行业标准发布版本中需删除; 没有特殊格式的文本可逐字复制。A.2 模板0 引言包含: 本标准中的要求和( 或) 指南, 如何与G B/T2 2 0 8 0中规定的要求及G B/T2 2 0 8 1中的指南相

21、关联。1 范围包含: 适用范围的声明, 该声明包含了本标准与G B/T2 2 0 8 0及G B/T2 2 0 8 1的关系。2 规范性引用文件插入相关的规范性引用文件, 包含G B/T2 2 0 8 0和G B/T2 2 0 8 1。3 术语和定义确保包含G B/T2 9 2 4 6。4 与G B/T2 2 0 8 0相关的 具体要求插入以下文本。4.1 本标准结构本标准是与G B/T2 2 0 8 0相关的 标准。如果具体行业标准有在G B/T2 2 0 8 1基础上补充或修改的具体行业章节、 控制目标或控制, 插入以下文本。具体参考控制目标和控制参见附录A。如果有, 插入描述具体行业I

22、S M S问题的子章节。4.2 具体要求在适当的情况下, 插入下列两段文本中的一段。对G B/T2 2 0 8 02 0 1 6第4章到第1 0章的所有要求, 仍适用。 或对G B/T2 2 0 8 02 0 1 6第4章到第1 0章的所有要求, 未在下面列出的, 仍适用。补充具体行业要求。对补充要求, 使用与G B/T2 2 0 8 02 0 1 6相同格式的章节( 子章节) 号, 并对行业使用国民经济行业名称( 参见G B/T4 7 5 42 0 1 7) 作为前缀。当补充一项要求时, 首先检查它是否与G B/T2 2 0 8 02 0 1 6中已有要求相关。如果是相关的, 将新要求补充到

23、相关的章节中并给予恰当序号。如果不相关, 将补充要求置于G B/T2 2 0 8 02 0 1 6相关要求之后, 在章节中引入一个适宜的新子章节号。5G B/T3 8 6 3 12 0 2 0通过插入以下文本来表示补充到G B/T2 2 0 8 02 0 1 6要求上的具体行业要求。G B/T2 2 0 8 02 0 1 6要求 补充如下:通过插入以下文本来表示对G B/T2 2 0 8 02 0 1 6要求进行细化的具体行业要求。G B/T2 2 0 8 02 0 1 6要求 细化如下:通过插入以下文本来表示对G B/T2 2 0 8 02 0 1 6要求作出解释的具体行业要求。G B/T2

24、 2 0 8 02 0 1 6要求 解释如下:如果可能, 请使用斜体表示补充、 细化或解释的内容。如果具体行业标准有针对具体行业的控制, 则插入以下文本。G B/T2 2 0 8 02 0 1 6中6.1.3c) 的要求细化如下:将6.1.3b) 确定的控制、G B/T2 2 0 8 02 0 1 6中附录A以及本文件附录A中的控制进行比较, 并验证没有忽略必要的控制。G B/T2 2 0 8 02 0 1 6中6.1.3d) 的要求细化如下:制定一个适用性声明, 包含: 必要的控制 见G B/T2 2 0 8 02 0 1 6,6.1.3b) 和c) ; 选择这些控制的合理性说明( 无论这些

25、必要的控制是否已实现) ; 对G B/T2 2 0 8 02 0 1 6中附录A或本文件附录A中的控制删减的合理性说明。要强制应用某些特定控制, 请在G B/T2 2 0 8 02 0 1 6,6.1.3d) 之后插入以下文本, 并以恰当的方式识别强制控制, 建议使用( 强制) 作为控制编号的前缀。组织应实现由 识别的强制控制。5 与G B/T2 2 0 8 12 0 1 6相关的 具体指南如果具体行业标准有在G B/T2 2 0 8 12 0 1 6基础上补充或修改的具体行业章节、 控制目标、 控制、 实现指南或其他信息, 在本章节插入它们。补充章节、 控制目标或控制的序号与G B/T2 2

26、 0 8 12 0 1 6采用相同格式, 并对行业使用国民经济行业名称( 参见G B/T4 7 5 42 0 1 7) 作为前缀。当对G B/T2 2 0 8 12 0 1 6控制目标、 控制、 实现指南和( 或) 其他信息补充或修改时, 首先检查它是否与G B/T2 2 0 8 12 0 1 6中已有控制目标、 控制、 实现指南和( 或) 其他信息相关。如果是相关的, 补充或修改新控制目标、 控制、 实现指南和( 或) 其他信息 到G B/T2 2 0 8 12 0 1 6相关的 章节中并 相应编号。如果不相 关, 将补充条目 放置到G B/T2 2 0 8 12 0 1 6已有章节、 控制

27、目标或控制之后。插入以下文本。对G B/T2 2 0 8 12 0 1 6所有的章节、 控制目标、 控制、 实现指南和其他信息, 未在下面列出的, 仍适用。通过插入以下文本来表示补充到G B/T2 2 0 8 12 0 1 6的具体行业章节。G B/T2 2 0 8 12 0 1 6的章节补充如下:通过在恰当章节之后插入以下文本来表示补充到G B/T2 2 0 8 12 0 1 6的具体行业控制目标。G B/T2 2 0 8 12 0 1 6 的控制目标补充如下:通过在恰当的控制目标之后插入以下文本来表示补充到G B/T2 2 0 8 12 0 1 6的具体行业控制; 确保控制目标反映补充的具

28、体行业控制, 并确保该补充不会使任何已有控制失效。补充到G B/T2 2 0 8 12 0 1 6 的控制补充如下:当修改控制目标、 控 制、 实现指南 或其他信息 时 ( 例 如 通 过 修 改 或 补 充 到 已 有 文 本) , 根 据G B/T2 2 0 8 12 0 1 6要求重新进行理解。根据需要插入以下任一项来表示对G B/T2 2 0 8 12 0 1 6中控制目标或控制的具体行业修改。 修改如下:或 修改如下:6G B/T3 8 6 3 12 0 2 0如果已有控制未被修改, 仅给出补充的指南, 根据需要插入以下标题之一。G B/T2 2 0 8 12 0 1 6 的实现指南

29、补充如下:G B/T2 2 0 8 12 0 1 6 的其他信息补充如下:建议使用斜体表示补充的或修改的文本。如果具体行业标准具有根据G B/T2 2 0 8 12 0 1 6补充的或者修改的具体行业章节、 控制目标或控制, 以与G B/T2 2 0 8 12 0 1 6附录A相同的方式构建规范性附录A, 并在适用时用“ 应” 代替“ 宜” 。附录的名称和标题如下。附录A( 规范性附录)-具体参考控制目标和控制下面介绍表A.1。表A.1中所列的补充或修改的控制目标和控制, 是直接来源于本标准并与之相对应, 并用于本标准细化的G B/T2 2 0 8 02 0 1 6,6.1.3环境中。7G B

30、/T3 8 6 3 12 0 2 0附 录 B( 资料性附录)面向医疗行业的信息安全管理体系指南示例B.1 说明本附录参考I S O2 7 7 9 9:2 0 1 6, 依据信息安全管理体系在医疗行业具体应用实践, 形成面向医疗行业的信息安全管理体系标准。其中“5 与G B/T2 2 0 8 12 0 1 6相关的医疗行业指南” 中, 从I S O2 7 7 9 9:2 0 1 6的5.1.1、6.1.5和9.1.1选取部分控制、 实现指南和其他信息, 补充或修改后作为医疗行业指南示例。本附录的目的不是为了形成完善的面向医疗行业的信息安全管理体系指南, 仅是给出面向行业的信息安全管理体系指南的

31、示例, 便于理解本标准并推动本标准落地实施。B.2 面向医疗的信息安全管理体系如下为依据附录A选取医疗行业给出的面向医疗行业的信息安全管理体系指南。1 范围本标准规定了G B/T2 2 0 8 0应用于医疗行业时补充、 细化和作出解释的要求, 以及和G B/T2 2 0 8 1应用于医疗行业时补充和修改的指南。本标准适用于医疗行业构建包含其特定要求的信息安全管理体系。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件, 仅注日期的版本适用于本文件。凡是不注日期的引用文件, 其最新版本( 包括所有的修改单) 适用于本文件。G B/T2 2 0 8 02 0 1 6 信息

32、技术 安全技术 信息安全管理体系 要求(I S O/I E C2 7 0 0 1:2 0 1 3,I D T)G B/T2 2 0 8 12 0 1 6 信息技术 安全技术 信息安全控制实践指南(I S O/I E C2 7 0 0 2:2 0 1 3,I D T)G B/T2 9 2 4 62 0 1 7 信息技术 安全技术 信息安全管理体系 概述和词汇(I S O/I E C2 7 0 0 0:2 0 1 6,I D T)3 术语和定义G B/T2 9 2 4 62 0 1 7界定的术语和定义适用于本文件。4 与G B/T2 2 0 8 0相关的医疗行业要求4.1 本标准结构本标准是与G

33、B/T2 2 0 8 0相关的具体行业标准。医疗行业具体参考控制目标和控制参见附录A。4.2 医疗行业要求对G B/T2 2 0 8 02 0 1 6第4章第1 0章的所有要求, 未在下面列出的, 仍适用。G B/T2 2 0 8 02 0 1 6要求7.1解释如下:在医疗行业, 机构应提供信息安全管理体系所需的医疗专业人员、 医疗设备、 场地、 医疗信息系统、 办公设备等医疗资源。8G B/T3 8 6 3 12 0 2 0 G B/T2 2 0 8 02 0 1 6要求7.2细化如下:医疗行业机构工作人员应:a) 定期核查经过专业认证的医疗专业人员的能力, 可通过测试、 现场操作等方式进行

34、;b) 定期组织相关医疗专业能力培训、 进修等相关活动, 组织新进人员参加相关培训、 进修活动,并对参加活动人员进行考核后方可进行上岗;c) 对医疗专业人员的考核成绩进行定期分析, 作为后续开展核查、 培训等工作的依据。G B/T2 2 0 8 02 0 1 6中7.3补充如下:医疗行业机构工作人员应了解个人医疗信息保护的相关政策和要求。G B/T2 2 0 8 02 0 1 6中6.1.3c) 的要求细化如下:将6.1.3b) 确定的控制、G B/T2 2 0 8 02 0 1 6中附录A以及本文件附录A中的控制进行比较, 并验证没有忽略必要的控制。G B/T2 2 0 8 02 0 1 6

35、中6.1.3d) 的要求细化如下:制定一个适用性声明, 包含: 必要的控制 见G B/T2 2 0 8 02 0 1 6,6.1.3b) 和c) ; 选择这些控制的合理性说明( 无论这些必要的控制是否已实现) ; 对G B/T2 2 0 8 02 0 1 6中附录A或本文件附录A中的控制删减的合理性说明。5 与G B/T2 2 0 8 12 0 1 6相关的医疗行业指南对G B/T2 2 0 8 12 0 1 6所有的章节、 控制目标、 控制、 实现指南和其他信息, 未在下面列出的, 仍适用。G B/T2 2 0 8 12 0 1 6中5.1.1 信息安全策略 修改如下:处理医疗信息( 包括个

36、人医疗信息) 的组织, 需有书面的信息安全策略, 由管理者批准, 并发布传达给所有医疗人员和外部相关方。G B/T2 2 0 8 12 0 1 6中6.1.5 项目管理中的信息安全 的控制补充如下:在涉及个人医疗信息处理的项目中, 医疗项目管理宜将患者安全视为项目风险。G B/T2 2 0 8 12 0 1 6中6.1.5 项目管理中的信息安全 实现指南补充如下:在涉及个人医疗信息处理的项目中, 患者安全是项目风险评估的重要组成部分。需对患者安全的风险进行仔细的分析和明确的处理。G B/T2 2 0 8 12 0 1 6中9.1.1 访问控制策略 的其他信息补充如下:关于医疗保健相关应用程序的

37、访问控制的补充指南参见I S O2 2 6 0 0。附录A( 规范性附录)医疗行业具体参考控制目标和控制表A.1中所列的补充或修改的控制目标和控制, 是直接来源于本标准并与之相对应, 并用于本标准细化的G B/T2 2 0 8 02 0 1 6,6.1.3环境中。表A.1 补充或修改的控制目标和控制A.5 信息安全策略A.5.1 信息安全管理指导A.5.1.1信息安全策略医疗行业控制( 修改)处理医疗信息( 包括个人医疗信息) 的组织, 需有书面的信息安全策略, 由管理者批准, 并发布传达给所有医疗人员和外部相关方。9G B/T3 8 6 3 12 0 2 0表A.1( 续)A.6 信息安全组

38、织A.6.1 内部组织A.6.1.1项目管理中的信息安全医疗行业控制( 补充)在涉及个人医疗信息处理的项目中, 医疗项目管理宜将患者安全视为项目风险。01G B/T3 8 6 3 12 0 2 0参 考 文 献 1 G B/T 4 7 5 42 0 1 7 国民经济行业分类2 G B/T3 2 9 2 02 0 1 6 信 息 技 术 安 全 技 术 行 业 间 和 组 织 间 通 信 的 信 息 安 全 管 理(I E C2 7 0 1 0:2 0 1 2;I D T)3 I S O/I E CD i r e c t i v e s,P a r t 1,C o n s o l i d a t

39、 e dI S OS u p p l e m e n t,2 0 1 64 I S O2 2 6 0 0 H e a l t h i n f o r m a t i c sP r i v i l e g eM a n a g e m e n t a n da c c e s sc o n t r o l5 I S O/I E C2 7 0 1 1:2 0 0 8 I n f o r m a t i o nt e c h n o l o g yS e c u r i t yt e c h n i q u e sI n f o r m a t i o ns e c u r i t ym a n a

40、 g e m e n tg u i d e l i n e s f o r t e l e c o mm u n i c a t i o n so r g a n i z a t i o n sb a s e do nI S O/I E C2 7 0 0 26 I S O/I E C2 7 0 1 7:2 0 1 5 I n f o r m a t i o nt e c h n o l o g yS e c u r i t yt e c h n i q u e sC o d eo fp r a c t i c ef o ri n f o r m a t i o ns e c u r i t y

41、c o n t r o l sb a s e do nI S O/I E C2 7 0 0 2f o rc l o u ds e r v i c e s7 I S O/I E C2 7 0 1 8:2 0 1 4 I n f o r m a t i o nt e c h n o l o g yS e c u r i t yt e c h n i q u e sC o d eo fp r a c t i c ef o rp r o t e c t i o no fp e r s o n a l l y i d e n t i f i a b l e i n f o r m a t i o n(P

42、 I I)i np u b l i cc l o u d sa c t i n ga sP I Ip r o c e s s o r s8 I S O2 7 7 9 9:2 0 1 6 H e a l t hi n f o r m a t i c sI n f o r m a t i o ns e c u r i t ym a n a g e m e n t i nh e a l t hu s i n gI S O/I E C2 7 0 0 2G B/T3 8 6 3 12 0 2 0020213683T/BG中华人民共和国国家标准信息技术 安全技术G B/T2 2 0 8 0具体行业应用 要求G B/T3 8 6 3 12 0 2 0*中 国 标 准 出 版 社 出 版 发 行北京市朝阳区和平里西街甲2号(1 0 0 0 2 9)北京市西城区三里河北街1 6号(1 0 0 0 4 5)网址:www.s p c .o r g .c n服务热线:4 0 0 - 1 6 8 - 0 0 1 02 0 2 0年4月第一版*书号:1 5 5 0 6 61 - 6 4 4 1 6版权专有 侵权必究