標準解讀

《GB/T 38631-2020 信息技術 安全技術 GB/T 22080具體行業(yè)應用 要求》是一項國家標準,旨在為特定行業(yè)的信息安全管理體系提供指導。該標準基于ISO/IEC 27001(即GB/T 22080)的基礎上,進一步細化了針對不同行業(yè)特點的信息安全管理要求,使得組織能夠根據自身所處的行業(yè)特性來建立、實施、維護和持續(xù)改進其信息安全管理系統(tǒng)。

標準涵蓋了多個方面的要求,包括但不限于:

  • 風險評估與處理:規(guī)定了如何識別、分析并評價信息資產面臨的風險,并采取適當措施進行管理和控制。
  • 訪問控制:明確了對信息系統(tǒng)及數據訪問權限的管理原則,確保只有授權人員才能訪問敏感信息。
  • 加密技術的應用:對于需要保護的數據,在傳輸或存儲時采用適當的加密手段以增強安全性。
  • 業(yè)務連續(xù)性管理:強調了制定應急預案的重要性,確保即使在遭遇突發(fā)事件時也能維持關鍵業(yè)務功能的運行。
  • 供應商關系管理:提出了對外包服務提供商的安全管理要求,保證第三方接入不會成為安全漏洞。
  • 合規(guī)性:確保組織遵守所有適用的法律法規(guī)以及合同義務中的信息安全條款。


如需獲取更多詳盡信息,請直接參考下方經官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執(zhí)行有效
  • 2020-04-28 頒布
  • 2020-11-01 實施
?正版授權
GB/T 38631-2020信息技術安全技術GB/T 22080具體行業(yè)應用要求_第1頁
GB/T 38631-2020信息技術安全技術GB/T 22080具體行業(yè)應用要求_第2頁
GB/T 38631-2020信息技術安全技術GB/T 22080具體行業(yè)應用要求_第3頁
GB/T 38631-2020信息技術安全技術GB/T 22080具體行業(yè)應用要求_第4頁
免費預覽已結束,剩余12頁可下載查看

下載本文檔

GB/T 38631-2020信息技術安全技術GB/T 22080具體行業(yè)應用要求-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T38631—2020

信息技術安全技術

GB/T22080具體行業(yè)應用要求

Informationtechnology—Securitytechniques—

Sector-specificapplicationofGB/T22080—Requirements

(ISO/IEC27009:2016,Informationtechnology—Securitytechniques—

Sector-specificapplicationofISO/IEC27001—Requirements,MOD)

2020-04-28發(fā)布2020-11-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T38631—2020

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

概述

4………………………1

總則

4.1…………………1

本標準結構

4.2…………………………2

擴展要求或控制

4.3GB/T22080GB/T22081……………………2

補充細化或解釋要求

5、GB/T22080……………………2

總則

5.1…………………2

補充要求

5.2……………3

細化要求

5.3……………3

解釋要求

5.4……………3

補充或修改指南

6GB/T22081…………3

總則

6.1…………………3

補充指南

6.2……………4

修改指南

6.3……………4

附錄規(guī)范性附錄制定與或相關的具體行業(yè)標準

A()GB/T22080—2016GB/T22081—2016

的模板

……………5

附錄資料性附錄面向醫(yī)療行業(yè)的信息安全管理體系指南示例

B()…………………8

參考文獻

……………………11

GB/T38631—2020

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準使用重新起草法修改采用信息技術安全技術具

ISO/IEC27009:2016《ISO/IEC27001

體行業(yè)應用要求

》。

本標準與的技術性差異及其產生的原因如下

ISO/IEC27009:2016:

范圍增加本標準適用于制定與相關的具體行業(yè)標準見第章

———“GB/T22080”(1);

刪除之外的組織也制定了實現具體行業(yè)需求的標準

———4.1“ISO/IEC”;

增加依據附錄面向醫(yī)療行業(yè)的信息安全管理體系指南示例參見附錄見

———“A,B”(4.2);

附錄的刪除具體行業(yè)標準宜命名如下面向行業(yè)的信息安全管理體系

———AA.1“:<>”;

附錄的模板中和的控制目標號控制目標標題和控制號控制標題改為

———AA.2,4.25<><><><>

控制目標號控制目標標題控制號控制標題以避免標題與其后文字混淆

<>[<>]、<>[<>],;

附錄的模板中和中對行業(yè)至少使用三個字母作為前綴改為對行業(yè)使用國

———AA.2,4.25,“”“

民經濟行業(yè)名稱見作為前綴中強制實施的控制使用作為控

(GB/T4754—2017)”,4.2,“(M)

制編號的前綴改為使用強制作為控制編號的前綴

”“()”。

本標準做了下列編輯性修改

:

增加了參考文獻和

———ISO27799:2016ISO22600;

增加資料性附錄面向醫(yī)療行業(yè)的信息安全管理體系指南示例有利于標準落地實施

———B“”,。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位山東省標準化研究院中國網絡安全審查技術與認證中心成都秦川物聯網科技

:、、

股份有限公司陜西省網絡與信息安全測評中心山東崇弘信息技術有限公司

、、。

本標準主要起草人王曙光魏軍王慶升公偉張斌來永鈞邵澤華趙首花楊銳尤其郭楊

:、、、、、、、、、、、

權亞強李怡何果路津李紅勝路征陳慧勤劉勘偽于秀彥胡鑫磊王棟劉鑫

、、、、、、、、、、、。

GB/T38631—2020

信息技術安全技術

GB/T22080具體行業(yè)應用要求

1范圍

本標準規(guī)定了應用于具體行業(yè)領域應用時的要求本標準解釋了如何在

GB/T22080(、)。

要求上包含補充要求如何細化的要求以及如何包含附

GB/T22080,GB/T22080,GB/T22080—2016

錄之外的控制或控制集

A。

本標準確保補充的或細化的要求與的要求不沖突

GB/T22080。

本標準適用于制定與相關的具體行業(yè)標準

GB/T22080。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術信息安全管理體系要求

GB/T22080—2016(ISO/IEC27001:2013,

IDT)

信息技術安全技術信息安全控制實踐指南

GB/T22081—2016(ISO/IEC27002:2013,IDT)

信息技術安全技術信息安全管理體系概述和詞匯

GB/T29246—2017(ISO/IEC27000:

2016,IDT)

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T29246—2017。

31

.

解釋interpretation

在具體行業(yè)背景下對要求的說明以要求或指南的形式該說明不會使

GB/T22080(),GB/T22080

的要求失效

。

32

.

細化refinement

要求在具體行業(yè)的詳述該詳述不會刪除任一要求或

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發(fā)行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍底稚唐返奶厥庑?,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論