ICS35030

CCSL.80

中華人民共和國國家標準

GB/T22081—2024/ISO/IEC270022022

:

代替GB/T22081—2016

網絡安全技術信息安全控制

Cybersecuritytechnology—Informationsecuritycontrols

ISO/IEC270022022Informationsecuritcbersecuritand

(:,y,yy

rivacrotection—InformationsecuritcontrolsIDT

pypy,)

2024-09-29發布2025-04-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T22081—2024/ISO/IEC270022022

:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規范性引用文件

2…………………………1

術語定義和縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………5

文件結構

4…………………6

章條設置

4.1……………6

主題和屬性

4.2…………………………7

控制的設計

4.3…………………………7

組織控制

5…………………8

信息安全策略

5.1………………………8

信息安全角色和責任

5.2………………10

職責分離

5.3……………11

管理責任

5.4……………12

與職能機構的聯系

5.5…………………13

與特定相關方的聯系

5.6………………13

威脅情報

5.7……………14

項目管理中的信息安全

5.8……………15

信息及其他相關資產的清單

5.9………………………17

信息及其他相關資產的可接受使用

5.10……………18

資產歸還

5.11…………………………19

信息分級

5.12…………………………20

信息標記

5.13…………………………21

信息傳輸

5.14…………………………23

訪問控制

5.15…………………………25

身份管理

5.16…………………………26

鑒別信息

5.17…………………………27

訪問權限

5.18…………………………29

供應商關系中的信息安全

5.19………………………30

在供應商協議中強調信息安全

5.20…………………32

管理信息通信技術供應鏈中的信息安全

5.21………34

Ⅰ

GB/T22081—2024/ISO/IEC270022022

:

供應商服務的監視評審和變更管理

5.22、……………35

云服務使用的信息安全

5.23…………37

信息安全事件管理規劃和準備

5.24…………………38

信息安全事態的評估和決策

5.25……………………40

信息安全事件的響應

5.26……………41

從信息安全事件中學習

5.27…………42

證據收集

5.28…………………………42

中斷期間的信息安全

5.29……………43

業務連續性的信息通信技術就緒

5.30………………44

法律法規規章和合同要求

5.31、、……………………46

知識產權

5.32…………………………47

記錄的保護

5.33………………………48

隱私和個人可識別信息保護

5.34……………………49

信息安全的獨立評審

5.35……………50

符合信息安全的策略規則和標準

5.36、………………51

文件化的操作規程

5.37………………52

人員控制

6…………………53

審查

6.1…………………53

任用條款和條件

6.2……………………54

信息安全意識教育和培訓

6.3、………………………55

違規處理過程

6.4………………………57

任用終止或變更后的責任

6.5…………58

保密或不泄露協議

6.6…………………59

遠程工作

6.7……………60

信息安全事態的報告

6.8………………61

物理控制

7…………………62

物理安全邊界

7.1………………………62

物理入口

7.2……………63

辦公室房間和設施的安全保護

7.3、…………………64

物理安全監視

7.4………………………65

物理和環境威脅防范

7.5………………66

在安全區域工作

7.6……………………67

清理桌面和屏幕

7.7……………………68

設備安置和保護

7.8……………………69

組織場所外的資產安全

7.9……………70

存儲媒體

7.10…………………………71

支持性設施

7.11………………………72

Ⅱ

GB/T22081—2024/ISO/IEC270022022

:

布纜安全

7.12…………………………73

設備維護

7.13…………………………74

設備的安全處置或重復使用

7.14……………………75

技術控制

8…………………76

用戶終端設備

8.1………………………76

特許訪問權限

8.2………………………78

信息訪問限制

8.3………………………79

源代碼的訪問

8.4………………………80

安全鑒別

8.5……………81

容量管理

8.6……………83

惡意軟件防范

8.7………………………84

技術脆弱性管理

8.8……………………85

配置管理

8.9……………88

信息刪除

8.10…………………………90

數據脫敏

8.11…………………………91

數據防泄露

8.12………………………92

信息備份

8.13…………………………93

信息處理設施的冗余

8.14……………95

日志

8.15………………96

監視活動

8.16…………………………98

時鐘同步

8.17…………………………100

特權實用程序的使用

8.18……………100

運行系統軟件的安裝

8.19……………101

網絡安全

8.20…………………………102

網絡服務的安全

8.21…………………104

網絡隔離

8.22…………………………105

網頁過濾

8.23…………………………106

密碼技術的使用

8.24…………………106

安全開發生存周期

8.25………………108

應用程序安全要求

8.26………………109

系統安全架構和工程原則

8.27………………………111

安全編碼

8.28…………………………113

開發和驗收中的安全測試

8.29………………………115

開發外包

8.30…………………………116

開發測試和生產環境的隔離

8.31、…………………117

變更管理

8.32…………………………118

測試信息

8.33…………………………119

Ⅲ

GB/T22081—2024/ISO/IEC270022022

:

在審計測試中保護信息系統

8.34……………………120

附錄資料性屬性的使用

A()…………122

概述

A.1………………122

組織視圖

A.2…………………………132

附錄資料性本文件與的對應關系

B()GB/T22081—2016………133

參考文獻

……………………143

Ⅳ

GB/T22081—2024/ISO/IEC270022022

:

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術安全技術信息安全控制實踐指南與

GB/T22081—2016《》,GB/T22081—

相比除結構調整和編輯性改動外主要技術變化如下

2016,,:

對控制進行了合并刪除同時也增加了新的控制與對應關系見附錄

———、,,GB/T22081—2016B。

本文件等同采用信息安全網絡安全和隱私保護信息安全控制

ISO/IEC27002:2022《、》。

本文件做了下列最小限度的編輯性改動

:

為與現有網絡安全國家標準協調一致標準名稱調整為網絡安全技術信息安全控制

———,《》。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由全國網絡安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位北京賽西科技發展有限責任公司中國合格評定國家認可中心中電長城網際系

:、、

統應用有限公司中國網絡安全審查技術與認證中心北京賽西認證有限責任公司北京時代新威信息

、、、

技術有限公司北京江南天安科技有限公司山東省標準化研究院四川大學杭州安恒信息技術股份有

、、、、

限公司黑龍江省網絡空間研究中心上海浦東發展銀行股份有限公司信用卡中心北京百度網訊科技

、、、

有限公司亞信科技成都有限公司工業互聯網創新中心上海有限公司阿里云計算有限公司聯想

、()、()、、

北京有限公司深信服科技股份有限公司啟明星辰信息技術集團股份有限公司麒麟軟件有限公司

()、、、、

易航科技股份有限公司華夏認證中心有限公司北京數安行科技有限公司上海觀安信息技術股份有

、、、

限公司網安聯信息技術有限公司北京天融信網絡安全技術有限公司國家信息技術安全研究中心北

、、、、

京藍象標準咨詢服務有限公司廈門美柚股份有限公司長揚科技北京股份有限公司浪潮電子信息

、、()、

產業股份有限公司中科信息安全共性技術國家工程研究中心有限公司陜西省網絡與信息安全測評中

、、

心美的集團股份有限公司中能融合智慧科技有限公司北京神州綠盟科技有限公司華為技術有限公

、、、、

司北京時代億信科技股份有限公司北京源堡科技有限公司國網新疆電力有限公司電力科學研究院

、、、、

北京快手科技有限公司

。

本文件主要起草人上官曉麗王姣王秉政甘俊杰付志高閔京華尤其趙麗華許玉娜

:、、、、、、、、、

王連強陳冠直朱雪峰公偉林陽薈晨胡勇趙玉潔陳星李銳王寒生鐵錦程李文清郭建領

、、、、、、、、、、、、、

廖雙曉秦峰黃正艷施辰琛劉晨楊天識楊詔鈞趙翔夏芳劉玉紅謝江阮懿宗謝琴朱松

、、、、、、、、、、、、、、

肖婷婷張德保黃鵬華張亞京高麗琴胡建勛楊帆張亮亮劉長川程潞樣張喆易天舒俞曉昕

、、、、、、、、、、、、、

顧俊鄒振婉劉海軍袁瑩穎王昕

、、、、。

本文件及其所代替文件的歷次版本發布情況為

:

年首次發布為年第一次修訂

———2008GB/T22081—2008,2016;

本次為第二次修訂

———。

Ⅴ

GB/T22081—2024/ISO/IEC270022022

:

引言

01背景

.

本文件適用于所有類型和規模的組織組織在實施基于信息安全管理體系的信息安

。GB/T22080

全風險處置時本文件作為其確定和實施所需控制的參考本文件還作為組織在確定和實施普遍接受的

,;

信息安全控制時的指導文件此外本文件還能用于針對行業或組織的具體信息安全風險環境編制其

。,

信息安全管理指南除本文件包含的控制外能通過風險評估來確定特定于組織或環境所需要的控制

。,。

所有類型和規模的組織包括公共和私營部門商業和非營利性組織都會以多種形式創建收集

(、)、、

處理存儲傳輸和處置信息包括電子的物理的和口頭的如對話會話和演示

、、,、(/)。

信息的價值超出了文字數字和圖像的本身如知識概念觀點和品牌都是無形信息在互聯的世

、:、、。

界中信息和相關資產都值得或需要保護以防范各種風險源無論該風險是源自自然界還是意外或故

,,,,

意破壞

。

信息安全是通過實施一組適宜的控制來實現的包括策略規則過程規程組織結構和軟硬件功

,、、、、

能組織宜在必要時定義實施監視評審和改進這些控制以滿足其特定的安全和業務目標

。、、、,。

中規定的信息安全管理體系從整體協調的視角審視組織的信息安全風險在協調

GB/T22080(ISMS)、,

一致的管理體系總框架內確定和實施一套全面的信息安全控制

。

對照所規定的和本文件許多信息系統包括其管理和運營尚未被設計為安

GB/T22080ISMS,,,

全的在進行風險處置時需要仔細規劃注意細節來確定實施哪些控制

。,、,。

成功的需要得到組織內所有人員的支持還可能需要股東或供應商等其他相關方的參與同

ISMS,,

時也可能需要業內專家的建議

。

一個適宜充分和有效的信息安全管理體系為組織的管理層及其他相關方提供以下保證它們的

、,:

信息及其他相關資產處于合理的安全狀態并免受威脅和損害從而使組織能夠實現既定的業務目標

,。

02信息安全要求

.

組織確定其信息安全要求是必要的信息安全要求有三個主要來源

。。

考慮組織的整體業務戰略與目標來對組織風險進行評估這能通過特定于信息安全的風險評

a)。

估來給予幫助或支持這宜得出對必要控制的確定以確保組織面臨的殘余風險符合其風險

。,

接受準則

。

組織及其相關方貿易伙伴服務提供者等必須遵守的法律法規規章和合同要求及其社會

b)(、)、、

文化環境

。

組織為支持其運行而為信息生存周期的所有步驟所建立的一整套原則目標和業務要求

c)、。

03控制

.

控制的定義是改變或維持風險的措施本文件中的某些控制是修改風險而其他控制則是維持風

。,

險例如信息安全方針只能維持風險而遵守信息安全方針則能改變風險此外某些控制描述了不

。,,。,

同風險環境下相同的通用措施本文件提供了源于國際公認最佳實踐的一系列組織人員物理和技術

。、、

信息安全控制

。

Ⅵ

GB/T22081—2024/ISO/IEC270022022

:

04控制的確定

.

控制的確定取決于組織在風險評估后做出的決策并有一個明確定義的范圍與已識別風險相關

,。

的決策宜基于風險接受準則風險處置選項和組織所采用的風險管理方法控制的確定還宜考慮所有

、。

相關的國家和國際法律法規控制的確定還取決于不同控制的協同以實現縱深防御

。,。

組織能根據需要來設計控制或從任何來源識別控制在制定此類控制時組織宜考慮實施和運行一

,。,

項控制所需的資源和投資與該控制所能實現的業務價值之間的比較請參見其提供

。ISO/IECTR27016,

了在資源需求競爭的情況下做出投資決策以及這些決策的經濟后果的指南

ISMS。

在為實施控制而部署的資源與因缺乏這些控制而發生安全事件所導致的潛在業務影響之間宜取得

平衡風險評估的結果宜有助于指導和確定適當的管理措施管理信息安全風險的優先順序以及實施

。、,

為防范這些風險而確定的必要控制

。

本文件中的某些控制能被視為信息安全管理的指導原則適用于大多數組織有關確定控制和其

,。

他風險處置選項的更多信息參見

ISO/IEC27005。

05編制特定于組織的指南

.

本文件能被視為制定特定于組織的指南的出發點本文件中并非所有的控制和指南都適用所有組

。

織組織還可能需要本文件中未包含的額外控制和指南以滿足其具體需求和解決已識別到的風險

。,。

在編制包含額外的指南或控制的文件時給出與本文件條款間的交叉引用有助于日后參考

,,。

06生存周期的考慮

.

信息具有從創建到銷毀的生存周期在其整個生存周期中信息的價值和其面臨的風險可能會變

。,

化例如未經授權披露或竊取公司財務賬戶在公布后并不重要但完整性仍然至關重要因此在所有

(,,),,

階段信息安全都很重要

。

與信息安全相關的信息系統和其他資產具有生存周期包括構思規范設計開發測試實施使

,、、、、、、

用維護并最終退役和銷毀每個階段均宜考慮信息安全新的系統開發項目和對現有系統的變更能

、。。,

考慮組織面臨的風險和從安全事件中吸取的經驗教訓