ICS35.040 L80 GB 中华人民共和国国家标准 GB/T22080-2016/ISO/IEC27001:2013 代替GB/T22080—2008 信息技术 安全技术 信息安全管理体系要求 Information technology-Security techniques-Information security management systems-Requirements (ISO/IEC27001:2013 IDT) 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T22080-2016/ISO/IEC27001:2013 目 次 前言 Ⅲ 引言 V 1范围 1 2规范性引用文件 1 3术语和定义 1 4组织环境 1 4.1理解组织及其环境 1 4.2理解相关方的需求和期望 4.3确定信息安全管理体系范围 1 4.4信息安全管理体系 2 5领导 2 5.1领导和承诺 2 5.2方针 2 5.3组织的角色,责任和权限 2 6规划 2 6.1应对风险和机会的措施 2 6.2信息安全目标及其实现规划 4 7支持 4 7.1资源 4 7.2能力 4 7.3意识 4 7.4沟通 4 7.5文件化信息 5 8运行 5 8.1运行规划和控制 5 8.2信息安全风险评估 5 8.3信息安全风险处置 6 9绩效评价 6 9.1监视、测量、分析和评价 6 9.2内部审核 6 9.3管理评审 10改进 7 10.1不符合及纠正措施 .7 10.2持续改进 7 附录A(规范性附录)参考控制目标和控制 8 I GB/T22080-2016/ISO/IEC27001:2013 前言 本标准按照GB/T1.1一2009给出的规则起草. 本标准代替GB/T22080一2008《信息技术安全技术信息安全管理体系要求》. 与GB/T22080一2008相比,主要技术变化如下: 一结构变化见附录NA; 一术语变化见附录NB. 本标准使用翻译法等同采用ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要 求》. 与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下: —GB/T29246一2012信息技术安全技术信息安全管理体系概述和词汇 (ISO/IEC27000:2009 IDT) 本标准做了下列编辑性修改: —增加了资料性附录NA; —增加了资料性附录NB. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任. 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口. 本标准起草单位:中国电子技术标准化研究院、中电长城网际系统应用有限公司、中国信息安全认 证中心、山东省标准化研究院、广州赛宝认证中心服务有限公司、北京江南天安科技有限公司、上海三零 卫士信息安全有限公司、中国合格评...