GB/T 22080-2025 网络安全技术信息安全管理体系要求.pdf

文档页数：21

文档大小：610.62KB

文档格式：pdf

文档分类：推荐性国家标准

上传会员：cook

上传日期：2025-11-21

最后更新：2025-11-21

中华人民共和国国家标准

GB/T 22080-2025/ISO/IEC27001:2022代替GB/T 22080-2016

网络安全技术信息安全管理体系要求

Cybersecurity technology-Information securitymanagement systems-Requirements

(ISO/IEC 27001:2022 Information security，cybersecurity and privacyprotection-Information security management systems-Requirements，IDT)

国家标准化管理委员会国家市场监督管理总局发布

4.1理解组织及其环境4.2理解相关方的需求和期望 4.3确定信息安全管理体系范围4.4信息安全管理体系

5领导

5.1领导和承诺5.2方针5.3组织的角色、责任和权限

6规划.

6.1应对风险和机会的措施6.2信息安全目标及其实现规划6.3针对变更的规划

7.1资源7.2能力7.3意识7.4沟通7.5文件化信息

8运行

8.1运行规划和控制8.2信息安全风险评估8.3信息安全风险处置

9.2内部审核 9.1监视、测量、分析和评价9.3管理评审

10.2不符合与纠正措施 10.1持续改进附录A（规范性）信息安全控制参考参考文献 16

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草.

2016相比，除编辑性改动外，主要技术变化如下：本文件代替GB/T22080一2016信息技术安全技术信息安全管理体系要求3，与GB/T22080

（）（b）增加了“组织应确定哪些要求将通过信息安全管理体系来解决"见4.2c）]；c）更改了“信息安全风险处置“中适用性声明相关要求[见6.1.3d）.2016年版的6.1.3d）]；d）增加了“针对变更的规划”要求（见6.3）； e）更改了信息安全控制参考，包括对部分原有的控制进行合并、增加新的控制和调整控制的展示

方式（见附录A，2016年版的附录A）.

本文件等同采用ISO/IEC27001：2022《信息安全、网络安全和隐私保护信息安全管理体系要求》.

本文件做了下列最小限度的编辑性改动：

一为与我国技术标准体系协调，标准名称改为《网络安全技术信息安全管理体系要求》：

纳人ISO/IEC27001：2022/Amd1：2024《信息安全、网络安全和隐私保护信息安全管理体系要求》修正案1：与气候行动相关的变化，并用双垂线在对应有变化的条款外侧标示.

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任.

本文件起草单位：中国电子技术标准化研究院、中国合格评定国家认可中心、中国网络安全审查认证和市场监管大数据中心、北京安信天行科技有限公司、中国信息安全测评中心、黑龙江省网络空间研究中心、中电长城网际系统应用有限公司、山东省标准化研究院、亚信科技（成都）有限公司、深圳市腾讯计算机系统有限公司、南方电网数字电网集团信息通信科技有限公司、中国烟草总公司湖北省公司、北京天融信网络安全技术有限公司、唯品会（中国）有限公司、杭州安恒信息技术股份有限公司、广州赛宝认证中心服务有限公司、中国船级社质量认证有限公司、北京赛西认证有限责任公司、启明星辰信息技术集团股份有限公司、北京中金云网科技有限公司、浙江网商银行股份有限公司、北京时代新威信息技术有限公司、中国石油天然气股份有限公司西北销售分公司.

王琰、曲家兴、方舟、白瑞、杨霄璇、闵京华、白旭东、王姣、朱雪峰、公伟、廖双晓、刘震宇、王琼、杨斯可、本文件主要起草人：许玉娜、付志高、王秉政、林阳荟晨、尤其、魏立茹、翟亚红、陈青民、陆丽、杨婧婧、寇增杰、周禹、王拓、鲁立、孙毅、赵丽华、杨天识、程燕、史艳语、王连强、谢建林、刘杰、于慧超.

本文件及其所代替文件的历次版本发布情况为：

2008年首次发布为GB/T22080-2008 2016年第一次修订；

本次为第二次修订.

引言

0.1概述

织的一项战略性决策.组织信息安全管理体系的建立和实现受组织的需求和目标、安全要求、组织所采本文件提供了建立、实现、维护和持续改进信息安全管理体系的要求，采用信息安全管理体系是组用的过程、规模和结构的影响，这些影响因素可能随时间发生变化.

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并为相关方树立风险得到充分管理的信心.

对组织而言，重要的是要将信息安全管理体系整合到组织的过程和整体管理结构中，使之成为后者的一部分，并在组织的过程、信息系统和控制的设计中要考虑信息安全.信息安全管理体系的实现程度是要与组织的需求相符合.

本文件能被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求.

仅是为了方便引用. 本文件表述要求的顺序并不反映各要求的重要性，也不意味着实现这些要求时的顺序.条款编号

ISO/IEC27000描述了信息安全管理体系的概述和词汇，引用了信息安全管理体系标准族（包括ISO/IEC27003ISO/IEC27004和ISO/IEC27005)，以及相关术语和定义.

0.2与其他管理体系标准的兼容性

本文件应用ISO/IECDirectives，Part1附录SL定义的高层结构、相同条款标题、相同文本、通用术语和核心定义，因此维护了与其他采用附录SL的管理体系标准的兼容性.

用的. 附录SL中定义的通用途径对于选择运行单一管理体系来满足多个管理体系标准要求的组织是有

资源链接请先登录（扫码可直接登录、免注册）

①本文档内容版权归属内容提供方。如果您对本资料有版权申诉，请及时联系我方进行处理（联系方式详见页脚）。
②由于网络或浏览器兼容性等问题导致下载失败，请加客服微信处理（详见下载弹窗提示），感谢理解。
③本资料由其他用户上传，本站不保证质量、数量等令人满意，若存在资料虚假不完整，请及时联系客服投诉处理。
④本站仅收取资料上传人设置的下载费中的一部分分成，用以平摊存储及运营成本。本站仅为用户提供资料分享平台，且会员之间资料免费共享（平台无费用分成），不提供其他经营性业务。

投稿会员：cook