整理云计算安全标准和规范

国家标准《信息技术安全技术GBT220802016

具体行业应

整理表

姓名:

职业工种:

申请级别:

受理机构:

填报日期:

A4打印/ 修订/ 内容可编辑

国家标准《信息技术安全技术 GB/T 22080-2016具体行业应用要求》（征求意见稿）编制说明

一、工作简况

根据国家标准化管理委员会“关于下达2017年第四批国家标准制修订计划的通知（国标委综合〔2017〕128号）”的安排，由山东省标准化研究院负责起草《信息技术安全技术 GB/T 22080-2016具体行业应用要求》国家标准，该标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口，该标准计划号为：20173858-T-469。

本标准主要起草单位包括：山东省标准化研究院、中国信息安全认证中心、陕西省网络与信息安全测评中心、成都秦川物联网科技股份有限公司等。

本标准主要起草人：。

主要工作过程如下：

1、2016年3月-2017年3月，跟踪信息安全国际标准ISO/IEC 27009:2016相关标准编制情况，了解标准主要内容；

2、2017年3月-2017年4月，形成标准草案第一稿，参加全国信安标委武汉2017年第一次会议周，会上汇报标准相关情况，参与标准立项汇报；

3、2017年7月14日，全国信安标委正式下达了国家标准《信息技术安全技术GB/T 22080-2016具体行业应用要求》制定任务；

4、2017年8月，由项目牵头单位和参与单位共同组成的标准编制组正式成立并启动工作。

5、2017年4月至2017年9月，标准编制组内部修改完善标准，并继续跟踪和研究ISMS标准族的其他相关标准。

6、2017年9月，形成《信息技术安全技术GB/T 22080-2016具体行业应用

要求》标准草案第二稿及编制说明；

7、2017年9月，在北京召开《信息技术安全技术GB/T 22080-2016具体行业应用要求》标准草案第二稿专家征求意见会，与会专家对标准提出了意见，并给出了下一步标准改进方向；

8、2017年10月，标准编制组根据专家意见对标准进行了修改完善，形成了《信息技术安全技术GB/T 22080-2016具体行业应用要求》标准草案第三稿，并更新了标准编制说明和标准编制意见汇总表；

9、2017年10月，参加全国信安标委在厦门举办的2017年第二次工作组会议周，会上汇报标准相关情况，并征集相关专家意见，会议通过工作组决议，本标准进入征求意见稿；

10、2017年10月-11月，针对全国信安标委2017年第二次会议周专家意见，对标准进行修改完善，形成标准征求意见第一稿，并更新了标准编制说明和标准编制意见汇总表，将形成的征求意见稿提交全国信安标委秘书处，进行公开征求意见工作；

11、2017年12月-2018年1月，秘书处面向部分专家对标准进行审查，编制组对标准进行修改完善，形成形成标准征求意见第二稿，并更新了标准编制说明和标准编制意见汇总表，将形成的征求意见稿提交全国信安标委秘书处；

12、2017年12月29日，国标委正式下达关于下达2017年第四批国家标准制修订计划的通知（国标委综合〔2017〕128号），本标准正式立项，计划号为：20173858-T-469。

二、标准编制原则和确定主要内容的论据及解决的主要问题

本标准深入研究信息安全管理体系在具体行业应用，修改采用国际标准《信息技术安全技术GB/T 22080-2016具体行业应用要求》（ISO/IEC 27009），制定《信息技术安全技术GB/T 22080-2016具体行业应用要求》国家标准，为如何附

加、细化或解释GB/T 22080-2016要求、如何附加或修改GB/T 22080-2016的具体行业应用指南提供要求，进一步完善我国信息安全管理标准体系。

按照GB/T 20000.2-2009的要求，本标准编制原则：

a）修改采用国际标准ISO/IEC 27009：2016《信息技术安全技术GB/T 22080-2016具体行业应用要求》。理由如下：

——国际标准ISO/IEC 27009:2016中未给出依据附录A形成的面向行业的信息安全管理体系，本标准依据附录A给出了面向医疗的信息安全管理体系，根据GB/T 20000.2-2009《标准化工作指南第2部分：采用国际标准》中4.3规定，“国家标准内容多与相应的国际标准”，因此采用修改采用。

b）重新起草法：按照GB/T 20000.1-2009要求，修改采用国际标准采用重新起草法，在国际标准基础上重新编写国家标准。

标准主要内容如下：

本标准规定了在任何具体行业（领域、应用区域或市场部门）使用GB/T 22080-2016的要求。本标准解释了如何在GB/T 22080-2016要求上包含附加的要求，如何细化GB/T 22080-2016的要求，和如何包含GB/T 22080-2016附录A之外的控制或控制集。

本标准确保附加的或细化的要求与GB/T 22080-2016的要求不冲突。

本标准适用于那些制定与GB/T 22080-2016相关具体行业标准的组织。

三、主要试验[或验证]情况分析

无。

四、知识产权情况说明

本部分不涉及专利和知识产权。

五、产业化情况、推广应用论证和预期达到的经济效果

本标准主要针对应用GB/T 22080-2016的具体行业尤其是关键信息基础设施所

在行业（如金融、能源、电子政务、公共服务），开发在GB/T 22080-2016和GB/T 22081-2016基础上的行业信息安全管理要求和指南，推动信息安全管理体系在不同行业尤其是关键信息基础设施行业的深入应用。

本标准主要保证在行业信息安全管理标准制定过程中与信息安全管理体系标准族标准保持一致性，并完善ISMS标准体系。

目前，在医疗、电信、云计算等具体行业发布的相关行业应用标准有：

1）GB/T 32920-2016，行业间和组织间通信的信息安全管理（ISO/IEC 27010:2012,IDT）

2)ISO/IEC 27011，基于ISO/IEC 27002的电信组织信息安全管理指南

3)ISO/IEC 27017，基于ISO/IEC 27002的云计算信息安全控制实践指南

4)ISO/IEC 27018，可识别个人信息（PII）处理者在公有云中保护PII的实践指南

六、采用国际标准和国外先进标准情况

本标准修改采用国际标准ISO/IEC 27009:2016《信息技术安全技术ISO/IEC 27001具体行业应用要求》。

七、与现行相关法律、法规、规章及相关标准的协调性

截至目前，尚未发现本部分与我国有关的现行法律、法规和相关强制性标准相冲突。

本标准属于信息安全管理体系标准族标准之一，主要为使用GB/T 22080-2016的具体行业尤其是关键信息基础设施所在行业增加附加要求。目前，在信息安全管理体系方面，我国已发布信息安全管理体系相关标准包括GB/T 22080-2016《信息技术安全技术信息安全管理体系要求》、22081-2016《信息技术安全技术信息安全管理实践指南》、GB/T 25067-2016《信息技术安全技术信息安全管理体系审核和认证机构的要求》、GB/T 28450-2012《信息安全技术信息安全管理体系审核指南》、GB/T 31496-2015《信息技术安全技术信息安全管理体系实施指南》、GB/T

31722-2015《信息安全技术信息安全风险管理》、GB/Z 32916-2016《信息技术安全技术信息安全控制措施审核员指南》、GB/T 32923-2016《信息技术安全技术信息安全治理》、GB/T 32920-2016《信息技术安全技术行业间和组织间通信的信息安全管理》等，本标准与它们相辅相成，共同组成信息安全管理体系标准族，推动我国信息安全管理体系建设工作。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

建议作为推荐性标准发布实施。

十、贯彻标准的要求和措施建议

该标准确定在具体行业使用GB/T 22080-2016的要求，适用于那些制定与GB/T 22080-2016相关具体行业标准的组织，因此建议在GB/T 22080-2016应用的具体行业尤其是关键信息基础设施所在的行业对标准进行宣贯和培训，在具体行业推动制定与GB/T 22080-2016相关的具体行业标准，使信息安全管理体系在具体行业的应用更深入。

同时，为更好推动本标准落地实施，本标准在原国际标准基础上，新增资料性附录NA,面向医疗的信息安全管理体系示例，以指导本标准面向具体行业的实施。

十一、替代或废止现行相关标准的建议

无。

十二、其它应予说明的事项

无。

标准《信息技术安全技术 GB/T 22080-2016具体行业应用要求》编制工作组

2018-1-16

整理丨尼克

本文档信息来自于网络，如您发现内容不准确或不完善，欢迎您联系我修正；如您发现内容涉嫌侵权，请与我们联系，我们将按照相关法律规定及时处理。