GB-T 38631-2020 信息技術(shù) 安全技術(shù) GBT 22080具體行業(yè)應(yīng)用 要求

0ICS35.400L80中

華

人

民

共

和

國

國

家

標

準GB/T

38631—2020信息技術(shù) 安全技術(shù)GB/T22080

要求i iInformatontechnologySecuri i-sii i

i rSectorspec-sii i

i rI I i i-I I i i- ii i

i rSectorspecfcapplcatonofISO/IEC27001—Requiements,MOD)國家標準化管理委員會

發(fā)

布-

國家標準化管理委員會

發(fā)

布-

- -

-國家市場監(jiān)督管理總局GB/T38631—2020目 次1231234123前言

…………………………

Ⅰ12312341231

范圍

………………………

12

規(guī)范性引用文件

…………………………

13

術(shù)語和定義

………………

14

概述

………………………

14. 總則

…………………

14. 本標準結(jié)構(gòu)

…………………………

24. 擴展

GB/T22080要求或

GB/T22081控制 ……………………

25

補充、細化或解釋

GB/T22080要求……………………

25. 總則

…………………

25. 補充要求

……………

35. 細化要求

……………

35. 解釋要求

……………

36

補充或修改

GB/T22081指南

…………

36. 總則

…………………

36. 補充指南

……………

46. 修改指南

……………

4附錄

A

(規(guī)范性附錄)

制定與

GB/T22080—2016或

GB/T22081—2016相關(guān)的具體行業(yè)標準的模板

……………

5附錄B(資料性附錄)

面向醫(yī)療行業(yè)的信息安全管理體系指南示例 …………………

8參考文獻

……………………

11GB/T38631—2020前 言本標準按照

GB/T1.—2009給出的規(guī)則起草。本標準使用重新起草法修改采用ISO/IEC27009:016《信息技術(shù) 安全技術(shù)

ISO/IEC27001具體行業(yè)應(yīng)用 要求》。本標準與ISO/IEC27009:016的技術(shù)性差異及其產(chǎn)生的原因如下:1 I———范圍增加“本標準適用于制定與

GB/T22080相關(guān)的具體行業(yè)標準”(見第11 I刪除“SO/IEC之外的組織也制定了實現(xiàn)具體行業(yè)需求的標準”;212 ,2———增加“依據(jù)附錄

A,面向醫(yī)療行業(yè)的信息安全管理體系指南示例參見附錄212 ,2———附錄

A的

A.刪除“具體行業(yè)標準宜命名如下:面向<行業(yè)>的信息安全管理體系”;———附錄

A的

A.模板中

4.和5的<控制目標號><控制目標標題>和<控制號><控制標題>改為2 ,22<控制目標號>[<控制目標標題控制號>[<2 ,22———附錄

A的

A.模板中

4.和5中,“對行業(yè)至少使用三個字母作為前綴”改為“對行業(yè)使用國民經(jīng)濟行業(yè)名稱(見

GB/T4754—2017)作為前綴”,4.中強制實施的控制,“使用(M)作為控制編號的前綴”改為“使用(強制)作為控制編號的前綴”。本標準做了下列編輯性修改:———增加了參考文獻ISO27799:016和ISO22600;S———增加資料性附錄B“面向醫(yī)療行業(yè)的信息安全管理體系指南示例”,有利于標準落地實施。S請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任。本標準由全國信息安全標準化技術(shù)委員會(AC/TC260)提出并歸口。本標準起草單位:山東省標準化研究院、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、成都秦川物聯(lián)網(wǎng)科技股份有限公司、陜西省網(wǎng)絡(luò)與信息安全測評中心、山東崇弘信息技術(shù)有限公司。本標準主要起草人:王曙光、魏軍、王慶升、公偉、張斌、來永鈞、邵澤華、趙首花、楊銳、尤其、郭楊、權(quán)亞強、李怡、何果、路津、李紅勝、路征、陳慧勤、劉勘偽、于秀彥、胡鑫磊、王棟、劉鑫。GB/T38631—2020信息技術(shù) 安全技術(shù)GB/T22080具體行業(yè)應(yīng)用 要求1

范圍本標準規(guī)定了

GB/T22080

應(yīng)用于具體行業(yè)

(領(lǐng)域、應(yīng)用)時的要求。本標準解釋了如何在GB/T22080要求上包含補充要求,如何細化GB/T22080的要求,以及如何包含GB/T22080—2016附錄

A之外的控制或控制集。本標準確保補充的或細化的要求與

GB/T22080的要求不沖突。本標準適用于制定與

GB/T22080相關(guān)的具體行業(yè)標準。2

規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。IGB/T22080—2016

信息技術(shù) 安全技術(shù) 信息安全管理體系 要求(SO/IEC27001:013,IIDT)I IIGB/T22081—2016

信息技術(shù) 安全技術(shù) 信息安全控制實踐指南(SO/IEC27002:I IIGB/T29246—2017

信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯(SO/IEC27000:I2016,DT)I3

術(shù)語和定義GB/T29246—2017界定的以及下列術(shù)語和定義適用于本文件。13.1e ti解釋

e ti在具體行業(yè)背景下對GB/T22080要求的說明(以要求或指南的形式),該說明不會使GB/T22080的要求失效。23.2

i細化

refnementiGB/T22080要求在具體行業(yè)的詳述,該詳述不會刪除

GB/T22080任一要求或使其失效。4

概述14. 總則1GB/T22080規(guī)定了建立、實現(xiàn)、維護和持續(xù)改進信息安全管理體系的要求。這些要求是通用的,適用于各種類型、規(guī)?；蛐再|(zhì)的機構(gòu)。2注:ISO管理體系標準的建立依據(jù)ISO/IEC

導則

第1部分

融合的JTC1補充部分(016)。2GB/T22081為信息安全管理實踐提供了指南,考慮了機構(gòu)信息安全風險環(huán)境下控制的選擇、實施和管理。該指南采用分層結(jié)構(gòu),包括章節(jié)、控制目標、控制、實現(xiàn)指南以及其他信息。指南是通用的,適1GB/T38631—2020用于各種類型、規(guī)模或性質(zhì)的機構(gòu)。13 13GB/T22081的

控

制

目

標

和

控

制

以

規(guī)

范

性

附

錄

形

式

列

在

GB/T22080—2016

的

附

錄

A

13 13GB/T22080—2016要求機構(gòu)確定信息安全風險處置選項所必需的所有控制[見6.1.3b)],并將6..b)確定的控制與附錄

A中的控制進行比較,并驗證沒有忽略必要的控制[見6..c)]。隨著

GB/T22080和

GB/T22081在企業(yè)、政府機構(gòu)和非營利組織中的廣泛應(yīng)用,需要開發(fā)針對這些具體行業(yè)的標準,主要完成的標準包括:———GB/T32920,信息技術(shù) 安全技術(shù) 行業(yè)間和組織間通信的信息安全管理;———ISO/IEC27011,基于ISO/IEC27002的電信組織信息安全管理指南;———ISO/IEC27017,基于ISO/IEC27002的云服務(wù)信息安全控制實踐指南;P———ISO/IEC27018,可識別個人信息(I)處理者在公有云中保護可識別個人信息的實踐指南。P具體行業(yè)標準需要與信息安全管理體系要求相一致。本標準主要從以下兩方面規(guī)定了相關(guān)要求:———具體行業(yè)如何補充、細化

GB/T22080的要求或?qū)ζ渥鞒鼋忉?———具體行業(yè)如何補充或修改

GB/T22081的指南。本標準假定所有來自

GB/T22080未被細化的或未作出解釋的要求、所有來自

GB/T22081未被修改的控制,將不加修改的適用于具體行業(yè)環(huán)境。24. 本標準結(jié)構(gòu)2第5章提供要求和指南,給出如何在

GB/T22080要求上確定補充要求、細化要求或作出解釋。第6章提供要求和指南,給出如何在

GB/T22081內(nèi)容上補充或修改控制目標、控制、實現(xiàn)指南或其他信息。234附錄

A給出與

GB/T22080和(或)GB/T22081可用于具體行業(yè)標準的模板。234依據(jù)附錄

A,面向醫(yī)療行業(yè)的信息安全管理體系指南示例參見附錄B。本標準使用如下概念以使

GB/T22080的要求適用于具體行業(yè):———補充:見5.———細化:見5.———解釋:見5.23本標準使用如下概念以使

GB/T22081的指南適用于具體行業(yè):23———補充:見6.———修改:見6.2 1注:遵循本標準要求和指南而制定的具體行業(yè)指南不可包含在技術(shù)報告中。ISO/IEC2 1要求的文檔,而任一依據(jù)本標準開發(fā)的具體行業(yè)標準,特別是附錄

A,都將至少包含一個最小的要求集合(見A.中模板的4.)。34.擴展GB/T22080要求或GB/T22081控制3與GB/T22080相關(guān)的具體行業(yè)標準可以對GB/T22080或GB/T22081進行補充,可將信息安全之外的要求或指南納入具體行業(yè)之中。I示例:SO/IEC27018:014附錄

A包含一組旨在保護可識別個人信息的控制,從而使ISO/IEC27018的范圍除信I息安全外還涵蓋可識別個人信息的保護。15

補充、細化或解釋GB/T22080要求15.總則圖1闡明了如何構(gòu)建與

GB/T22080相關(guān)的具體行業(yè)要求。2GB/T38631—2020圖1

具體行業(yè)要求的構(gòu)建25. 補充要求2允許給出補充要求的規(guī)范。2示例:對信息安全方針有補充要求的行業(yè),可將其補充到

GB/T22080—2016的5.規(guī)定的要求中。2對

GB/T22080要求進行補充不應(yīng)刪除

GB/T22080確定的任一要求或使其失效。具體行業(yè)對GB/T22080要求的補充,應(yīng)按照附錄

A給定的要求和指南進行。35. 細化要求3允許對

GB/T22080的要求進行細化。2注:細化不會刪除

GB/T22080的任一要求或使其失效(見3.)。2GB/T22080要求在具體行業(yè)的細化,應(yīng)按照附錄

A給定的要求和指南進行。13示例1:具體行業(yè)標準可能包含對

GB/T22080—2016附錄

A

的補充控制。在這種情況下,GB/T22080—2016的136..c)和d)中與信息安全風險處置相關(guān)的要求,需進行細化,以包含具體行業(yè)標準中給出的補充控制。允許給出符合

GB/T22080要求的特定方法的規(guī)范。示例2:特定行業(yè)有規(guī)定的方法確定在具體行業(yè)管理體系范圍內(nèi)工作人員的能力。這一要求能細化

GB/T22080—242016的7.中的通用要求。245. 解釋要求允許對

GB/T22080的要求作出解釋。1注:解釋不會使

GB/T22080的任一要求失效,只是對其作出解釋或?qū)⑵浞湃刖唧w行業(yè)背景中(見3.)。1對

GB/T22080要求在具體行業(yè)作出解釋,應(yīng)按照附錄

A給定的要求和指南進行。16

補充或修改GB/T22081指南16. 總則圖2闡明了如何對

GB/T22081的指南進行補充和修改。圖2

具體行業(yè)指南的構(gòu)建每項控制應(yīng)僅包含一個“宜”。注:在

GB/T22080—2016中,信息安全風險處置要求組織陳述所選擇的控制及其選擇的合理性說明,以及對附錄

A3GB/T38631—2020控制刪減的合理性說明。在控制描述中只使用一個“宜”,可明確控制的范圍。26. 補充指南2允許對

GB/T22081的章節(jié)、控制目標、控制、實現(xiàn)指南和其他信息進行補充。對

GB/T22081補充章節(jié)、控制目標、控制、實現(xiàn)指南和其他信息,應(yīng)按照附錄

A

給定的要求和指南進行。在規(guī)定補充章節(jié)、控制目標或控制之前,制定與

GB/T22080相關(guān)具體行業(yè)標準的機構(gòu)宜考慮是否有更有效的方法來修改

GB/T22081已有內(nèi)容,或是否有更有效的方法在

GB/T22081已有內(nèi)容之上補充具體行業(yè)控制目標、控制、實現(xiàn)指南和其他信息來達成期望的結(jié)果。36. 修改指南3允許對

GB/T22081的章節(jié)、控制目標、控制、實現(xiàn)指南和其他信息進行修改。任何修改不應(yīng)刪除

GB/T22081的控制、使其失效或減弱。對

GB/T22081章節(jié)、控制目標、控制、實現(xiàn)指南和其他信息的修改,應(yīng)按照附錄

A

給定的要求和指南進行。4GB/T38631—2020附 錄

A(規(guī)范性附錄)制定與GB/T22080—2016或GB/T22081—2016相關(guān)的具體行業(yè)標準的模板1A. 起草說明12A.中使用了如下格式規(guī)則:2———尖括號<>中的文本需用適宜的具體行業(yè)文本代替; ” ”2示例:對于電信行業(yè),A.模板中第4章的標題,“<行業(yè)>-具體要求..宜變?yōu)?” ”2———花括號{}中斜體的文本表示如何使用模板的此部分;本部分文本在具體行業(yè)標準發(fā)布版本中需刪除;———沒有特殊格式的文本可逐字復制。2A. 模板20

引言包{

含:本標準中的要求和(或)指南,如何與

GB/T22080中規(guī)定的要求及

GB/T22081中的指南包相關(guān)聯(lián)。}1

范圍包{

含:適用范圍的聲明,該聲明包含了本標準與GB/T22080及GB/T22081的關(guān)系。}包2

規(guī)范性引用文件插{

入相關(guān)的規(guī)范性引用文件,包含GB/T22080和GB/T22081。}插3

術(shù)語和定義確{

保包含GB/T29246。}確4

與GB/T22080相關(guān)的<行業(yè)>具體要求插{

入以下文本。}插14. 本標準結(jié)構(gòu)1本標準是與

GB/T22080相關(guān)的<行業(yè)>標準。如{

果具體行業(yè)標準有在GB/T22081基礎(chǔ)上補充或修改的具體行業(yè)章節(jié)、控制目標或控制,插入如以下文本。}行具<

業(yè)>

體參考控制目標和控制參見附錄

A。行具如{

果有,插入描述具體行業(yè)ISMS問題的子章節(jié)。}如24. <行業(yè)>具體要求2在{

適當?shù)那闆r下,插入下列兩段文本中的一段。}在對

GB/T22080—2016第4章到第10章的所有要求,仍適用。{或}對

GB/T22080—2016第4章到第10章的所有要求,未在下面列出的,仍適用。補{

充具體行業(yè)要求。對補充要求,使用與

GB/T22080—2016相同格式的章節(jié)(子章節(jié))號,并對補行業(yè)使用國民經(jīng)濟行業(yè)名稱(參見GB/T4754—2017)作為前綴。當補充一項要求時,首先檢查它是否與GB/T22080—2016中已有要求相關(guān)。如果是相關(guān)的,將新要求補充到相關(guān)的章節(jié)中并給予恰當序號。如果不相關(guān),將補充要求置于GB/T22080—2016相關(guān)要求之后,在章節(jié)中引入一個適宜的新子章節(jié)號。}5GB/T38631—2020通{

過插入以下文本來表示補充到GB/T22080—2016要求上的具體行業(yè)要求。}通GB/T22080—2016要求<章節(jié)(子章節(jié))號>補充如下:通{

過插入以下文本來表示對GB/T22080—2016要求進行細化的具體行業(yè)要求。}通GB/T22080—2016要求<章節(jié)(子章節(jié))號>細化如下:通如{

過插入以下文本來表示對GB/T22080—2016要求作出解釋的具體行業(yè)要求。}通如GB/T22080—2016要求<章節(jié)(子章節(jié))號>解釋如下:{

果可能,請使用斜體表示補充、細化或解釋的內(nèi)容。}如13{

果具體行業(yè)標準有針對具體行業(yè)的控制,則插入以下文本。}如13GB/T22080—2016中6..c)的要求細化如下:13將6..b)確定的控制、GB/T22080—2016中附錄

A以及本文件附錄

A中的控制進行比較,并驗13證沒有忽略必要的控制。13GB/T22080—2016中6..d)的要求細化如下:13制定一個適用性聲明,包含:1.———必要的控制[見

GB/T22080—2016,6.3b)和c)];1.———選擇這些控制的合理性說明(無論這些必要的控制是否已實現(xiàn));———對

GB/T22080—2016中附錄

A或本文件附錄

A中的控制刪減的合理性說明。要{

強制應(yīng)用某些特定控制,請在

GB/T22080—2016,6.1.3d)之后插入以下文本,并以恰當?shù)姆揭阶R別強制控制,建議使用(強制)作為控制編號的前綴。}組織應(yīng)實現(xiàn)由<行業(yè)>識別的強制控制。5

與GB/T22081—2016相關(guān)的<行業(yè)>具體指南如{

果具體行業(yè)標準有在GB/T22081—2016基礎(chǔ)上補充或修改的具體行業(yè)章節(jié)、控制目標、控制、實如現(xiàn)指南或其他信息,在本章節(jié)插入它們。補充章節(jié)、控制目標或控制的序號與GB/T22081—2016采用相同格式,并對行業(yè)使用國民經(jīng)濟行業(yè)名稱(參見GB/T4754—2017)作為前綴。當對GB/T22081—2016控制目標、控制、實現(xiàn)指南和(或)其他信息補充或修改時,首先檢查它是否與GB/T22081—2016中已有控制目標、控制、實現(xiàn)指南和(或)其他信息相關(guān)。如果是相關(guān)的,補充或修改新控制目標、控制、實現(xiàn)指南和(或)其他信息到

GB/T22081—2016相關(guān)的章節(jié)中并相應(yīng)編號。如果不相關(guān),將補充條目放置到GB/T22081—2016已有章節(jié)、控制目標或控制之后。}插{

入以下文本。}插對

GB/T22081—2016所有的章節(jié)、控制目標、控制、實現(xiàn)指南和其他信息,未在下面列出的,仍適用。通{

過插入以下文本來表示補充到GB/T22081—2016的具體行業(yè)章節(jié)。}通GB/T22081—2016的章節(jié)補充如下:通{

過在恰當章節(jié)之后插入以下文本來表示補充到GB/T22081—2016的具體行業(yè)控制目標。}通GB/T22081—2016<章節(jié)號>[<章節(jié)標題>]的控制目標補充如下:通{

過在恰當?shù)目刂颇繕酥蟛迦胍韵挛谋緛肀硎狙a充到GB/T22081—2016的具體行業(yè)控制;確通?？刂颇繕朔从逞a充的具體行業(yè)控制,并確保該補充不會使任何已有控制失效。}補充到

GB/T22081—2016<控制目標號>[<控制目標標題>]的控制補充如下:當{

修改控制目標、控制、實現(xiàn)指南或其他信息時(例如通過修改或補充到已有文本),根據(jù)當GB/T22081—2016要求重新進行理解。根據(jù)需要插入以下任一項來表示對

GB/T22081—2016中控制目標或控制的具體行業(yè)修改。}或<控制目標號>[<控制目標標題>]修改如下:或{

}<控制號>[<控制標題>]修改如下:6GB/T38631—2020如建{

果已有控制未被修改,僅給出補充的指南,根據(jù)需要插入以下標題之一。}如建GB/T22081—2016<控制號>[<控制標題>]的實現(xiàn)指南補充如下:GB/T22081—2016<控制號>[<控制標題>]的其他信息補充如下:{

議使用斜體表示補充的或修改的文本。}如{

果具體行業(yè)標準具有根據(jù)GB/T22081—2016補充的或者修改的具體行業(yè)章節(jié)、控制目標或控如制,以與GB/T22081—2016附錄A相同的方式構(gòu)建規(guī)范性附錄A,并在適用時用“應(yīng)”代替“宜”。附錄的名稱和標題如下。}附錄A(規(guī)范性附錄)-下1<行業(yè)>-下1{

面介紹表

A.。}1表

A.中所列的補充或修改的控制目標和控制,是直接來源于本標準并與之相對應(yīng),并用于本標11.準細化的

GB/T22080—2016,6.3環(huán)境中。1.7GB/T38631—2020附 錄 B(資料性附錄)面向醫(yī)療行業(yè)的信息安全管理體系指南示例1B. 說明1511、 5本附錄參考ISO27799:016,依據(jù)信息安全管理體系在醫(yī)療行業(yè)具體應(yīng)用實踐,形成面向醫(yī)511、 5業(yè)的信息安全管理體系標準。其中“ 與GB/T22081—2016相關(guān)的醫(yī)療行業(yè)指南”中,從ISO27799:2016的5..6.1.

和9.1.

選取部分控制、實現(xiàn)指南和其他信息,補充或修改后作為醫(yī)療行業(yè)指南示例。本附錄的目的不是為了形成完善的面向醫(yī)療行業(yè)的信息安全管理體系指南,僅是給出面向行業(yè)的信息安全管理體系指南的示例,便于理解本標準并推動本標準落地實施。2B. 面向醫(yī)療的信息安全管理體系2如下為依據(jù)附錄

A選取醫(yī)療行業(yè)給出的面向醫(yī)療行業(yè)的信息安全管理體系指南。1

范圍本標準規(guī)定了GB/T22080應(yīng)用于醫(yī)療行業(yè)時補充、細化和作出解釋的要求,以及和GB/T22081應(yīng)用于醫(yī)療行業(yè)時補充和修改的指南。本標準適用于醫(yī)療行業(yè)構(gòu)建包含其特定要求的信息安全管理體系。2

規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。IGB/T22080—2016

信息技術(shù) 安全技術(shù) 信息安全管理體系 要求(SO/IEC27001:013,IIDT)IGB/T22081—2016

信息技術(shù) 安全技術(shù) 信息安全控制實踐指南(SO/IEC27002:013,IIDT)IGB/T29246—2017

信息技術(shù)安全技術(shù) 信息安全管理體系 概述和詞匯(SO/IEC27000:II2016,DT)I3

術(shù)語和定義GB/T29246—2017界定的術(shù)語和定義適用于本文件。14

與GB/T22080相關(guān)的醫(yī)療行業(yè)要求14. 本標準結(jié)構(gòu)本標準是與

GB/T22080相關(guān)的具體行業(yè)標準。醫(yī)療行業(yè)具體參考控制目標和控制參見附錄

A。24. 醫(yī)療行業(yè)要求2對

GB/T22080—2016第4章~第10章的所有要求,未在下面列出的,仍適用。1GB/T22080—2016要求7.解釋如下:1在醫(yī)療行業(yè),機構(gòu)應(yīng)提供信息安全管理體系所需的醫(yī)療專業(yè)人員、醫(yī)療設(shè)備、場地、醫(yī)療信息系統(tǒng)、辦公設(shè)備等醫(yī)療資源。8A.5

信息安全策略A.5.1

信息安全管理指導A.5.1.1信息安全策略醫(yī)療行業(yè)控制(修改)處理醫(yī)療信息(包括個人醫(yī)療信息)的組織,需有書面的信息安全策略,由管理者批準,并發(fā)布傳達給所有醫(yī)療人員和外部相關(guān)方。1表

1表

A. 補充或修改的控制目標和控制9GB/T38631—20202GB/T22080—2016要求7.細化如下:2醫(yī)療行業(yè)機構(gòu)工作人員應(yīng):a)

定期核查經(jīng)過專業(yè)認證的醫(yī)療專業(yè)人員的能力,可通過測試、現(xiàn)場操作等方式進行;b)

定期組織相關(guān)醫(yī)療專業(yè)能力培訓、進修等相關(guān)活動,組織新進人員參加相關(guān)培訓、進修活動,并對參加活動人員進行考核后方可進行上崗;c)

對醫(yī)療專業(yè)人員的考核成績進行定期分析,作為后續(xù)開展核查、培訓等工作的依據(jù)。3GB/T22080—2016中7.補充如下:313醫(yī)療行業(yè)機構(gòu)工作人員應(yīng)了解個人醫(yī)療信息保護的相關(guān)政策和要求。13GB/T22080—2016中6..c)的要求細化如下:13將6..b)確定的控制、GB/T22080—2016中附錄

A

以及本文件附錄

A

中的控制進行比較,并13驗證沒有忽略必要的控制。13GB/T22080—2016中6..d)的要求細化如下:13制定一個適用性聲明,包含:1.———必要的控制[見

GB/T22080—2016,6.3b)和c)];1.———選擇這些控制的合理性說明(無論這些必要的控制是否已實現(xiàn));———對

GB/T22080—2016中附錄

A或本文件附錄

A中的控制刪減的合理性