GB/T 22081-2024網(wǎng)絡(luò)安全技術(shù)信息安全控制

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T22081—2024/ISO/IEC270022022

:

代替GB/T22081—2016

網(wǎng)絡(luò)安全技術(shù)信息安全控制

Cybersecuritytechnology—Informationsecuritycontrols

ISO/IEC270022022Informationsecuritcbersecuritand

(:,y,yy

rivacrotection—InformationsecuritcontrolsIDT

pypy,)

2024-09-29發(fā)布2025-04-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T22081—2024/ISO/IEC270022022

:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)定義和縮略語(yǔ)

3、………………………1

術(shù)語(yǔ)和定義

3.1…………………………1

縮略語(yǔ)

3.2………………5

文件結(jié)構(gòu)

4…………………6

章條設(shè)置

4.1……………6

主題和屬性

4.2…………………………7

控制的設(shè)計(jì)

4.3…………………………7

組織控制

5…………………8

信息安全策略

5.1………………………8

信息安全角色和責(zé)任

5.2………………10

職責(zé)分離

5.3……………11

管理責(zé)任

5.4……………12

與職能機(jī)構(gòu)的聯(lián)系

5.5…………………13

與特定相關(guān)方的聯(lián)系

5.6………………13

威脅情報(bào)

5.7……………14

項(xiàng)目管理中的信息安全

5.8……………15

信息及其他相關(guān)資產(chǎn)的清單

5.9………………………17

信息及其他相關(guān)資產(chǎn)的可接受使用

5.10……………18

資產(chǎn)歸還

5.11…………………………19

信息分級(jí)

5.12…………………………20

信息標(biāo)記

5.13…………………………21

信息傳輸

5.14…………………………23

訪問(wèn)控制

5.15…………………………25

身份管理

5.16…………………………26

鑒別信息

5.17…………………………27

訪問(wèn)權(quán)限

5.18…………………………29

供應(yīng)商關(guān)系中的信息安全

5.19………………………30

在供應(yīng)商協(xié)議中強(qiáng)調(diào)信息安全

5.20…………………32

管理信息通信技術(shù)供應(yīng)鏈中的信息安全

5.21………34

Ⅰ

GB/T22081—2024/ISO/IEC270022022

:

供應(yīng)商服務(wù)的監(jiān)視評(píng)審和變更管理

5.22、……………35

云服務(wù)使用的信息安全

5.23…………37

信息安全事件管理規(guī)劃和準(zhǔn)備

5.24…………………38

信息安全事態(tài)的評(píng)估和決策

5.25……………………40

信息安全事件的響應(yīng)

5.26……………41

從信息安全事件中學(xué)習(xí)

5.27…………42

證據(jù)收集

5.28…………………………42

中斷期間的信息安全

5.29……………43

業(yè)務(wù)連續(xù)性的信息通信技術(shù)就緒

5.30………………44

法律法規(guī)規(guī)章和合同要求

5.31、、……………………46

知識(shí)產(chǎn)權(quán)

5.32…………………………47

記錄的保護(hù)

5.33………………………48

隱私和個(gè)人可識(shí)別信息保護(hù)

5.34……………………49

信息安全的獨(dú)立評(píng)審

5.35……………50

符合信息安全的策略規(guī)則和標(biāo)準(zhǔn)

5.36、………………51

文件化的操作規(guī)程

5.37………………52

人員控制

6…………………53

審查

6.1…………………53

任用條款和條件

6.2……………………54

信息安全意識(shí)教育和培訓(xùn)

6.3、………………………55

違規(guī)處理過(guò)程

6.4………………………57

任用終止或變更后的責(zé)任

6.5…………58

保密或不泄露協(xié)議

6.6…………………59

遠(yuǎn)程工作

6.7……………60

信息安全事態(tài)的報(bào)告

6.8………………61

物理控制

7…………………62

物理安全邊界

7.1………………………62

物理入口

7.2……………63

辦公室房間和設(shè)施的安全保護(hù)

7.3、…………………64

物理安全監(jiān)視

7.4………………………65

物理和環(huán)境威脅防范

7.5………………66

在安全區(qū)域工作

7.6……………………67

清理桌面和屏幕

7.7……………………68

設(shè)備安置和保護(hù)

7.8……………………69

組織場(chǎng)所外的資產(chǎn)安全

7.9……………70

存儲(chǔ)媒體

7.10…………………………71

支持性設(shè)施

7.11………………………72

Ⅱ

GB/T22081—2024/ISO/IEC270022022

:

布纜安全

7.12…………………………73

設(shè)備維護(hù)

7.13…………………………74

設(shè)備的安全處置或重復(fù)使用

7.14……………………75

技術(shù)控制

8…………………76

用戶終端設(shè)備

8.1………………………76

特許訪問(wèn)權(quán)限

8.2………………………78

信息訪問(wèn)限制

8.3………………………79

源代碼的訪問(wèn)

8.4………………………80

安全鑒別

8.5……………81

容量管理

8.6……………83

惡意軟件防范

8.7………………………84

技術(shù)脆弱性管理

8.8……………………85

配置管理

8.9……………88

信息刪除

8.10…………………………90

數(shù)據(jù)脫敏

8.11…………………………91

數(shù)據(jù)防泄露

8.12………………………92

信息備份

8.13…………………………93

信息處理設(shè)施的冗余

8.14……………95

日志

8.15………………96

監(jiān)視活動(dòng)

8.16…………………………98

時(shí)鐘同步

8.17…………………………100

特權(quán)實(shí)用程序的使用

8.18……………100

運(yùn)行系統(tǒng)軟件的安裝

8.19……………101

網(wǎng)絡(luò)安全

8.20…………………………102

網(wǎng)絡(luò)服務(wù)的安全

8.21…………………104

網(wǎng)絡(luò)隔離

8.22…………………………105

網(wǎng)頁(yè)過(guò)濾

8.23…………………………106

密碼技術(shù)的使用

8.24…………………106

安全開(kāi)發(fā)生存周期

8.25………………108

應(yīng)用程序安全要求

8.26………………109

系統(tǒng)安全架構(gòu)和工程原則

8.27………………………111

安全編碼

8.28…………………………113

開(kāi)發(fā)和驗(yàn)收中的安全測(cè)試

8.29………………………115

開(kāi)發(fā)外包

8.30…………………………116

開(kāi)發(fā)測(cè)試和生產(chǎn)環(huán)境的隔離

8.31、…………………117

變更管理

8.32…………………………118

測(cè)試信息

8.33…………………………119

Ⅲ

GB/T22081—2024/ISO/IEC270022022

:

在審計(jì)測(cè)試中保護(hù)信息系統(tǒng)

8.34……………………120

附錄資料性屬性的使用

A()…………122

概述

A.1………………122

組織視圖

A.2…………………………132

附錄資料性本文件與的對(duì)應(yīng)關(guān)系

B()GB/T22081—2016………133

參考文獻(xiàn)

……………………143

Ⅳ

GB/T22081—2024/ISO/IEC270022022

:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南與

GB/T22081—2016《》,GB/T22081—

相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

2016,,:

對(duì)控制進(jìn)行了合并刪除同時(shí)也增加了新的控制與對(duì)應(yīng)關(guān)系見(jiàn)附錄

———、,,GB/T22081—2016B。

本文件等同采用信息安全網(wǎng)絡(luò)安全和隱私保護(hù)信息安全控制

ISO/IEC27002:2022《、》。

本文件做了下列最小限度的編輯性改動(dòng)

:

為與現(xiàn)有網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)協(xié)調(diào)一致標(biāo)準(zhǔn)名稱調(diào)整為網(wǎng)絡(luò)安全技術(shù)信息安全控制

———,《》。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位北京賽西科技發(fā)展有限責(zé)任公司中國(guó)合格評(píng)定國(guó)家認(rèn)可中心中電長(zhǎng)城網(wǎng)際系

:、、

統(tǒng)應(yīng)用有限公司中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心北京賽西認(rèn)證有限責(zé)任公司北京時(shí)代新威信息

、、、

技術(shù)有限公司北京江南天安科技有限公司山東省標(biāo)準(zhǔn)化研究院四川大學(xué)杭州安恒信息技術(shù)股份有

、、、、

限公司黑龍江省網(wǎng)絡(luò)空間研究中心上海浦東發(fā)展銀行股份有限公司信用卡中心北京百度網(wǎng)訊科技

、、、

有限公司亞信科技成都有限公司工業(yè)互聯(lián)網(wǎng)創(chuàng)新中心上海有限公司阿里云計(jì)算有限公司聯(lián)想

、()、()、、

北京有限公司深信服科技股份有限公司啟明星辰信息技術(shù)集團(tuán)股份有限公司麒麟軟件有限公司

()、、、、

易航科技股份有限公司華夏認(rèn)證中心有限公司北京數(shù)安行科技有限公司上海觀安信息技術(shù)股份有

、、、

限公司網(wǎng)安聯(lián)信息技術(shù)有限公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司國(guó)家信息技術(shù)安全研究中心北

、、、、

京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司廈門(mén)美柚股份有限公司長(zhǎng)揚(yáng)科技北京股份有限公司浪潮電子信息

、、()、

產(chǎn)業(yè)股份有限公司中科信息安全共性技術(shù)國(guó)家工程研究中心有限公司陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中

、、

心美的集團(tuán)股份有限公司中能融合智慧科技有限公司北京神州綠盟科技有限公司華為技術(shù)有限公

、、、、

司北京時(shí)代億信科技股份有限公司北京源堡科技有限公司國(guó)網(wǎng)新疆電力有限公司電力科學(xué)研究院

、、、、

北京快手科技有限公司

。

本文件主要起草人上官曉麗王姣王秉政甘俊杰付志高閔京華尤其趙麗華許玉娜

:、、、、、、、、、

王連強(qiáng)陳冠直朱雪峰公偉林陽(yáng)薈晨胡勇趙玉潔陳星李銳王寒生鐵錦程李文清郭建領(lǐng)

、、、、、、、、、、、、、

廖雙曉秦峰黃正艷施辰琛劉晨楊天識(shí)楊詔鈞趙翔夏芳劉玉紅謝江阮懿宗謝琴朱松

、、、、、、、、、、、、、、

肖婷婷張德保黃鵬華張亞京高麗琴胡建勛楊帆張亮亮劉長(zhǎng)川程潞樣張喆易天舒俞曉昕

、、、、、、、、、、、、、

顧俊鄒振婉劉海軍袁瑩穎王昕

、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為年第一次修訂

———2008GB/T22081—2008,2016;

本次為第二次修訂

———。

Ⅴ

GB/T22081—2024/ISO/IEC270022022

:

引言

01背景

.

本文件適用于所有類型和規(guī)模的組織組織在實(shí)施基于信息安全管理體系的信息安

。GB/T22080

全風(fēng)險(xiǎn)處置時(shí)本文件作為其確定和實(shí)施所需控制的參考本文件還作為組織在確定和實(shí)施普遍接受的

,;

信息安全控制時(shí)的指導(dǎo)文件此外本文件還能用于針對(duì)行業(yè)或組織的具體信息安全風(fēng)險(xiǎn)環(huán)境編制其

。,

信息安全管理指南除本文件包含的控制外能通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)確定特定于組織或環(huán)境所需要的控制

。,。

所有類型和規(guī)模的組織包括公共和私營(yíng)部門(mén)商業(yè)和非營(yíng)利性組織都會(huì)以多種形式創(chuàng)建收集

(、)、、

處理存儲(chǔ)傳輸和處置信息包括電子的物理的和口頭的如對(duì)話會(huì)話和演示

、、,、(/)。

信息的價(jià)值超出了文字?jǐn)?shù)字和圖像的本身如知識(shí)概念觀點(diǎn)和品牌都是無(wú)形信息在互聯(lián)的世

、:、、。

界中信息和相關(guān)資產(chǎn)都值得或需要保護(hù)以防范各種風(fēng)險(xiǎn)源無(wú)論該風(fēng)險(xiǎn)是源自自然界還是意外或故

,,,,

意破壞

。

信息安全是通過(guò)實(shí)施一組適宜的控制來(lái)實(shí)現(xiàn)的包括策略規(guī)則過(guò)程規(guī)程組織結(jié)構(gòu)和軟硬件功

,、、、、

能組織宜在必要時(shí)定義實(shí)施監(jiān)視評(píng)審和改進(jìn)這些控制以滿足其特定的安全和業(yè)務(wù)目標(biāo)

。、、、,。

中規(guī)定的信息安全管理體系從整體協(xié)調(diào)的視角審視組織的信息安全風(fēng)險(xiǎn)在協(xié)調(diào)

GB/T22080(ISMS)、,

一致的管理體系總框架內(nèi)確定和實(shí)施一套全面的信息安全控制

。

對(duì)照所規(guī)定的和本文件許多信息系統(tǒng)包括其管理和運(yùn)營(yíng)尚未被設(shè)計(jì)為安

GB/T22080ISMS,,,

全的在進(jìn)行風(fēng)險(xiǎn)處置時(shí)需要仔細(xì)規(guī)劃注意細(xì)節(jié)來(lái)確定實(shí)施哪些控制

。,、,。

成功的需要得到組織內(nèi)所有人員的支持還可能需要股東或供應(yīng)商等其他相關(guān)方的參與同

ISMS,,

時(shí)也可能需要業(yè)內(nèi)專家的建議

。

一個(gè)適宜充分和有效的信息安全管理體系為組織的管理層及其他相關(guān)方提供以下保證它們的

、,:

信息及其他相關(guān)資產(chǎn)處于合理的安全狀態(tài)并免受威脅和損害從而使組織能夠?qū)崿F(xiàn)既定的業(yè)務(wù)目標(biāo)

,。

02信息安全要求

.

組織確定其信息安全要求是必要的信息安全要求有三個(gè)主要來(lái)源

。。

考慮組織的整體業(yè)務(wù)戰(zhàn)略與目標(biāo)來(lái)對(duì)組織風(fēng)險(xiǎn)進(jìn)行評(píng)估這能通過(guò)特定于信息安全的風(fēng)險(xiǎn)評(píng)

a)。

估來(lái)給予幫助或支持這宜得出對(duì)必要控制的確定以確保組織面臨的殘余風(fēng)險(xiǎn)符合其風(fēng)險(xiǎn)

。,

接受準(zhǔn)則

。

組織及其相關(guān)方貿(mào)易伙伴服務(wù)提供者等必須遵守的法律法規(guī)規(guī)章和合同要求及其社會(huì)

b)(、)、、

文化環(huán)境

。

組織為支持其運(yùn)行而為信息生存周期的所有步驟所建立的一整套原則目標(biāo)和業(yè)務(wù)要求

c)、。

03控制

.

控制的定義是改變或維持風(fēng)險(xiǎn)的措施本文件中的某些控制是修改風(fēng)險(xiǎn)而其他控制則是維持風(fēng)

。,

險(xiǎn)例如信息安全方針只能維持風(fēng)險(xiǎn)而遵守信息安全方針則能改變風(fēng)險(xiǎn)此外某些控制描述了不

。,,。,

同風(fēng)險(xiǎn)環(huán)境下相同的通用措施本文件提供了源于國(guó)際公認(rèn)最佳實(shí)踐的一系列組織人員物理和技術(shù)

。、、

信息安全控制

。

Ⅵ

GB/T22081—2024/ISO/IEC270022022

:

04控制的確定

.

控制的確定取決于組織在風(fēng)險(xiǎn)評(píng)估后做出的決策并有一個(gè)明確定義的范圍與已識(shí)別風(fēng)險(xiǎn)相關(guān)

,。

的決策宜基于風(fēng)險(xiǎn)接受準(zhǔn)則風(fēng)險(xiǎn)處置選項(xiàng)和組織所采用的風(fēng)險(xiǎn)管理方法控制的確定還宜考慮所有

、。

相關(guān)的國(guó)家和國(guó)際法律法規(guī)控制的確定還取決于不同控制的協(xié)同以實(shí)現(xiàn)縱深防御

。,。

組織能根據(jù)需要來(lái)設(shè)計(jì)控制或從任何來(lái)源識(shí)別控制在制定此類控制時(shí)組織宜考慮實(shí)施和運(yùn)行一

,。,

項(xiàng)控制所需的資源和投資與該控制所能實(shí)現(xiàn)的業(yè)務(wù)價(jià)值之間的比較請(qǐng)參見(jiàn)其提供

。ISO/IECTR27016,

了在資源需求競(jìng)爭(zhēng)的情況下做出投資決策以及這些決策的經(jīng)濟(jì)后果的指南

ISMS。

在為實(shí)施控制而部署的資源與因缺乏這些控制而發(fā)生安全事件所導(dǎo)致的潛在業(yè)務(wù)影響之間宜取得

平衡風(fēng)險(xiǎn)評(píng)估的結(jié)果宜有助于指導(dǎo)和確定適當(dāng)?shù)墓芾泶胧┕芾硇畔踩L(fēng)險(xiǎn)的優(yōu)先順序以及實(shí)施

。、,

為防范這些風(fēng)險(xiǎn)而確定的必要控制

。

本文件中的某些控制能被視為信息安全管理的指導(dǎo)原則適用于大多數(shù)組織有關(guān)確定控制和其

,。

他風(fēng)險(xiǎn)處置選項(xiàng)的更多信息參見(jiàn)

ISO/IEC27005。

05編制特定于組織的指南

.

本文件能被視為制定特定于組織的指南的出發(fā)點(diǎn)本文件中并非所有的控制和指南都適用所有組

。

織組織還可能需要本文件中未包含的額外控制和指南以滿足其具體需求和解決已識(shí)別到的風(fēng)險(xiǎn)

。,。

在編制包含額外的指南或控制的文件時(shí)給出與本文件條款間的交叉引用有助于日后參考

,,。

06生存周期的考慮

.

信息具有從創(chuàng)建到銷毀的生存周期在其整個(gè)生存周期中信息的價(jià)值和其面臨的風(fēng)險(xiǎn)可能會(huì)變

。,

化例如未經(jīng)授權(quán)披露或竊取公司財(cái)務(wù)賬戶在公布后并不重要但完整性仍然至關(guān)重要因此在所有

(,,),,

階段信息安全都很重要

。

與信息安全相關(guān)的信息系統(tǒng)和其他資產(chǎn)具有生存周期包括構(gòu)思規(guī)范設(shè)計(jì)開(kāi)發(fā)測(cè)試實(shí)施使

,、、、、、、

用維護(hù)并最終退役和銷毀每個(gè)階段均宜考慮信息安全新的系統(tǒng)開(kāi)發(fā)項(xiàng)目和對(duì)現(xiàn)有系統(tǒng)的變更能

、。。,

考慮組織面臨的風(fēng)險(xiǎn)和從安全事件中吸取的經(jīng)驗(yàn)教訓(xùn)