GB/T 22081-2024 网络安全技术 信息安全控制
GB/T 22081-2024 Cybersecurity technology—Information security controls
基本信息
发布历史
-
2008年06月
-
2016年08月
-
2024年09月
研制信息
- 起草单位:
- 北京赛西科技发展有限责任公司、中国合格评定国家认可中心、中电长城网际系统应用有限公司、中国网络安全审查技术与认证中心、北京赛西认证有限责任公司、北京时代新威信息技术有限公司、北京江南天安科技有限公司、山东省标准化研究院、四川大学、杭州安恒信息技术股份有限公司、黑龙江省网络空间研究中心、上海浦东发展银行股份有限公司信用卡中心、北京百度网讯科技有限公司、亚信科技(成都)有限公司、工业互联网创新中心(上海)有限公司、阿里云计算有限公司、联想(北京)有限公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、麒麟软件有限公司、易航科技股份有限公司、华夏认证中心有限公司、北京数安行科技有限公司、上海观安信息技术股份有限公司、网安联信息技术有限公司、北京天融信网络安全技术有限公司、国家信息技术安全研究中心、北京蓝象标准咨询服务有限公司、厦门美柚股份有限公司、长扬科技(北京)股份有限公司、浪潮电子信息产业股份有限公司、中科信息安全共性技术国家工程研究中心有限公司、陕西省网络与信息安全测评中心、美的集团股份有限公司、中能融合智慧科技有限公司、北京神州绿盟科技有限公司、华为技术有限公司、北京时代亿信科技股份有限公司、北京源堡科技有限公司、国网新疆电力有限公司电力科学研究院、北京快手科技有限公司
- 起草人:
- 上官晓丽、王姣、王秉政、甘俊杰、付志高、闵京华、尤其、赵丽华、许玉娜、王连强、陈冠直、朱雪峰、公伟、林阳荟晨、胡勇、赵玉洁、陈星、李锐、王寒生、铁锦程、李文清、郭建领、廖双晓、秦峰、黄正艳、施辰琛、刘晨、杨天识、杨诏钧、赵翔、夏芳、刘玉红、谢江、阮懿宗、谢琴、朱松、肖婷婷、张德保、黄鹏华、张亚京、高丽琴、胡建勋、杨帆、张亮亮、刘长川、程潞样、张喆、易天舒、俞晓昕、顾俊、邹振婉、刘海军、袁莹颖、王昕
- 出版信息:
- 页数:153页 | 字数:279 千字 | 开本: 大16开
内容描述
ICS35030
CCSL.80
中华人民共和国国家标准
GB/T22081—2024/ISO/IEC270022022
:
代替GB/T22081—2016
网络安全技术信息安全控制
Cybersecuritytechnology—Informationsecuritycontrols
ISO/IEC270022022Informationsecuritcbersecuritand
(:,y,yy
rivacrotection—InformationsecuritcontrolsIDT
pypy,)
2024-09-29发布2025-04-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T22081—2024/ISO/IEC270022022
:
目次
前言
…………………………Ⅴ
引言
…………………………Ⅵ
范围
1………………………1
规范性引用文件
2…………………………1
术语定义和缩略语
3、………………………1
术语和定义
3.1…………………………1
缩略语
3.2………………5
文件结构
4…………………6
章条设置
4.1……………6
主题和属性
4.2…………………………7
控制的设计
4.3…………………………7
组织控制
5…………………8
信息安全策略
5.1………………………8
信息安全角色和责任
5.2………………10
职责分离
5.3……………11
管理责任
5.4……………12
与职能机构的联系
5.5…………………13
与特定相关方的联系
5.6………………13
威胁情报
5.7……………14
项目管理中的信息安全
5.8……………15
信息及其他相关资产的清单
5.9………………………17
信息及其他相关资产的可接受使用
5.10……………18
资产归还
5.11…………………………19
信息分级
5.12…………………………20
信息标记
5.13…………………………21
信息传输
5.14…………………………23
访问控制
5.15…………………………25
身份管理
5.16…………………………26
鉴别信息
5.17…………………………27
访问权限
5.18…………………………29
供应商关系中的信息安全
5.19………………………30
在供应商协议中强调信息安全
5.20…………………32
管理信息通信技术供应链中的信息安全
5.21………34
Ⅰ
GB/T22081—2024/ISO/IEC270022022
:
供应商服务的监视评审和变更管理
5.22、……………35
云服务使用的信息安全
5.23…………37
信息安全事件管理规划和准备
5.24…………………38
信息安全事态的评估和决策
5.25……………………40
信息安全事件的响应
5.26……………41
从信息安全事件中学习
5.27…………42
证据收集
5.28…………………………42
中断期间的信息安全
5.29……………43
业务连续性的信息通信技术就绪
5.30………………44
法律法规规章和合同要求
5.31、、……………………46
知识产权
5.32…………………………47
记录的保护
5.33………………………48
隐私和个人可识别信息保护
5.34……………………49
信息安全的独立评审
5.35……………50
符合信息安全的策略规则和标准
5.36、………………51
文件化的操作规程
5.37………………52
人员控制
6…………………53
审查
6.1…………………53
任用条款和条件
6.2……………………54
信息安全意识教育和培训
6.3、………………………55
违规处理过程
6.4………………………57
任用终止或变更后的责任
6.5…………58
保密或不泄露协议
6.6…………………59
远程工作
6.7……………60
信息安全事态的报告
6.8………………61
物理控制
7…………………62
物理安全边界
7.1………………………62
物理入口
7.2……………63
办公室房间和设施的安全保护
7.3、…………………64
物理安全监视
7.4………………………65
物理和环境威胁防范
7.5………………66
在安全区域工作
7.6……………………67
清理桌面和屏幕
7.7……………………68
设备安置和保护
7.8……………………69
组织场所外的资产安全
7.9……………70
存储媒体
7.10…………………………71
支持性设施
7.11………………………72
Ⅱ
GB/T22081—2024/ISO/IEC270022022
:
布缆安全
7.12…………………………73
设备维护
7.13…………………………74
设备的安全处置或重复使用
7.14……………………75
技术控制
8…………………76
用户终端设备
8.1………………………76
特许访问权限
8.2………………………78
信息访问限制
8.3………………………79
源代码的访问
8.4………………………80
安全鉴别
8.5……………81
容量管理
8.6……………83
恶意软件防范
8.7………………………84
技术脆弱性管理
8.8……………………85
配置管理
8.9……………88
信息删除
8.10…………………………90
数据脱敏
8.11…………………………91
数据防泄露
8.12………………………92
信息备份
8.13…………………………93
信息处理设施的冗余
8.14……………95
日志
8.15………………96
监视活动
8.16…………………………98
时钟同步
8.17…………………………100
特权实用程序的使用
8.18……………100
运行系统软件的安装
8.19……………101
网络安全
8.20…………………………102
网络服务的安全
8.21…………………104
网络隔离
8.22…………………………105
网页过滤
8.23…………………………106
密码技术的使用
8.24…………………106
安全开发生存周期
8.25………………108
应用程序安全要求
8.26………………109
系统安全架构和工程原则
8.27………………………111
安全编码
8.28…………………………113
开发和验收中的安全测试
8.29………………………115
开发外包
8.30…………………………116
开发测试和生产环境的隔离
8.31、…………………117
变更管理
8.32…………………………118
测试信息
8.33…………………………119
Ⅲ
GB/T22081—2024/ISO/IEC270022022
:
在审计测试中保护信息系统
8.34……………………120
附录资料性属性的使用
A()…………122
概述
A.1………………122
组织视图
A.2…………………………132
附录资料性本文件与的对应关系
B()GB/T22081—2016………133
参考文献
……………………143
Ⅳ
GB/T22081—2024/ISO/IEC270022022
:
前言
本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定
GB/T1.1—2020《1:》
起草
。
本文件代替信息技术安全技术信息安全控制实践指南与
GB/T22081—2016《》,GB/T22081—
相比除结构调整和编辑性改动外主要技术变化如下
2016,,:
对控制进行了合并删除同时也增加了新的控制与对应关系见附录
———、,,GB/T22081—2016B。
本文件等同采用信息安全网络安全和隐私保护信息安全控制
ISO/IEC27002:2022《、》。
本文件做了下列最小限度的编辑性改动
:
为与现有网络安全国家标准协调一致标准名称调整为网络安全技术信息安全控制
———,《》。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任
。。
本文件由全国网络安全标准化技术委员会提出并归口
(SAC/TC260)。
本文件起草单位北京赛西科技发展有限责任公司中国合格评定国家认可中心中电长城网际系
:、、
统应用有限公司中国网络安全审查技术与认证中心北京赛西认证有限责任公司北京时代新威信息
、、、
技术有限公司北京江南天安科技有限公司山东省标准化研究院四川大学杭州安恒信息技术股份有
、、、、
限公司黑龙江省网络空间研究中心上海浦东发展银行股份有限公司信用卡中心北京百度网讯科技
、、、
有限公司亚信科技成都有限公司工业互联网创新中心上海有限公司阿里云计算有限公司联想
、()、()、、
北京有限公司深信服科技股份有限公司启明星辰信息技术集团股份有限公司麒麟软件有限公司
()、、、、
易航科技股份有限公司华夏认证中心有限公司北京数安行科技有限公司上海观安信息技术股份有
、、、
限公司网安联信息技术有限公司北京天融信网络安全技术有限公司国家信息技术安全研究中心北
、、、、
京蓝象标准咨询服务有限公司厦门美柚股份有限公司长扬科技北京股份有限公司浪潮电子信息
、、()、
产业股份有限公司中科信息安全共性技术国家工程研究中心有限公司陕西省网络与信息安全测评中
、、
心美的集团股份有限公司中能融合智慧科技有限公司北京神州绿盟科技有限公司华为技术有限公
、、、、
司北京时代亿信科技股份有限公司北京源堡科技有限公司国网新疆电力有限公司电力科学研究院
、、、、
北京快手科技有限公司
。
本文件主要起草人上官晓丽王姣王秉政甘俊杰付志高闵京华尤其赵丽华许玉娜
:、、、、、、、、、
王连强陈冠直朱雪峰公伟林阳荟晨胡勇赵玉洁陈星李锐王寒生铁锦程李文清郭建领
、、、、、、、、、、、、、
廖双晓秦峰黄正艳施辰琛刘晨杨天识杨诏钧赵翔夏芳刘玉红谢江阮懿宗谢琴朱松
、、、、、、、、、、、、、、
肖婷婷张德保黄鹏华张亚京高丽琴胡建勋杨帆张亮亮刘长川程潞样张喆易天舒俞晓昕
、、、、、、、、、、、、、
顾俊邹振婉刘海军袁莹颖王昕
、、、、。
本文件及其所代替文件的历次版本发布情况为
:
年首次发布为年第一次修订
———2008GB/T22081—2008,2016;
本次为第二次修订
———。
Ⅴ
GB/T22081—2024/ISO/IEC270022022
:
引言
01背景
.
本文件适用于所有类型和规模的组织组织在实施基于信息安全管理体系的信息安
。G
定制服务
推荐标准
- DB61/T 1142.27-2018 甜瓜 西蜜8号 2018-04-10
- DB61/T 1142.29-2018 甜瓜 西农早蜜1号 2018-04-10
- DB61/T 1142.33-2018 番茄 金棚M6 2018-04-10
- DB61/T 1142.32-2018 番茄 红丰 2018-04-10
- DB61/T 1142.37-2018 番茄 西农183 2018-04-10
- DB61/T 1142.30-2018 甜瓜 西甜4号 2018-04-10
- DB61/T 1142.26-2018 甜瓜 陕甜1号 2018-04-10
- DB61/T 1142.25-2018 甜瓜 千玉1号 2018-04-10
- DB61/T 1142.35-2018 番茄 丽晶T2 2018-04-10
- DB61/T 1142.36-2018 番茄 毛T1 2018-04-10