ICS 35.030 CCS L 80 中华人民共和国国家标准 GB/T22080—2025/ISO/IEC27001:2022 代替GB/T22080—2016 网络安全技术 信息安全管理体系 要求 Cybersecurity technologyInformation security management systems- Requirements (ISO/IEC 27001:2022,Information security,cybersecurity and privacy protection-Information security management systems-Requirements,IDT) 2026-01-01实施 2025-06-30发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 22080—2025/ISO/IEC 27001:2022 目 次 前言 III 引言 IV 范围 规范性引用文件 2 术语和定义 组织环境 4 4.1 理解组织及其环境 4.2 理解相关方的需求和期望 4.3 确定信息安全管理体系范围 4.4 信息安全管理体系 5领导 5.1 领导和承诺 5.2 方针 5.3 组织的角色、责任和权限. 2 6规划 6.1 应对风险和机会的措施 6.2 信息安全目标及其实现规划 6.3 针对变更的规划 支持 7 7.1 资源 7.2 能力. 7.3 意识 7.4 沟通 5 7.5 文件化信息 8运行 8.1 运行规划和控制 8.2 信息安全风险评估 8.3 信息安全风险处置 9绩效评价 6 9.1 监视、测量、分析和评价 9.2 内部审核 9.3 管理评审 改进 GB/T 22080—2025/ISO/IEC 27001:2022 10.1 持续改进. 7 10.2 不符合与纠正措施 7 附录A (规范性) 信息安全控制参考 9 参考文献 16 II GB/T 22080—2025/ISO/IEC 27001:2022 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T22080一2016《信息技术安全技术信息安全管理体系要求》，与GB/T22080一 2016相比，除编辑性改动外，主要技术变化如下： a）增加了“组织应确定气候变化是否是一个相关事项”（见4.1)； [）， c）更改了“信息安全风险处置”中适用性声明相关要求（见6.1.3d)，2016年版的6.1.3d]］； 增加了“针对变更的规划”要求（见6.3）； d) 更改了信息安全控制参考，包括对部分原有的控制进行合并、增加新的控制和调整控制的展示 e)l 方式（见附录A,2016年版的附录A）。 本文件等同采用ISO/IEC27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要 求》。 本文件做了下列最小限度的编辑性改动： 为与我国技术标准体系协调，标准名称改为《网络安全技术信息安全管理体系要求》； 纳人IS0/IEC27001:2022/Amd1:2024《信息安全、网络安全和隐私保护信息安全管理体 系要求》修正案1:与气候行动相关的变化，并用双垂线在对应有变化的条款外侧标示。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会（SAC/TC260)提出并归口。 本文件起草单位：中国电子技术标准化研究院、中国合格评定国家认可中心、中国网络安全审查认 究中心、中电长城网际系统应用有限公司、山东省标准化研究院、亚信科技(成都)有限公司、深圳市腾讯 计算机系统有限公司、南方电网数字电网集固信息通信科技有限公司、中国烟草总公司湖北省公司、 北京天融信网络安全技术有限公司、唯品会（中国）有限公司、杭州安恒信息技术股份有限公司、广州赛 宝认证中心服务有限公司、中国船级社质量认证有限公司、北京赛西认证有限责任公司、启明星辰信息 技术集团股份有限公司、北京中金云网科技有限公司、浙江网商银行股份有限公司、北京时代新威信息 技术有限公司、中国石油天然气股份有限公司西北销售分公司。 本文件主要起草人：许玉娜、付志高、王秉政、林阳荟晨、尤其、魏立茹、翟亚红、陈青民、陆丽、杨婧婿、 王琰、曲家兴、方舟、白瑞、杨璇、闵京华、白旭东、王姣、朱雪峰、公伟、廖双晓、刘震宇、王琼、杨斯可 寇增杰、周禹、王拓、鲁立、孙毅、赵丽华、杨天识、程燕、史艳语、王连强、谢建林、刘杰、于慧超。 本文件及其所代替文件的历次版本发布情况为： 一一2008年首次发布为GB/T22080一2008,2016年第一次修订； 一一本次为第二次修订。 III GB/T22080—2025/ISO/IEC27001:2022 引言 0.1概述 本文件提供了建立、实现、维护和持续改进信息安全管理体系的要求。采用信息安全管理体系是组 织的一项战略性决策。组织信息安全管理体系的建立和实现受组织的需求和目标、安全要求、组织所采 用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并为相关方树立 风险得到充分管理的信心。 对组织而言，重要的是要将信息安全管理体系整合到组织的过程和整体管理结构中，使之成为后者 的一部分，并在组织的过程、信息系统和控制的设计中要考虑信息安全。信息安全管理体系的实现程度 是要与组织的需求相符合。 本文件能彼内部和外部各方用手评估组织的能力是否满足自身的信息安全要求。 本文件表述要求的顺序并不反映各要求的重要性，也不意味着实现这些要求时的顺序。条款编号 仅是为了方便引用。 ISO/IEC27000描述了信息安全管理体系约概述和词汇，引用了信息安全管理体系标准族（包括 IS0/IEC27003、IS0/IEC27004和IS0/IEC27005)，以及相关术语和定义。 0.2与其他管理体系标准的兼容性 本文件应用ISO/IEC D rectives,PrL附录SL 定光的益法结构、租同条款标题、相同文本、通用 术语和核心定义，因此维护了与其他采用附录9的供婴去标推的兼容性。 附录 SL 中定义的通用途径对于选择运行单一管理体系来满足多个管理体系标准要求的组织是有 用的。 IV GB/T 22080—2025/ISO/IEC 27001:2022 网络安全技术信息安全管理体系，要求 1范围 本文件规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。本文件还规定 了根据组织需求所剪裁的信息安全风险评估和处置的要求。本文件规定的要求是通用的，适用于各种 类型、规模或性质的组织。当组织声称符合本文件时，不接受排除第4章到第10章中规定的任何要求。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单)适用于 本文件。 ISO/IEC27000 信息技术安全技术信息安全管理体系概述和词汇(Information technology—Security techniques—Information security management systems—Overview and vocabulary) 注：GB/T 29246—2023信息安全技术信息安全管理体系概述和词汇(ISO/IEC 27000:2018,IDT) 3术语和定义 ISO/IEC 27000界定的术语和定义适用于本文件。 ISO 和IEC 维护的用于标准化的术语数据库网址如下： -ISO在线浏览平台：https://www.iso.org/obp; —IEC 电子百科：https://www.electropedia,org。 4组织环境 4.1 理解组织及其环境 组织应确定与其意图相关的，且影响其达到信息安全管理体系预期结果能力的外部和内部事项。 组织应确定气候变化1”是否是一个相关事项。 注：对这些事项的确定，见GB/T24353一2022中5.4.1建立外部和内部环境 4.2理解相关方的需求和期望 组织应确定： a）信息安全管理体系的相关方； b）这些相关方的有关要求; c）哪些要求将通过信息安全管理体系予以解决， 注1:相关方的要求包括法律、法规和合同义务。 注2:相关方可能提出与气候变化相关的要求。 1)有关气候变化的更多信息，见ISO和国际认可论坛（IAF)关于管理体系标准中增加气候变化因素的联合公报。 1 GB/T 22080—2025/ISO/IEC27001:2022 4.3确定信息安全管理体系范围 组织应确定信息安全管理体系的边界及其适用性，以建立其范围。 组织应根据以下内容确定信息安全管理体系范围： a）4.1中提到的外部和内部事项； b)4.2中提到的要求; c）组织实施的活动与其他组织实施的活动之间的接口和依赖关系。 范围应形成文件化信息并可用。 4.4信息安全管理体系 组织应按本文件的要求，建立、实现、维护和持续改进信息安全管理体系，包括所需的过程及其相互 作用。 5领导 5.1领导和承诺 a) 确保建立了信息安全方针和信息安全目标，并与组织战略方向一致； b) 确保将信息安全管理体系要求整合到组织的业务过程中 确保信息安全管理体系所需资源可用 c) d) 沟通有效信息安全普理的重要性和符合信息安全管理体系要求的重要性； e) 确保信息安全管理体系达到预期结果 f） 指导并支持相关人员为信息安全管