2025年6月30日,国家市场监督管理总局与国家标准化管理委员会联合发布GB/T 22080-2025《网络安全技术 信息安全管理体系 要求》。作为该标准的第二次修订版本,新标准将全面替代GB/T 22080-2016,并定于2026年1月1日正式实施。
标准修订背景与定位
本次修订等同采用国际标准ISO/IEC 27001:2022《信息安全、网络安全和隐私保护信息安全管理体系 要求》(含修正案)
适用范围:
标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。标准还规定了根据组织需求所剪裁的信息安全风险评估和处置的要求。标准适用于各种类型、规模或性质的组织。
主要内容:
标准从组织环境、领导、规划、支持、运行、绩效评价和改进七个方面规定了要求
组织环境(第4章)
确定影响达到ISMS预期结果能力的内外部事项
确定拟通过ISMS来解决的相关方的要求
确定ISMS范围
建立、实现、维护和持续改进ISMS
变化情况
【新增】确定气候变化是否是影响组织ISMS能力的因素(见4.1)
【新增】识别拟通过1SMS来解决的相关方的要求(见4.2c)
【新增】引用《ISO和IAF(国际认可论坛)关于管理体系标准中增加气候变化因素的联合公报》作为参考资料,并提供下载链接(见第4章脚注和参考文献)
领导(第5章)
最高管理层应证实对ISMS的领导和承诺
信息安全方针
相关角色的责任和权限的分配与沟通
规划(第6章)
确定需应对的风险和机会,规划应对风险和机会的措施
定义并应用信息安全风险评估过程和信息安全风险处置过程
建立信息安全目标并规划如何达到信息安全目标
对ISMS变更的实施应进行规划
变化情况
【新增】适用性声明应包括信息安全控制的实现状态(见6.1.3d)
【新增】信息安全目标应得到监视并形成文件化信息[(6.2d),g]
【新增】组织应对ISMS变更的实施进行规划(见6.3)
支持(第7章)
-
确定并提供ISMS所需资源。
-
确保相关人员是胜任的且具备信息安全意识
-
确定内外部沟通需求
-
创建、控制和更新文件化信息
变化情况
【新增】7.4 d)-如何沟通
【删除】原7.4 d)-谁来沟通和e)-影响沟通的过程
运行(第8章)
规划、实现和控制所需的过程
控制变更和由外部提供的相关过程、产品或服务
按照计划或发生重大变更时,实施信息安全风险评估,并实现信息安全风险处置计划
变化情况
【新增】组织应建立过程的准则并根据过程准则实现对过程的控制(见8.1)
【修改】用“外部提供的与ISMS有关的过程、产品或服务”代替“外包过程”(见8.1)
绩效评价(第9章)
-
实施监视、测量、分析和评价活动
-
按计划的时间间隔开展内部审核和管理评审
-
变化情况
【新增】9.2-内部审核和9.3-管理评审增加了三级标题,提高可读性
【修改】将原“组织应保留文件化信息作为….的证据”修改为“作为…证据的文件化信息应可用”(见9.2.2,9.3.3)
【新增】管理评审应考虑相关方与ISMS相关的需求和期望的变化(见9.3.2c)]
改进(第10章)
变化情况
【修改】将原10.1-不符合及纠正措施和10.2-改进的条款顺序进行了对调
【修改】将原“组织应保留文件化信息作为以下方面的证据:”调整为“作为以下证据的文件化信息应可用:”(见10.2)
附录A(规范性)信息安全控制参考
变化情况
【修改】控制展示方式由原来的“控制类别(含控制目标)、控制项”调整为“控制主题、控制项”(见表A.1)
【修改】原“114项控制”调整为“93项控制”,新增“数据脱敏”、“数据防泄露”等控制(见表A.1)
颐卓咨询管理集团-广州总部
总部地址:广州市海珠区琶洲数字科技产业园A15-2栋
联系方式:13622221264(张小姐)
邮 箱:eyzo@chinakec.com
公司官网:www.chinakec.com
集团分支机构:深圳、成都、重庆、佛山、东莞、长沙、武汉、北京、昆山、厦门等