信息技术 安全技术 GB-T 22080-2016具体行业应用 要求

GB/TXXXXX—XXXX信息技术安全技术GB/T22080-2016具体行业应用要求范围本标准规定了在任何具体行业（领域、应用区域或市场部门）使用GB/T22080-2016的要求。本标准解释了如何在GB/T22080-2016要求上包含附加的要求，如何细化GB/T22080-2016的要求，和如何包含GB/T22080-2016附录A之外的控制或控制集。本标准确保附加的或细化的要求与GB/T22080-2016的要求不冲突。本标准适用于那些制定与GB/T22080-2016相关具体行业标准的组织。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22080-2016信息技术安全技术信息安全管理体系要求（ISO/IEC27001:2013,IDT）GB/T22081-2016信息技术安全技术信息安全控制实践指南（ISO/IEC27002:2013,IDT）GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇（ISO/IEC27000:2016,IDT）术语和定义GB/T29246-2017界定的及下列术语和定义适用于本文件。解释interpretation在具体行业背景下对GB/T22080-2016要求的说明（以要求或指南的形式），这种说明不会使GB/T22080-2016要求失效。细化refinement对GB/T22080-2016要求在具体行业的详述，这种详述不会移除GB/T22080-2016要求或使其失效。本标准概述总则GB/T22080-2016是定义要求的标准，以建立、实现、维护和持续改进信息安全管理体系。该标准声明其要求是通用的，适用于各种类型、规模或性质的组织。ISO管理体系标准的建立依据ISO/IEC导则第1部分ISO综合补充（2016）[1]。GB/T22081-2016是为信息安全管理实践提供指南的标准，包括考虑了组织信息安全风险环境的控制的选择、实现和管理。该标准具备分层结构，包括章节、控制目标、控制、实现指南和其他信息。GB/T22081-2016指南是通用的，适用于各种类型、规模或性质的组织。GB/T22081-2016控制目标和控制以规范性附录形式列在GB/T22080-2016的附录A中。GB/T22080-2016要求组织确定实现已选的信息安全风险处置选项所必需的所有控制（见6.1.3b）），将6.1.3b）确定的控制与附录A中的控制进行比较，并验证没有忽略必要的控制（见6.1.3c））。随着GB/T22080-2016和GB/T22080-2016在组织（包括商业企业、政府机构和非营利组织）中被广泛接受，对这些标准的具体行业版本的需求正在出现。为实现这些具体行业需求而开发的标准示例有：ISO/IEC27010[2]，行业间和组织间通信的信息安全管理；ISO/IEC27011[3]，基于GB/T22081-2016的电信组织信息安全管理指南；ISO/IEC27017[4]，基于GB/T22081-2016的云服务信息安全控制实践指南；ISO/IEC27018[5]，可识别个人信息（PII）处理者在公有云中保护可识别个人信息的实践指南。ISO/IEC之外的组织也制订了实现具体行业需求的标准。具体行业标准宜与信息安全管理体系要求相一致。本标准为具体行业如何附加、细化或解释GB/T22080-2016的要求、如何附加或修改GB/T22081-2016的指南提供要求。本标准假定所有来自GB/T22080-2016未被细化或解释的要求和所有GB/T22081-2016未被修改的控制，将不加修改的适用于具体行业环境。本标准结构第5章提供要求和指南，给出在GB/T22080-2016要求上如何确定附加的要求、细化的要求或对要求的解释。第6章提供要求和指南，给出在GB/T22081-2016内容上如何提供附加的或修改的控制目标、控制、实现指南或其他信息。附录A包含与GB/T22080-2016和（或）GB/T22081-2016相关的宜用于具体行业标准的模版。附录B依据附录A，选取医疗行业给出了面向医疗的信息安全管理体系。在本标准中，使用以下概念以使GB/T22080-2016的要求适用于行业：——附加：见5.2——细化：见5.3——解释：见5.4在本标准中，使用以下概念以使GB/T22081-2016的指南适用于行业：——附加：见6.2——修改：见6.3遵循本标准要求而制定的任何具体行业指南不能被包含在技术报告中。ISO/IEC导则将技术报告定义为不含要求的文档，而任何依据本标准开发的具体行业标准，特别是附录A，都将至少包含一个要求集合（见A.2中模板的4.1节）。扩展GB/T22080-2016要求或GB/T22081-2016控制与GB/T22080-2016相关的具体行业标准可在GB/T22080-2016或GB/T22081-2016上附加要求或指南。这一附加可以将信息安全之外的要求或指南扩展到具体行业主题上。ISO/IEC27018可识别个人信息（PII）处理者在公有云中保护可识别个人信息的实践指南。ISO/IEC27018:2014附录A[5]包含一组旨在保护可识别个人信息的控制，从而使ISO/IEC27018[5]的范围除信息安全外还涵盖可识别个人信息的保护。附加、细化GB/T22080-2016要求或对要求的解释总则图1阐明了如何构建与GB/T22080-2016相关的具体行业要求。具体行业要求的构建附加的要求允许给出附加要求的规范。对信息安全方针有附加要求的行业，能够将其附加到GB/T22080-2016,5.2中规定的方针要求中。针对GB/T22080-2016附加的要求不应移除GB/T22080-2016确定的任何要求或使其失效。具体行业附加到GB/T22080-2016中的要求，可能时，应按照本标准附录A给定的要求和指南进行。细化的要求允许对GB/T22080-2016要求进行细化。细化不会移除GB/T22080-2016的任何要求或使其失效（见3.2）。GB/T22080-2016要求在具体行业的细化，可能时，应按照本标准附录A给定的要求和指南进行。具体行业标准可能包含对GB/T22080-2016附录A的附加控制。在这种情况下，GB/T22080-2016,6.1.3c）和d）信息安全风险处置的相关要求，需被细化，以包含具体行业标准给出的附加控制。允许给出特定方法的规范以满足GB/T22080-2016要求。特定行业有规定的方法确定在具体行业管理体系范围内工作人员的能力。这一要求能细化GB/T22080-2016,7.2中的通用要求。解释的要求允许对GB/T22080-2016要求进行解释。解释不会使GB/T22080-2016的任何要求失效，只是对其进行解释或将其放入具体行业背景中（见3.1）。对GB/T22080-2016要求在具体行业的解释，可能时，应按照本标准附录A给定的要求和指南进行。附加或修改GB/T22081-2016指南总则图2阐明了如何附加或修改GB/T22081-2016指南。具体行业指南的构建每项控制应仅包含一项由“宜”这个词形成的实例。在GB/T22080-2016中，信息安全风险处置要求组织陈述所选控制以及对附录A中保留和删减的控制给予正当理由。在控制描述中只使用一个“宜”，就消除了控制范围模糊的可能性。附加的指南允许对GB/T22081-2016的章节、控制目标、控制、实现指南和其他信息进行附加。对GB/T22081-2016附加的章节、控制目标、控制、实现指南和其他信息，可能时，应按照本标准附录A给定的要求和指南进行。在规定附加章节、控制目标或控制之前，制定与GB/T22080-2016相关具体行业标准的组织宜考虑是否有更有效的方法来修改GB/T22081-2016已有内容，或是否有更有效的方法在GB/T22081-2016已有内容之上附加具体行业控制目标、控制、实现指南和其他信息来达成期望的结果。修改的指南允许对GB/T22081-2016的章节、控制目标、控制、实现指南和其他信息进行修改。任何修改不应移除GB/T22081-2016的控制、使其失效或减少。对GB/T22081-2016章节、控制目标、控制、实现指南和其他信息的修改，可能时，应按照本标准附录A给定的要求和指南进行。（规范性附录）开发与GB/T22080-2016或GB/T22081-2016相关的具体行业标准的模版起草说明A.2中使用了下列格式规则：——尖括号<>中的文本宜用适宜的具体行业文本代替；对于电信行业，A.2模板中第4章的标题，“<行业>-具体要求...”,宜读作“电信-具体要求...”。——花括号｛｝中斜体的文本表示如何使用模版的此部分；本部分文本在具体行业标准最终版本中宜删除；——没有特定格式的文本宜原样复制。具体行业标准宜命名如下：面向<行业>的信息安全管理体系。模版0简介｛包括：本标准中包含的要求和（或）指南如何与GB/T22080-2016中规定的要求及GB/T22081-2016中的指南相关联。｝1范围｛包括：适用范围的声明，该声明包含了本标准与GB/T22080-2016及GB/T22081-2016的关系。｝2规范性引用文件｛插入相关的规范性引用文件，包括GB/T22080-2016和GB/T22081-2016。｝3术语和定义｛确保包含ISO/IEC27000。｝4与GB/T22080-2016相关的<行业>-具体要求｛总是插入以下文本。｝4.1本标准结构这是与GB/T22080-2016相关的具体行业的<文件类型>。｛如果具体行业标准有在GB/T22081-2016基础上附加的或修改的具体行业章节、控制目标或控制，插入以下文本。｝<行业>-具体参考控制目标和控制详见附录A。｛如果有，插入描述具体行业ISMS问题的子章节。｝4.2<行业>-具体要求｛在适当的情况下，插入下列两段文本中的一段。｝对GB/T22080-2016第4章到第10章的所有要求，不加修改的适用。｛或｝对GB/T22080-2016第4章到第10章的所有要求，以下没有出现的不加修改的适用。｛附加所有的具体行业要求。对附加的要求，使用与GB/T22080-2016相同格式的章节（子章节）号，但对行业至少使用三个字母作为前缀。当附加一项要求时，首先检查它是否与GB/T22080-2016中已有要求相关。如果是相关的，将新要求附加到相关的章节中并给予恰当序号。如果与已有要求不相关，将附加要求置于GB/T22080-2016相关要求之后，在章节中引入一个适宜的新子章节号。｝｛通过插入以下文本来表示附加到GB/T22080-2016要求上的具体行业要求。｝附加到GB/T22080-2016<章节（子章节）号>的要求是：｛通过插入以下文本来表示对GB/T22080-2016要求进行细化的具体行业要求。｝GB/T22080-2016要求<章节（子章节）号>细化如下：｛通过插入以下文本来表示对GB/T22080-2016要求进行解释的具体行业要求。｝GB/T22080-2016要求<章节（子章节）号>解释如下：｛如果可能，使用斜体表示附加、细化或解释的文本。｝｛如果具体行业标准有具体行业的控制，则总是插入以下文本。｝GB/T22080-2016要求6.1.3c）细化如下：将上述6.1.3b）确定的控制与GB/T22080-2016中附录A以及本<文件类型>附录A中的控制进行比较，以验证没有忽略必要的控制。GB/T22080-2016要求6.1.3d）细化如下：生成适用性声明，其中包含：--必要的控制（见GB/T22080-2016，6.1.3b）和c））；--选择这些控制的理由；--是否实现了必要的控制；--未选择GB/T22080-2016中附录A或本<文件类型>附录A中的任何控制的理由。｛要强制应用特定控制，请在GB/T22080-2016，6.1.3d）之后总是插入以下文本，并以恰当的方式识别强制控制，最好使用（M）作为控制编号的前缀。｝组织应实现由<X>识别的强制控制。5与GB/T22081-2016相关的<行业>-具体指南｛如果具体行业标准有在GB/T22081-2016基础上附加的或修改的具体行业章节、控制目标、控制、实现指南或其他信息，在本章节插入他们。附加章节、控制目标或控制的序号与GB/T22081-2016采用相同格式，但对行业至少使用三个字母作为前缀。当对GB/T22081-2016控制目标、控制、实现指南和（或）其他信息附加或修改时，首先检查它是否与GB/T22081-2016中已有控制目标、控制、实现指南和（或）其他信息相关。如果是相关的，附加或修改新控制目标、控制、实现指南和（或）其他信息到GB/T22081-2016相关的章节中并相应编号。如果与GB/T22081-2016中已有章节、控制目标或控制不相关，将附加的条目放置到GB/T22081-2016已有章节、控制目标或控制之后。｝｛总是插入以下文本。｝对GB/T22081-2016所有的章节、控制目标、控制、实现指南和其他信息，以下没有出现的不加修改的适用。｛通过插入以下文本来表示附加到GB/T22081-2016的具体行业章节。｝附加到GB/T22081-2016的章节是：｛通过在恰当章节之后插入以下文本来表示附加到GB/T22081-2016的具体行业控制目标。｝附加到GB/T22081-2016<章节号><章节标题>的控制目标是：｛通过在恰当的控制目标之后插入以下文本来表示附加到GB/T22081-2016的具体行业控制；确保控制目标反映附加的具体行业控制，并确保该附加不会使任何已有控制失效。｝附加到GB/T22081-2016<控制目标号><控制目标标题>的控制是：｛当修改控制目标、控制、实现指南或其他信息时（例如通过修改或附加到已有文本），根据GB/T22081-2016要求重新进行理解。根据需要插入以下任一项来表示对GB/T22081-2016中控制目标或控制的具体行业修改。｝<控制目标号><控制目标标题>修改如下：｛或｝<控制号><控制标题>修改如下：｛如果已有控制未被修改，仅给出附加的指南，根据需要插入以下标题之一。｝附加到GB/T22081-2016<控制号><控制标题>的实现指南是：附加到GB/T22081-2016<控制号><控制标题>的其它信息是：｛如果可能，使用斜体表示附加的或修改的文本。｝｛如果具体行业标准具有根据GB/T22081-2016附加的或者修改的具体行业章节、控制目标或控制，以与GB/T22081-2016附录A相同的方式构建规范性附录A，并在适用时用“应”代替“宜”。附录的名称和标题如下。｝附录A（规范性附录）<行业>-具体参考控制目标和控制｛下面介绍表A.1。｝表A.1中所列的附加或修改的控制目标和控制，是直接来源于本标准并与之相对应，并用于本标准细化的GB/T22080-2016，6.1.3环境中。附录B（资料性附录）面向医疗的信息安全管理体系说明本附录参考ISO27799:2016[6]健康信息-应用GB/T22081-2016时的医疗信息安全管理，依据信息安全管理体系在医疗行业具体应用实践，形成面向医疗的信息安全管理体系标准。本附录目的不是为了形成完善的面向医疗的信息安全管理体系，仅是给出面向行业的信息安全管理体系的示例，便于理解本标准并推动本标准落地实施。面向医疗的信息安全管理体系如下为依据附录A选取医疗行业给出的面向医疗的信息安全管理体系。0简介（引言）本标准为医疗机构如何更好保护医疗信息保密性、完整性和可用性提供指导。它基于GB/T22081-2016提供的通用指南，解决医疗行业特定的信息安全要求。本标准将GB/T22081-2016中信息安全控制应用于医疗行业，保护个人健康信息。1范围本标准在GB/T22081-2016基础上，为GB/T22081-2016所述的控制应用于医疗行业提供实现指南，并在必要时对其补充，以便有效管理医疗信息安全。本标准与GB/T22081-2016共同规定了医疗信息安全方面控制。本标准适用于医疗行业构建包含其特定需求的信息安全管理体系。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T29246-XXXX信息技术安全技术信息安全管理体系概述和词汇（ISO/IEC27000:2016,IDT）GB/T22081-2016信息技术安全技术信息安全控制实践（GB/T22081-2016:2013,IDT）3术语和定义ISO/IEC27000界定的术语和定义适用于本文件。4本标准结构本标准在GB/T22081-2016包含的14个安全控制章节、35个主要安全类别及114项控制基础上，给出针对医疗行业的附加或修改的信息安全控制指南。本标准控制的描述结构如下：Health控制在GB/T22081-2016基础上，给出针对医疗行业的附加或修改的信息安全控制。如无附加的控制，本项将不给出。Health实现指南为支持Health控制的实现并满足控制目标，提供更详细的信息。如无附加的实现指南，则陈述如下：“针对医疗行业没有附加的信息安全管理指南”。Health其他信息提供需要考虑的进一步的信息。如无附加的其他信息，本项将不给出。医疗行业具体参考控制目标和控制详见附录A。5信息安全策略5.1信息安全管理指导目标：依据业务要求和相关法律法规，为信息安全提供管理指导和支持。5.1.1信息安全策略控制对GB/T22081-2016，5.1.1节控制不加修改的适用。Health控制处理医疗相关信息（包括个人医疗信息）的组织，宜有书面的信息安全策略，由管理者批准，并发布传达给所有员工和外部相关方。实现指南对GB/T22081-2016，5.1.1节实现指南不加修改的适用。Health实现指南医疗行业信息安全策略宜包含：a）医疗信息安全的需求；b）医疗信息安全的目标；c）法律、法规要求；d）合同要求。医疗行业组织在制定其信息安全策略文件时，需要特别考虑下列因素：a）医疗信息的传输范围；b）员工的权利；c）医疗信息安全措施对病人安全的影响；d）医疗信息安全措施对医疗信息系统性能的影响。其他信息对GB/T22081-2016，5.1.1节其他信息不加修改的适用。5.1.2信息安全策略的评审控制对GB/T22081-2016，5.1.2节控制不加修改的适用。Health控制宜持续的、阶段性的对医疗信息安全策略进行评审。实现指南对GB/T22081-2016，5.1.2节实现指南不加修改的适用。Health实现指南下列情况宜对信息安全策略进行评审：a）医疗相关组织的业务性质发生变化，导致风险配置和风险管理需求发生变化；b）组织IT基础设施变更及后续变化，使组织引入了新的风险。6信息安全组织对GB/T22081-2016，第6章控制、实现指南和其他信息不加修改的适用。7人力资源安全7.1任用前目标：确保员工和合同方理解其责任，并适合其角色。 7.1.1审查控制对GB/T22081-2016，7.1.1节控制不加修改的适用。Health控制所有任用候选者的背景验证核查宜包括经过专业认证的医疗专业资格的核查。实现指南对GB/T22081-2016，7.1.1节实现指南不加修改的适用。Health实现指南针对医疗行业没有附加的信息安全管理指南。7.1.2任用条款及条件控制对GB/T22081-2016，7.1.2节控制不加修改的适用。Health控制宜特别注意医疗机构临时或短期工作人员的角色和责任。实现指南对GB/T22081-2016，7.1.2节实现指南不加修改的适用。Health实现指南针对医疗行业没有附加的信息安全管理指南。其他信息对GB/T22081-2016，7.1.2节其他信息不加修改的适用。7.2任用中对GB/T22081-2016，7.2节控制、实现指南和其他信息不加修改的适用。7.3任用的终止和变更对GB/T22081-2016，7.3节控制、实现指南和其他信息不加修改的适用。8资产管理对GB/T22081-2016，第8章控制、实现指南和其他信息不加修改的适用。9访问控制对GB/T22081-2016，第9章控制、实现指南和其他信息不加修改的适用。10密码对GB/T22081-2016，第10章控制、实现指南和其他信息不加修改的适用。11物理和环境安全11.1安全区域目标：防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。11.1.1物理安全边界控制对GB/T22081-2016，11.1.1节控制不加修改的适用。Health控制处理医疗信息的组织宜使用安全边界，以保护包含医疗信息的信息处理设施。实现指南对GB/T22081-2016，11.1.1节实现指南不加修改的适用。Health实现指南针对医疗行业没有附加的信息安全管理指南。其他信息对GB/T22081-2016，11.1.1节附加信息不加修改的适用。11.1.2物理入口控制控制对GB/T22081-2016，11.1.2节控制不加修改的适用。实现指南对GB/T22081-2016，11.1.2节实现指南不加修改的适用。Health实现指南针对医疗行业没有附加的信息安全管理指南。11.1.3办公室、房间和设施的安全保护控制对GB/T22081-2016，11.1.3节控制不加修改的适用。实现指南对GB/T22081-2016，11.1.3节实现指南不加修改的适用。Health实现指南针对医疗行业没有附加的信息安全管理指南。11.1.4外部和环境威胁的安全防护控制对GB/T22081-2016，11.1.4节控制不加修改的适用。实现指南对GB/T22081-2016，11.1.4节实现指南不加修改的适用。Health实现指南针对医疗行业没有附加的信息安全管理指南。11.1.5在安全区域工作控制对GB/T22081-2016，11.1.5节控制不加修改的适用。实现指南对GB/T22081-2016，11.1.5节实现指南不加修改的适用。Health实现指南针对医疗行业没有附加的信息安全管理指南。11.1.6交接区控制对GB/T22081-2016，11.1.6节控制不加修改的适用。实现指南对GB/T22081-2016，11.1.6节实现指南不加修改的适用。Health实现指南值得注意的是，医疗信息的提供包含了大量关于人身体相关的敏感信息。收集健康信息的相关领域应进行额外的安全审查。11.2设备对GB/T22081-2016，11.2节控制、实现指南和其他信息不加修改的适用。12运行安全对GB/T22081-2016，第12章控制、实现指南和其他信息不加修改的适用。13通信安全对GB/T22081-2016，第13章控制、实现指南和其他信息不加修改的适用。14系统获取、开发和维护对GB/T22081-2016，第14章控制、实现指南和其他信息不加修改的适用。15供应商关系15.1供应商关系中的信息安全15.1.1供应商关系的信息安全策略控制对GB/T22081-2016，15.1.1节控制不加修改的适用。Health控制组织处理医疗信息时，宜评估与信息相关系统和数据的风险。实现指南对GB/T22081-2016，15.1.1节实现指南不加修改的适用。Health实现指南针对医疗行业没有附加的信息安全管理指南。其他信息对GB/T22081-2016，15.1.1节其他信息不加修改的适用。15.1.2在供应商协议中强调安全控制对GB/T22081-2016，15.1.2节控制不加修改的适用。实现指南对GB/T22081-2016，15.1.2节实现指南不加修改的适用。Health实现指南针对医疗行业没有附加的信息安全管理指南。其他信息对GB/T22081-2016，15.1.2节其他信息不加修改的适用。15.1.3信息与通信技术供应链控制对GB/T22081-2016，15.1.3节控制不加修改的适用。实现指南对GB/T22081-2016，15.1.3节实现指南不加修改的适用。Health实现指南针对医疗行业没有附加的信息安全管理指南。其他信息对GB/T22081-2016，15.1.3节其他信息不加修改的适用。15.2供应商服务交付管理对GB/T22081-2016，15.2节控制、实现指南和其他信息不加修改的适用。16信息安全事件管理对GB/T22081-2016，第16章控制、实现指南和其他信息不加修改的适用。17业务连续性管理的信息安全方面对GB/T22081-2016，第17章控制、实现指南和其他信息不加修改的适用。18符合性对GB/T22081-2016，第18章控制、实现指南和其他信息不加修改的适用。附录A（规范性附录）医疗行业具体参考控制目标和控制表A.1中所列的附加或修改的控制目标和控制，是直接源自本标准并与之相对应，在本标准细化的GB/T22080-2016，6.1.3环境中使用。表A.1附加或修改的控制目标和控制A.5信息安全策略A.5.1信息安全管理指导无附加的控制目标A.5.1.1信息安全策略Health控制处理医疗相关信息（包括个人医疗信息）的组织，应有书面的信息安全策略，由管理者批准，并发布传达给所有员工和外部相关方。A.5.1.2信