国家标准《信息安全技术 信息安全管理体系 要求》（征求意见稿）编制说明

国家标准编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安

全技术信息安全管理体系要求》由中国电子技术标准化研究院负责承办，目前

处于计划网上公示阶段。本标准由全国信息安全标准化技术委员会提出并归口。

1.2修订背景

本标准是ISO/IEC27000（ISMS）系列标准的核心基础标准，适用于各种类

型、规模或性质的组织，用于其建立、实现、维护和持续改进信息安全管理体系；

也可用于相关认证机构开展ISMS认证审核。采用信息安全管理体系是组织的一

项战略性决策。

本次修订工作是为了及时转化国际ISMS最新研究成果，帮助组织解决信息

安全问题，保证国内ISMS认证与国外相关认证结果互认，并考虑到ISO/IEC

27001:2022和ISO/IEC27002:2022均已完成修订并发布，且ISO/IEC27002:2022

相应国家标准修订工作现已完成报批稿。

1.3起草过程

中国电子技术标准化研究院负责组织起草，中国合格评定国家认可中心、中

国网络安全审查技术与认证中心、北京安信天行科技有限公司、中国信息安全测

评中心、黑龙江省网络空间研究中心、中电长城网际系统应用有限公司等单位共

同参与了本标准的起草工作。具体起草过程如下：

1）2023年2月，标准牵头单位联合信息安全管理体系认证认可及体系

咨询建设相关单位，组建标准编制组，共同研讨新版标准与旧版标准

的差异性，并确定任务分工。

2）2023年3-5月，标准牵头单位汇总形成标准草案初稿，形成统一术

语汇总，标准编制组根据各自分工校对相关内容，5月底通过工作组

标准周研讨审议。

3）2023年6-8月，标准编制组多次组织标准草案研讨会，针对有争议

的翻译条款进行讨论，从标准落地实施角度不断完善标准草案。

4）2023年8月25日，信安标委印发《关于上报2023年第一批网络安

全国家标准计划项目建议的函》（信安字〔2023〕16号），国家标

国家标准编制说明

准《信息安全技术信息安全管理体系要求》修订项目正式立项。

5）2023年9月11日至9月20日，在信安标委网站和微信公众号面向

社会公开征集标准参编单位。

6）2023年10月24日，标准牵头单位组织召开项目启动会，研讨确定

标准下一步编制思路、试点工作计划、任务分工等。

7）2023年11月2日，标准牵头单位在信安标委2023年第二次标准周

WG7工作组会上对标准修订情况进行了汇报，经过工作组内审议讨

论，建议推进至征求意见稿，会后对标准文本进一步修改完善并面向

编制组征集试点工作方案。

8）2023年11月23日，讨论标准试点工作方案，确定下一步试点工作

安排；2023年12月6日，组织编制工作组正式召开试点启动会，宣

贯试点工作方案并交流试点工作计划和想法，提出具体试点要求。

9）2023年12月8日，秘书处组织召开征求意见稿专家审查会，本标准

通过评审可以发起公开征求意见，并根据专家意见进行了修改完善。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准的研制工作遵循以下原则：

（1）通用性原则

本标准适用对象广泛，适用于各种类型、规模或性质的组织，转标过程中应

充分考虑各类型组织的特殊性或特定需求，标准条款落地实施适用各相关方。

（2）易读性原则

要做到表述通畅，具有可读性和可接受性，保证标准内容翻译符合中文语境，

使标准读者能够容易理解。

（3）一致性原则

本标准等同采用对应国际标准，与对应国际标准在语境语义等方面连贯一

致，在充分理解国际标准原文的基础上进行翻译，做到准确表达原意。

2.2主要内容及其确定依据

本标准等同采用ISOIEC27001-2022《信息安全、网络安全和隐私保护信

息安全管理体系要求》，对原国家标准GB/T22080-2016《信息技术安全技术

国家标准编制说明

信息安全管理体系要求》进行修订。

本标准适用对象包括拟提升自身信息安全保障能力的组织、拟建立ISMS的

组织、拟实施ISMS认证的组织、开展ISMS认证和咨询的相关机构等。本标准还

可用于认可机构开展合格评定相关工作。

本标准共包含10章和1个附录。前3章是标准的通用要素，分别为：范围、

规范性引用文件、术语和定义。从第4章开始是标准的主要技术内容，分别为：

组织环境、领导、规划、支持、运行、绩效评价、改进。附录A对标GB/T22081

列举满足信息安全管理体系要求需采取的信息安全控制措施参考。

2.3修订前后技术内容的对比

修订的主要内容除编辑性改动外，与GB/T22080—2016相比，主要修订了

以下内容：

a)增加“理解相关方的需求和期望”中相关要求（见4.2c)；

b)更新“信息安全风险处置”中适用性声明相关要求（见6.1.3d)）;

c)增加“变更的规划”要求（见6.3）；

d)更新“参考信息安全控制”（见附录A）。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益和生态效益

3.1试验验证的分析、综述报告

本标准的适用对象包括本标准适用于各种类型、规模或性质的组织，用于其

建立、实现、维护和持续改进信息安全管理体系，包括拟提升自身信息安全保障

能力的组织、拟建立ISMS的组织、拟实施ISMS认证的组织、开展ISMS认证和

咨询的相关机构等。本标准还可用于认可机构开展合格评定相关工作。

标准试点验证有助于提升标准质量与标准适用性，为标准发布后正式实施奠

定基础。本标准计划于2023年11月推进形成征求意见稿后，即可组织开展标准

试点工作。试点工作分为试点启动、试点实施、试点总结3个阶段，预计周期3

个月。

该标准的实施主体主要包括5类：

1.认可机构，依据本标准开展对ISMS认证机构的认可评审；

2.认证机构，依据本标准对组织开展ISMS认证；

国家标准编制说明

3.拟建立ISMS的组织，依据本标准建立、实现、维护和持续改进自身信

息安全管理体系，提升安全保障能力，并申请获得ISMS认证；

4.技术服务机构：依据本标准开展ISMS相关咨询与评估，针对ISMS中

的信息安全控制提供技术服务等，比如第三方测评机构、网络安全企业；

5.行业监管机构：在监管政策中引用本标准，或采信依据本标准的认证结

果或评价结果。

3.2技术经济论证

暂无。

3.3预期的经济效益、社会效益和生态效益

我国自2006年正式引用ISMS标准并组织开展认证工作以来，现有173家认

证机构开展了ISMS认证业务，有34582家组织获得了ISMS认证证书。组织通过

使用ISMS系列标准，推进自身信息安全管理能力建设，有效增强了信息安全保

障能力，提升了用户和行业客户信心，并促进了国际国内ISMS认证的协同发展

的良好局面。

通过实施本标准，使各相关组织通过应用风险管理过程来保持组织信息的保

密性、完整性和可用性，帮助组织有效管理信息安全风险，提升组织信息安全管

理能力；同时，指导认证机构开展ISMS认证工作，推动国内与国外相关认证结

果互认。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

ISO/IECJTC1/SC27于2022年10月发布了新版国际标准ISO/IEC

27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》（第3

版）。ISO/IEC27001是组织构建信息安全管理体系、开展信息安全管理体系认

证认可工作的核心技术文件，与ISO/IEC27002、ISO/IEC27005等国际标准一

并使用，指导组织在满足信息安全管理体系要求时需采取的信息安全控制，以及

在规划信息安全风险评估和处置过程中，验证没有忽略必要的控制。

国内组织长期积极关注信息安全管理体系（ISMS）标准的变化，将ISMS系

列内的ISO/IEC27001、ISO/IEC27002、ISO/IEC27005等国际标准最新版本及

时转化为国家标准，保障通用技术领域我国国家标准与国际标准的一致性。

国家标准编制说明

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外

标准，并说明未采用国际标准的原因

本标准等同采用国际标准ISOIEC27001-2022《信息安全、网络安全和隐

私保护信息安全管理体系要求》。

六、与有关法律、行政法规及相关标准的关系

本标准符合现有法律法规的要求，并与现有ISO/IEC27000（ISMS）系列标

准协调一致。

七、重大分歧意见的处理经过和依据

本标准编制过程中未出现重大分歧。

八、涉及专利的有关说明

本标准不涉及专利。

九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期

的建议等措施建议

建议本标准作为推荐性国家标准发布实施。标准发布后，将在标准起草单位

内率先开展应用，并通过标准宣贯、标准应用指南等方式，推进标准落地应用。

同时，从标准发布到标准实施，建议过渡期设置为6个月。

十、其他应当说明的事项

本标准代替GB/T22080-2016《信息技术安全技术信息安全管理体系要

求》。