ICS35.030 CCS L 80 中华人民共和国国家标准 GB/T 22080—2025/IS0/IEC27001:2022 代替GB/T22080—2016 网络安全技术 信息安全管理体系 要求 Cybersecurity technology-Information security management systems- Requirements (IS0/1EC 27001:2022.,Information security, cybersecurity and privacy protectionInformation security management systemsRequirements, IDT) 2025-06-30发布 2026-01-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T22080—2025/ISO/IEC27001:2022 目 次 前言 引言 1 范围 2规范性引用文件 术语和定义 组织环境 4 4.1 理解组织及其环境 4.2 理解相关方的需求和期望 4.3 确定信息安全管理体系范围 4.4 信息安全管理体系 5 领导 5.1 领导和承诺 5.2 方针 5.3 组织的角色、责任和权限 6规划 6.1 应对风险和机会的措施 信息安全目标及其实现规划 6.2 6.3 针对变更的规划 支持 7.1 资源 7.2 能力 7.3 意识 7.4 沟通 文件化信息 7.5 运行 8 8.1 运行规划和控制 8.2 信息安全风险评估 8.3 信息安全风险处置 9续效评价 9.1 监视、测量、分析和评价 9.2 内部审核 9.3 管理评审 10 改进 I GB/T22080—2025/ISO/IEC27001:2022 10.1持续改进 10.2不符合与纠正指施 7 附录A（规范性） 信息安全控制参考 ...... 9 参考文献 16 GB/T22080—2025/IS0/IEC27001.2022 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分，标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T22080一2016《信息技术安全技术信息安全管理体系要求》，与GB/T22080— 2016相比，除编辑性改动外，主要技术变化如下， a）增加了“组织应确定气候变化是否是一个相关事项”（见4.1)， b）增加了"组织应确定哪些要求将通过信息安全管理体系来解决”[见4.2c)]； c）更改了"信息安全风险处置”中适用性声明相关要求[见6.1.3d)，2016年版的6.1.3d)]； d）增加了“针对变更的规划”要求（见6.3)； 更改了信息安全控制参考，包括对部分原有的控制进行合并、增加新的控制和调整控制的展示 e) 方式（见附录A，2016年版的附录A）。 本文件等同采用ISO/IEC27001：2022《信息安全、网络安全和隐私保护信息安全管理体系要 求》。 本文件做了下列最小限度的编辑性改动： 一纳入ISO/IEC27001：2022/Amd1：2024《信息安全、网络安全和隐私保护信息安全管理体 系要求》修正案1：与气候行动相关的变化，并用双垂线在对应有变化的条款外侧标示。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会（SAC/TC260)提出并归口。 本文件起草单位：中国电子技术标准化研究院、中国合格评定国家认可中心、中国网络安全审查认 证和市场监管大数据中心、北京安信天行科技有限公司、中国信息安全测评中心、黑龙江省网络空间研 究中心、中电长城网际系统应用有限公司、山东省标准化研究院、亚信科技（成都）有限公司、深圳市腾讯 计算机系统有限公司、南方电网数字电网集厨信息通信科技有限公司、中国烟草总公司湖北省公司、 北京天融信网络安全技术有限公司、唯品会（中国）有限公司、杭州安恒信息技术股份有限公司、广州赛 宝认证中心服务有限公司、中国船级社质量认证有限公司、北京赛西认证有限责任公司、启明星辰信息 技术集团股份有限公司、北京中金云网科技有限公司、浙江网商银行股份有限公司、北京时代新威信息 技术有限公司、中国石油天然气股份有限公司西北销售分公司。 本文件主要起草人：许玉娜、付志高、王秉政、林阳荟晨、尤其、魏立茹、翟亚红、陈青民、陆丽、杨婧、 王琰、曲家兴、方舟、白瑞、杨宵璇、闵京华、白旭东、王姣、朱雪峰、公伟、廖双晓、刘震宇、王琼、杨斯可、 寇增杰，周禹、王拓、鲁立、孙毅、赵丽华、杨天识、程燕、史艳语、王连强、谢建林、刘杰、于慧超。 本文件及其所代替文件的历次版本发布情况为： -2008年首次发布为GB/T22080一2008，2016年第一次修订； 一本次为第二次修订。 GB/T22080—2025/ISO/IEC27001:2022 引 創言 0.1概述 本文件提供了建立、实现、维护和持续改进信息安全管理体系的要求。采用信息安全管理体系是组 织的一项战略性决策。组织信息安全管理体系的建立和实现受组织的需求和目标、安全要求、组织所采 用的过程、规模和结构的响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并为相关方树立 风险得到充分管理的信心 对组织而言，重要的是要将信息安全管理体系整合到组织的过程和整体管理结构中，使之成为后者 的一部分，并在组织的过程、信息系统和控制的设计中要考虑信息安全。信息安全管理体系的实现程度 是要与组织的需求相符 本文件能被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求 本文件表述要求的顺序并不反映各要求的重要性，也不意味着实现这些要求时的顺序。 条款编号 仅是为了方便引用。 ISO/IEC27000描述了值息安全管理体 的概述和同汇，引用信息安全管理体系标准族（包括 ISO/IEC27003,ISO/IEC2700和SO/IE 27005），以及相关术语和定义 0.2与其他管理体系标准的兼容性 本文件应用ISO/IECDFectivePa附录SL定美的高层结构相同条款标题、相同文本、通用 术语和核心定义，因此维护了与其他采用附录经酸得孕标准的兼容性 附录SL中定义的通用途径对子选择 理体系来满足多个管理体系标准要求的组织是有 用的。 IV GB/T220802025/ISO/IEC27001：2022 网络安全技术信息安全管理体系 要求 1范围 本文件规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。本文件还规定 了根据组织需求所剪裁的信息安全风险评估和处置的要求。本文件规定的要求是通用的，适用于各种 类型、规模或性质的组织。当组织声称符合本文件时，不接受排除第4章到第10章中规定的任何要求。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 ISO/IEC27000 信息技术安全技术信息安全管理体系概述和词汇（Information technology—Securitytechniques—Information securitymanagement systemsOverviewandvocabulary) 3术语和定义 ISO/IEC27000界定的术语和定义适用于本文件。 ISO和IEC维护的用于标准化的术语数据库网址如下： —ISO在线浏览平台：https：//www.iso.org/obp； —IEC电子百科：https：//www.electropedia,org。 4组织环境 4.1理解组织及其环境 组织应确定与其意图相关的，且影响其达到信息安全管理体系预期结果能力的外部和内部事项。 组织应确定气候变化"是否是一个相关事项。 1 注：对这些事项的确定，见GB/T24353一2022中5.4.1建立外部和内部环境。 4.2理解相关方的需求和期望 组织应确定： a）信息安全管理体系的相关方； b）这些相关方的有关要求； c）哪些要求将通过信息安全管理体系予以解决。 注1：相关方的要求包括法律、法规和合同义务。 注2：相关方可能提出与气候变化相关的要求。 1 1）有关气候变化的更多信息，见ISO和国际认可论坛(IAF)关于管理体系标准中增加气候变化因索的联合公报。 1 GB/T22080—2025/IS0/IEC27001:2022 4.3 确定信息安全管理体系范围 组织应确定信息安全管理体系的边界及其适用性，以建立其范围。 组织应根据以下内容确定信息安全管理体系范围： a）4.1中提到的外部和内部事项， b）4.2中提到的要求； c）组织实施的活动与其他组织实施的活动之间的接口和依赖关系。 范围应形成文件化信息并可用。 4.4信息安全管理体系 组织应按本文件的要求，建立、实现、维护和持续改进信息安全管理体系，包括所需的过程及其相互 作用。 5领导 5.1领导和承诺 最高管理 层应通过以下活动，证实其对信息安全管理体系的领导和承诺 确保建立信息安全方针和信息安至月标并与组织战略方向一致 a) b) 确保将信息安全管理体系要求整合到组织的业务过程中 确保信息安全管理体系所需资源可用 c) (P 沟通有效信息安全管理的重要性和符合信息安全管理体系要求的重要性； e) 确保信息安全管理体系达到预期结果 f) 指导并支持相关人员为信息安全管理体系的有物作出贡献 g) 促进持续改进； h) ）支特其他相关管理角色在职责范围内