ICS 35.040 L 80 GB 中华人民共和国国家标准 GB/T22081—2016/IS0/IEC27002:2013 代替GB/T22081—2008 信息技术 安全技术 信息安全控制实践指南 Information technologySecurity techniquesCode of practice for information security controls (ISO/1EC27002:2013,IDT) 2016-08-29 发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 2 GB/T22081—2016/1S0/IEC27002:2013 目 次 前言 引言 0.1 背景和环境…… 0.2 信息安全要求…… 0.3 控制的选择 0.4 编制组织白己的指南 0.5 生命周期的考虑 0.6 相关标准… 1 范围 2 规范性引用文件 3 术语和定义 4 标准结构 4.1 4.2控制类别 5信息安全策略 5.1 信息安全管理指导 6信息安全组织 6.1 内部组织 6.2 移动设备和远程工作 7 人力资源安全 7.1 任用前 7.2 任用中 7.3 任用的终止和变更 8 资产管理 0 8.1 有关资产的责任 8.2 信息分级 8.3 介质处理· 13 9访问控制 9.1 访问控制的业务要求..... 14 9.2 用户访问管理 15 9.3 用户责任 18 9.4 系统和应用访问控制 10 密码 21 10.1 密码控制 21 11物理和环境安全 23 - 3 GB/T22081—2016/IS0/IEC27002:2013 11.1 安全区域 23 11.2设备 25 12运行安全 28 12.1 运行规程和责任 12.2 恶意软件防范 30 12.3 备份 . 31 12.4 日志和监视 32 12.5 运行软件控制 12.6 技术方面的脆弱性管理 34 12.7 信息系统审计的考虑 36 13通信安全 13.1 网络安全管理 13.2信息传输 38 14系统获取、开发和维护 14.1 信息系统的安全要求 14.2 开发和支持过程中的安全 14.3测试数据 15供应商关系 46 15.1供应商关系中的信息安全 46 15.2供应商服务交付管理 16信息安全事件管理 61 16.1信息安全事件的管理和改进 49 17业务连续性管理的信息安全方面 52 17.1信息安全的连续性 52 17.2穴余 54 18符合性 54 18.1符合法律和合同要求 18.2信息安全评审 56 附录NA（资料性附录） GB/T220812016与GB/T220812008对比 58 附录NB（资料性附录）GB/T22081—2016与GB/T22081—2008主要关键词变化 参考文献 65 4 GB/T22081—2016/1S0/IEC27002:2013 前言 本标准按照GB/T1.12009给出的规则起草。 本标准代替GB/T22081一2008《信息技术安全技术信息安全管理实用规则》。 本标准与GB/T22081一2008相比.主要技术变化如下： 结构变化见附录NA； 一术语变化见附录NB。 本标准使用翻译法等同采用IS0/IEC27002：2013《信息技术 安全技术信息安全控制实践指 南》及其相应的技术误（ISO/1EC27002：2013/COR1：2014）。 与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下： GB/T29246一2012信息技术安全技术信息安全管理体系概述和词汇（ISO)/IEC27000： 2009.IDT)。 本标准做了下列编辑性修改： -增加了资料性附录NA； 增加了资料性附录NB。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任， 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位：中国电子技术标准化研究院、中电长城网际系统应用有限公司、中国信息安全认 证中心、山东省标准化研究院、广州赛宝认证中心服务有限公司、北京江南天安科技有限公司、上海三零 卫士信息安全有限公司、中国合格评定国家认可中心、北京时代新威信息技术有限公司、黑龙江电子信 息产品监督检验院、浙江远望电子有限公司、杭州在信科技有限公司。 本标准主要起草人：许玉娜、上官晓丽、闵京华、尤其、公伟、卢列文、倪文静、王连强、陈冠直、 于惊涛、付志高、赵英庆、卢普明、王曙光、虞仲华、韩硕祥、魏军、程瑜琦、孔祥林、邬敏华、李华、李阳。 本标准所代替标准的历次版本发布情况为： GB/T22081—2008。 I 5 GB/T22081—2016/1S0/IEC27002:2013 前言 本标准按照GB/T1.12009给出的规则起草。 本标准代替GB/T22081一2008《信息技术安全技术信息安全管理实用规则》。 本标准与GB/T22081一2008相比.主要技术变化如下： 结构变化见附录NA； 一术语变化见附录NB。 本标准使用翻译法等同采用IS0/IEC27002：2013《信息技术 安全技术信息安全控制实践指 南》及其相应的技术误（ISO/1EC27002：2013/COR1：2014）。 与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下： GB/T29246一2012信息技术安全技术信息安全管理体系概述和词汇（ISO)/IEC27000： 2009.IDT)。 本标准做了下列编辑性修改： -增加了资料性附录NA； 增加了资料性附录NB。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任， 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位：中国电子技术标准化研究院、中电长城网际系统应用有限公司、中国信息安全认 证中心、山东省标准化研究院、广州赛宝认证中心服务有限公司、北京江南天安科技有限公司、上海三零 卫士信息安全有限公司、中国合格评定国家认可中心、北京时代新威信息技术有限公司、黑龙江电子信 息产品监督检验院、浙江远望电子有限公司、杭州在信科技有限公司。 本标准主要起草人：许玉娜、上官晓丽、闵京华、尤其、公伟、卢列文、倪文静、王连强、陈冠直、 于惊涛、付志高、赵英庆、卢普明、王曙光、虞仲华、韩硕祥、魏军、程瑜琦、孔祥林、邬敏华、李华、李阳。 本标准所代替标准的历次版本发布情况为： GB/T22081—2008。 I 5 GB/T22081—2016/1S0/IEC27002:2013 前言 本标准按照GB/T1.12009给出的规则起草。 本标准代替GB/T22081一2008《信息技术安全技术信息安全管理实用规则》。 本标准与GB/T22081一2008相比.主要技术变化如下： 结构变化见附录NA； 一术语变化见附录NB。 本标准使用翻译法等同采用IS0/IEC27002：2013《信息技术 安全技术信息安全控制实践指 南》及其相应的技术误（ISO/1EC27002：2013/COR1：2014）。 与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下： GB/T29246一2012信息技术安全技术信息安全管理体系概述和词汇（ISO)/IEC27000： 2009.IDT)。 本标准做了下列编辑性修改： -增加了资料性附录NA； 增加了资料性附录NB。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任， 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位：中国电子技术标准化研究院、中电长城网际系统应用有限公司、中国信息安全认 证中心、山东省标准化研究院、广州赛宝认证中心服务有限公司、北京江南天安科技有限公司、上海三零 卫士信息安全有限公司、中国合格评定国家认可中心、北京时代新威信息技术有限公司、黑龙江电子信 息产品监督检验院、浙江远望电子有限公司、杭州在信科技有限公司。 本标准主要起草人：许玉娜、上官晓丽、闵京华、尤其、公伟、卢列文、倪文静、王连强、陈冠直、 于惊涛、付志高、赵英庆、卢普明、王曙光、虞仲华、韩硕祥、魏军、程瑜琦、孔祥林、邬敏华、李华、李阳。 本标准所代替标准的历次版本发布情况为： GB/T22081—2008。 I 5