`ICS 35.030 CCS L 80 中华人民共和国国家标准 GB/T22080—XXXX/ISO/IEC 27001:20 22 代替 GB/T 22080 -2016 信息安全技术 信息安全管理体系 要求 Information security technology — Information security management systems — Requirements （ISO/IEC 27001 ：2022，IDT） （工作组讨论稿） （本稿完成日期： 2023/5/5） 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX-XX-XX发布 XXXX-XX-XX实施 GB/T22080 —XXXX/ISO/IEC 27001:2022 I 目次 前 言 ................................ ................................ ........... III 引 言 ................................ ................................ ............ IV 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ ....... 1 3 术语和定义 ................................ ................................ ........... 1 4 组织环境 ................................ ................................ ............. 1 4.1 理解组织及其环境 ................................ ................................ . 1 4.2 理解相关方的需求和期望 ................................ ........................... 1 4.3 确定信息安全管理体系范围 ................................ ......................... 1 4.4 信息安全管理体系 ................................ ................................ . 2 5 领导 ................................ ................................ ................. 2 5.1 领导和承诺 ................................ ................................ ....... 2 5.2 方针 ................................ ................................ ............. 2 5.3 组织的角色，责任和权限 ................................ ........................... 2 6 规划 ................................ ................................ ................. 3 6.1 应对风险和机会的措施 ................................ ............................. 3 6.2 信息安全目标及其实现规划 ................................ ......................... 4 6.3 变更的规划 ................................ ................................ ....... 4 7 支持 ................................ ................................ ................. 4 7.1 资源 ................................ ................................ ............. 4 7.2 能力 ................................ ................................ ............. 4 7.3 意识 ................................ ................................ ............. 5 7.4 沟通 ................................ ................................ ............. 5 7.5 文件化信息 ................................ ................................ ....... 5 8 运行 ................................ ................................ ................. 6 8.1 运行规划和控制 ................................ ................................ ... 6 8.2 信息安全风险评估 ................................ ................................ . 6 8.3 信息安全风险处置 ................................ ................................ . 6 9 绩效评价 ................................ ................................ ............. 6 9.1 监视、测量、分析和评价 ................................ ........................... 6 9.2 内部审核 ................................ ................................ ......... 7 9.3 管理评审 ................................ ................................ ......... 7 10 改进 ................................ ................................ ................ 8 10.1 持续改进 ................................ ................................ ........ 8 10.2 不符合及纠正措施 ................................ ................................ 8 附录 A （规范性） 信息安全 控制参考 ................................ ............... 9 参考文 献 ................................ ................................ ........ 13 GB/T22080 —XXXX/ISO/IEC 27001:2022 II GB/T22080 —XXXX/ISO/IEC 27001:2022 III 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替 GB/T 22080 —2016《信息技术 安全技术 信息安全管理体系 要求》。与GB/T 22080—2016相比，除编辑性改动外，主要技术变化如下： a) 增加了“理解相关方的需求和期望”中相关要求（见 4.2 c)； b) 更新了“信息安全风险处置 ”中适用性声明相关要求（见 6.1.3 d) ）； c) 增加了“ 变更的规划 ”要求（见6.3）； d) 更新了“参考信息安全控制” （见附录 A）。 本