GB/T 22081—2016/ISO/IEC 27002;2013.
1范围
GB/T 22081为组织的信息安全标准和信息安全管理实践提供了指南,包括考虑了组织信息安全风险环境的控制的选择、实现和管理。
GB/T 22081被设计用于组织:
a）选择控制,即基于GB/T 22080-1 ),在实现一个信息安全管理体系的过程中选择控制;
b)实现通用的、可接受的信息安全控制;
c)制定组织自己的信息安全管理指南。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其较新版本(包括所有的修改单)适用于本文件。
ISO/IEC 27000信息技术﹑安全技术﹐信息安全管理体系﹑概述和词汇(Information technology一Security techniques—Information security management systems--Overview and vocabulary)。
3术语和定义
ISO/IEC 27000界定的术语和定义适用于本文件。
4标准结构
本标准包括14个安全控制的章节,共含有35个主要安全类别以及114项控制。
4.1章节
定义安全控制的每个章节,包含一个或多个主要安全类别。
本标准中各章节的顺序不表示其重要性。根据不同的环境,任何或所有章节中的安全控制都可能是重要的,因此应用本标准的每一个组织,宜识别可应用的控制,这些控制多么重要,以及它们如何应用到各个业务过程。另外,本标准的列表没有优先顺序。
4.2控制类别
每一个主要安全控制类别包括:
a)一个控制目标,声明要实现什么;
b)一个或多个控制,可被用于实现该控制目标。