中华人民共和国国家标准信息技术安全技术具体行业应用要求发布实施国家市场监督管理总局国家标准化管理委员会发布目次前言范围规范性引用文件术语和定义概述总则本标准结构扩展要求或控制补充细化或解释要求总则补充要求细化要求解释要求补充或修改指南总则补充指南修改指南附录规范性附录制定与或相关的具体行业标准的模板附录资料性附录面向医疗行业的信息安全管理体系指南示例参考文献前言本标准按照给出的规则起草本标准使用重新起草法修改采用信息技术体行业应用要求安全技术具本标准与的技术性差异及其产生的原因如下范围增加本标准适用于制定与相关的具体行业标准见第章删除之外的组织也制定了实现具体行业需求的标准增加依据附录面向医疗行业的信息安全管理体系指南示例参见附录见附录的删除具体行业标准宜命名如下面向行业的信息安全管理体系附录的模板中和的控制目标号控制目标标题和控制号控制标题改为控制目标号控制目标标题控制号控制标题以避免标题与其后文字混淆附录的模板中和中对行业至少使用三个字母作为前缀改为对行业使用国民经济行业名称见作为前缀中强制实施的控制使用作为控制编号的前缀改为使用强制作为控制编号的前缀本标准做了下列编辑性修改增加了参考文献和增加资料性附录面向医疗行业的信息安全管理体系指南示例有利于标准落地实施请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位山东省标准化研究院中国网络安全审查技术与认证中心成都秦川物联网科技股份有限公司陕西省网络与信息安全测评中心山东崇弘信息技术有限公司本标准主要起草人王曙光魏军王庆升公伟张斌来永钧邵泽华赵首花杨锐尤其郭杨权亚强李怡何果路津李红胜路征陈慧勤刘勘伪于秀彦胡鑫磊王栋刘鑫信息技术安全技术具体行业应用要求范围本标准规定了应用于具体行业领域应用时的要求本标准解释了如何在要求上包含补充要求如何细化的要求以及如何包含附录之外的控制或控制集本标准确保补充的或细化的要求与的要求不冲突本标准适用于制定与相关的具体行业标准规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息技术信息技术信息技术术语和定义安全技术安全技术信息安全控制实践指南信息安全管理体系概述和词汇安全技术要求信息安全管理体系界定的以及下列术语和定义适用于本文件解释在具体行业背景下对要求的说明以要求或指南的形式该说明不会使的要求失效细化要求在具体行业的详述该详述不会删除任一要求或使其失效概述总则规定了建立实现维护和持续改进信息安全管理体系的要求这些要求是通用的适用于各种类型规模或性质的机构注管理体系标准的建立依据导则第部分融合的补充部分为信息安全管理实践提供了指南考虑了机构信息安全风险环境下控制的选择实施和管理该指南采用分层结构包括章节控制目标控制实现指南以及其他信息指南是通用的适用于各种类型规模或性质的机构的控制目标和控制以规范性附录形式列在的附录中要求机构确定信息安全风险处置选项所必需的所有控制见并将确定的控制与附录中的控制进行比较并验证没有忽略必要的控制见随着和在企业政府机构和非营利组织中的广泛应用需要开发针对这些具体行业的标准主要完成的标准包括信息技术安全技术行业间和组织间通信的信息安全管理基于的电信组织信息安全管理指南基于的云服务信息安全控制实践指南可识别个人信息处理者在公有云中保护可识别个人信息的实践指南具体行业标准需要与信息安全管理体系要求相一致本标准主要从以下两方面规定了相关要求具体行业如何补充细化的要求或对其作出解释具体行业如何补充或修改的指南本标准假定所有来自未被细化的或未作出解释的要求所有来自未被修改的控制将不加修改的适用于具体行业环境本标准结构第章提供要求和指南给出如何在要求上确定补充要求细化要求或作出解释第章提供要求和指南给出如何在内容上补充或修改控制目标控制实现指南或其他信息附录给出与和或可用于具体行业标准的模板依据附录面向医疗行业的信息安全管理体系指南示例参见附录本标准使用如下概念以使的要求适用于具体行业补充见细化见解释见本标准使用如下概念以使的指南适用于具体行业补充见修改见注遵循本标准要求和指南而制定的具体行业指南不可包含在技术报告中导则将技术报告定义为不含要求的文档而任一依据本标准开发的具体行业标准特别是附录都将至少包含一个最小的要求集合见中模板的扩展要求或控制与相关的具体行业标准可以对或进行补充可将信息安全之外的要求或指南纳入具体行业之中示例附录包含一组旨在保护可识别个人信息的控制从而使的范围除信息安全外还涵盖可识别个人信息的保护补充细化或解释要求总则图阐明了如何构建与相关的具体行业要求图具体行业要求的构建补充要求允许给出补充要求的规范示例对信息安全方针有补充要求的行业可将其补充到的规定的要求中对要求进行补充不应删除确定的任一要求或使其失效具体行业对要求的补充应按照附录给定的要求和指南进行细化要求允许对的要求进行细化注细化不会删除的任一要求或使其失效见要求在具体行业的细化应按照附录给定的要求和指南进行示例具体行业标准可能包含对附录的补充控制在这种情况下的和中与信息安全风险处置相关的要求需进行细化以包含具体行业标准中给出的补充控制允许给出符合要求的特定方法的规范示例特定行业有规定的方法确定在具体行业管理体系范围内工作人员的能力这一要求能细化的中的通用要求解释要求允许对的要求作出解释注解释不会使的任一要求失效只是对其作出解释或将其放入具体行业背景中见对要求在具体行业作出解释应按照附录给定的要求和指南进行补充或修改指南总则图阐明了如何对的指南进行补充和修改图具体行业指南的构建每项控制应仅包含一个宜注在中信息安全风险处置要求组织陈述所选择的控制及其选择的合理性说明以及对附录控制删减的合理性说明在控制描述中只使用一个宜可明确控制的范围补充指南允许对的章节控制目标控制实现指南和其他信息进行补充对补充章节控制目标控制实现指南和其他信息应按照附录给定的要求和指南进行在规定补充章节控制目标或控制之前制定与相关具体行业标准的机构宜考虑是否有更有效的方法来修改已有内容或是否有更有效的方法在已有内容之上补充具体行业控制目标控制实现指南和其他信息来达成期望的结果修改指南允许对的章节控制目标控制实现指南和其他信息进行修改任何修改不应删除的控制使其失效或减弱对章节控制目标控制实现指南和其他信息的修改应按照附录给定的要求和指南进行附录规范性附录制定与或相关的具体行业标准的模板起草说明中使用了如下格式规则尖括号中的文本需用适宜的具体行业文本代替宜变为电信行业具体要求示例对于电信行业模板中第章的标题行业具体要求花括号中斜体的文本表示如何使用模板的此部分本部分文本在具体行业标准发布版本中需删除没有特殊格式的文本可逐字复制模板引言包含本标准中的要求和或指南如何与中规定的要求及中的指南相关联范围包含适用范围的声明该声明包含了本标准与及的关系规范性引用文件插入相关的规范性引用文件包含和术语和定义确保包含与相关的行业具体要求插入以下文本本标准结构本标准是与相关的行业标准如果具体行业标准有在基础上补充或修改的具体行业章节控制目标或控制插入以下文本行业具体参考控制目标和控制参见附录如果有插入描述具体行业问题的子章节行业具体要求在适当的情况下插入下列两段文本中的一段对第章到第章的所有要求仍适用或对第章到第章的所有要求未在下面列出的仍适用补充具体行业要求对补充要求使用与相同格式的章节子章节号并对行业使用国民经济行业名称参见作为前缀当补充一项要求时首先检查它是否与中已有要求相关如果是相关的将新要求补充到相关的章节中并给予恰当序号如果不相关将补充要求置于相关要求之后在章节中引入一个适宜的新子章节号通过插入以下文本来表示补充到要求上的具体行业要求要求章节子章节号补充如下通过插入以下文本来表示对要求进行细化的具体行业要求要求章节子章节号细化如下通过插入以下文本来表示对要求作出解释的具体行业要求要求章节子章节号解释如下如果可能请使用斜体表示补充细化或解释的内容如果具体行业标准有针对具体行业的控制则插入以下文本中的要求细化如下将确定的控制中附录以及本文件附录中的控制进行比较并验证没有忽略必要的控制中的要求细化如下制定一个适用性声明包含必要的控制见和选择这些控制的合理性说明无论这些必要的控制是否已实现对中附录或本文件附录中的控制删减的合理性说明要强制应用某些特定控制请在之后插入以下文本并以恰当的方式识别强制控制建议使用强制作为控制编号的前缀组织应实现由行业识别的强制控制与相关的行业具体指南如果具体行业标准有在基础上补充或修改的具体行业章节控制目标控制实现指南或其他信息在本章节插入它们补充章节控制目标或控制的序号与采用相同格式并对行业使用国民经济行业名称参见作为前缀当对控制目标控制实现指南和或其他信息补充或修改时首先检查它是否与中已有控制目标控制实现指南和或其他信息相关如果是相关的补充或修改新控制目标控制实现指南和或其他信息到相关的章节中并相应编号如果不相关将补充条目放置到已有章节控制目标或控制之后插入以下文本对所有的章节控制目标控制实现指南和其他信息未在下面列出的仍适用通过插入以下文本来表示补充到的具体行业章节的章节补充如下通过在恰当章节之后插入以下文本来表示补充到的具体行业控制目标章节号章节标题的控制目标补充如下通过在恰当的控制目标之后插入以下文本来表示补充到的具体行业控制确保控制目标反映补充的具体行业控制并确保该补充不会使任何已有控制失效补充到控制目标号控制目标标题的控制补充如下当修改控制目标控制实现指南或其他信息时例如通过修改或补充到已有文本根据要求重新进行理解根据需要插入以下任一项来表示对中控制目标或控制的具体行业修改控制目标号控制目标标题修改如下或控制号控制标题修改如下如果已有控制未被修改仅给出补充的指南根据需要插入以下标题之一控制号控制标题的实现指南补充如下控制号控制标题的其他信息补充如下建议使用斜体表示补充的或修改的文本如果具体行业标准具有根据补充的或者修改的具体行业章节控制目标或控制以与附录相同的方式构建规范性附录并在适用时用应代替宜附录的名称和标题如下附录规范性附录行业具体参考控制目标和控制下面介绍表表中所列的补充或修改的控制目标和控制是直接来源于本标准并与之相对应并用于本标准细化的环境中录资料性附录附面向医疗行业的信息安全管理体系指南示例说明本附录参考依据信息安全管理体系在医疗行业具体应用实践形成面向医疗行业的信息安全管理体系标准其中与相关的医疗行业指南中从的和选取部分控制实现指南和其他信息补充或修改后作为医疗行业指南示例本附录的目的不是为了形成完善的面向医疗行业的信息安全管理体系指南仅是给出面向行业的信息安全管理体系指南的示例便于理解本标准并推动本标准落地实施面向医疗的信息安全管理体系如下为依据附录选取医