1、GB/T38631-2020用于各种类型、规模或性质的机构。GB/T22081的控制目标和控制以规范性附录形式列在GB/T22080一2016的附录A中。GB/T22080一2016要求机构确定信息安全风险处置选项所必需的所有控制见6.1.3b),并将6.1.3b)确定的控制与附录A中的控制进行比较,并验证没有忽略必要的控制见6.1.3c)。随着GB/T22080和GB/T22081在企业、政府机构和非营利组织中的广泛应用,需要开发针对这些具体行业的标准,主要完成的标准包括:一GB/T32920,信息技术安全技术行业间和组织间通信的信息安全管理:一1S0/1EC27011,基于1S0/1EC2
2、7002的电信组织信息安全管理指南:一IS0/1EC27017,基于IS0/1EC27002的云服务信息安全控制实践指南:一1SO/EC27018,可识别个人信息(PI)处理者在公有云中保护可识别个人信息的实践指南。具体行业标淮需要与信息安全管理体系要求相一致。本标准主要从以下两方面规定了相关要求:一具体行业如何补充、细化GB/T22080的要求或对其作出解释:一具体行业如何补充或修改GB/T22081的指南。本标准假定所有来自GB/T22080未被细化的或未作出解释的要求、所有来自GB/T22081未被修改的控制,将不加修改的适用于具体行业环境。4.2本标准结构第5章提供要求和指南,给出如何
3、在GB/T22080要求上确定补充要求、细化要求或作出解释。第6章提供要求和指南,给出如何在GB/T22081内容上补充或修改控制目标、控制、实现指南或其他信息。附录A给出与GB/T22080和(或)GB/T22081可用于具体行业标准的模板。依据附录A,面向医疗行业的信息安全管理体系指南示例参见附录B。本标准使用如下概念以使GB/T22080的要求适用于具体行业:一补充:见5.2一细化:见5.3一解释:见5.4本标准使用如下概念以使GB/T22081的指南适用于具体行业:一补充:见6.2修改:见6.3注:遵循本标准要求和指南而制定的具体行业指南不可包含在技术报告中。1SO正导则将技术报告定义为不含要求的文档,而任一依据本标准开发的具体行业标准,特别是附录A,都将至少包含一个最小的要求集合(见A.2中模板的41),4.3扩展GB/T22080要求或GB/T22081控制与GB/T22080相关的具体行业标准可以对GB/T22080或成GB/T22081进行补充,可将信息安全之外的要求或指南纳人具体行业之中。示例:IS0/EC27018:2014附录A包含一组旨在保护可识别个人信息的控制,从而使1SO/1E27018的范用除信息安全外还涵盖可识别个人信息的保护,5补充、细化或解释GB/T22080要求5.1总则图1闸明了如何构建与GB/T22080相关的具体行业要求。
