4.1總則

GB/T 22080 規定了建立、實現、維護和持續改進信息安全管理體系的要求。這些要求是通用的，適用于各種類型、規模或性質的機構。

注：ISO管理體系標準的建立依據ISO/IEC導則第1部分融合的JTC 1補充部分(2016) 。

GB/T 22081 為信息安全管理實踐提供了指南，考慮了機構信息安全風險環境下控制的選擇、實施和管理。該指南采用分層結構，包括章節、控制目標、控制、實現指南以及其他信息。指南是通用的，適用于各種類型、規模或性質的機構。

GB/T 22081 的控制目標和控制以規范性附錄形式列在GB/T 22080—2016 的附錄 A 中。

GB/T 22080—2016 要求機構確定信息安全風險處置選項所必需的所有控制[見6.1.3b)]，并將6.1.3b)確定的控制與附錄A中的控制進行比較，并驗證沒有忽略必要的控制「見6.1.3c)]。

隨著GB/T22080和GB/T22081在企業、政府機構和非營利組織中的廣泛應用，需要開發針對這些具體行業的標準，主要完成的標準包括：

– GB/T32920，信息技術 安全技術 行業間和組織間通信的信息安全管理；

– ISO/IEC 27011， 基于ISO/IEC 27002的電信組織信息安全管理指南；

– ISO/IEC 27018， 可識別個人信息(PII) 處理者在公有云中保護可識別個人信息的實踐指南。

具體行業標準需要與信息安全管理體系要求相一致。本標準主要從以下兩方面規定了相關要求：

– 具體行業如何補充、細化 GB/T 22080 的要求或對其作出解釋；

– 具體行業如何補充或修改 GB/T 22081 的指南。

本標準假定所有來自 GB/T 22080 未被細化的或未作出解釋的要求、所有來自GB/T22081未被修改的控制，將不加修改的適用于具體行業環境。