前言

本標準按照 GB/T 1.1一2009 給出的規則起草。

本標準使用重新起草法修改采用ISO/IEC27009：2016《信息技術 安全技術 ISO/IEC 27001 具體行業應用 要求》。

本標準與ISO/IEC27009：2016的技術性差異及其產生的原因如下：

– 范圍增加“本標準適用于制定與 GB/T 22080 相關的具體行業標準”(見第1章)；

– 4.1刪除“ISO/IEC之外的組織也制定了實現具體行業需求的標準”；

– 增加“依據附錄A，面向醫療行業的信息安全管理體系指南示例參見附錄B”(見4.2)；

– 附錄A的A.1刪除“具體行業標準宜命名如下：面向〈行業〉的信息安全管理體系”；

– 附錄A的A.2模板中，4.2和5的〈控制目標號><控制目標標題>和<控制號<控制標題〉改為〈控制目標號>[<控制目標標題〉]、<控制號>[<控制標題〉]，以避免標題與其后文字混淆；

– 附錄A的A.2模板中，4.2和5中，“對行業至少使用三個字母作為前綴”改為“對行業使用國民經濟行業名稱(見GB/T4754—2017)作為前綴”，4.2中強制實施的控制，“使用(Ｍ)作為控制編號的前綴”改為“使用(強制)作為控制編號的前綴”。

本標準做了下列編輯性修改：

– 增加了參考文獻ISO27799：2016和ISO22600；

– 增加資料性附錄B“面向醫療行業的信息安全管理體系指南示例”，有利于標準落地實施。

請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。

本標準由全國信息安全標準化技術委員會(SAC/TC 260) 提出并歸口。

本標準起草單位：山東省標準化研究院、中國網絡安全審查技術與認證中心、成都秦川物聯網科技股份有限公司、陜西省網絡與信息安全測評中心、山東崇弘信息技術有限公司。

本標準主要起草人：王曙光、魏軍、王慶升、公偉、張斌、來永鈞、邵澤華、趙首花、楊銳、尤其、郭楊、權亞強、李怡、何果、路津、李紅勝、路征、陳慧勤、劉勘偽、于秀彥、胡鑫磊、王棟、劉鑫。