GB/T 22080-2008 信息技术.安全技术.信息安全管理体系.要求

标准号：GB/T 22080-2008
中文标准名称：信息技术.安全技术.信息安全管理体系.要求
英文标准名称：Information technology.Security techniques.Information security management systems.Requirements
标准类型：L80;A90
发布日期：2008/6/19 12:00:00
实施日期：2008/11/1 12:00:00
中国标准分类号：L80;A90
国际标准分类号：35.040
引用标准：GB/T 22081-2008
适用范围：本标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（ISMS）规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于第4章、第5章、第6章、第7章和第8章的要求不能删减。为了满足风险接受准则必要的进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任，否则不能声称符合本标准。