GB/T 22081-2024 是中国国家标准 《信息技术 安全技术 信息安全控制实践指南》（等同于国际标准 ISO/IEC 27002:2022）

GB/T 22081-2024 是中国国家标准 《信息技术 安全技术 信息安全控制实践指南》（等同于国际标准 ISO/IEC 27002:2022），该标准于2024年发布，替代了之前的GB/T 22081-2016版本。以下是该标准的主要内容和更新要点：

---

1. 标准背景

• 国际对应关系：GB/T 22081-2024 是ISO/IEC 27002:2022的等同采用（IDT），作为信息安全控制措施的实施指南，与GB/T 22080（ISO/IEC 27001）配套使用。

• 核心作用：为组织建立、实施、维护和改进信息安全管理体系（ISMS）提供详细的控制措施建议。

---

2. 主要更新（相较于2016版）

（1）结构调整

• 控制措施从14个领域调整为 4大主题，共 93项控制措施（原2016版为114项）：

  1. 组织控制（Organizational Controls）

  2. 人员控制（People Controls）

  3. 物理控制（Physical Controls）

  4. 技术控制（Technological Controls）

• 更简洁的逻辑框架，便于与实际业务场景结合。

（2）新增控制措施

• 新增11项适应现代信息安全需求的措施，例如：

  • 威胁情报（Threat Intelligence）

  • 云服务安全管理（Cloud Services Security）

  • ICT供应链安全（ICT Supply Chain Security）

  • 数据泄露预防（Data Leakage Prevention）

（3）控制措施属性

• 引入 5种属性标签，帮助组织快速筛选适用的控制：

  • 控制类型（预防性、检测性、纠正性等）

  • 信息安全属性（机密性、完整性、可用性）

  • 网络安全概念（识别、保护、检测、响应、恢复）

  • 运营能力（治理、资产管理等）

  • 安全域（物理、人员、技术等）

（4）术语更新

• 与ISO/IEC 27000:2018系列标准术语保持一致，例如：

  • “第三方”改为“外部方”（External Parties）

  • 明确“云服务”“供应链”等新兴场景的定义。

---

3. 核心内容

标准详细说明了每项控制措施的 目的、实施指南和其他信息，例如：

• 组织控制：信息安全策略、职责分配、移动设备管理等。

• 人员控制：安全意识培训、远程工作安全等。

• 物理控制：门禁系统、设备维护等。

• 技术控制：加密、访问控制、日志监控等。

---

4. 应用场景

• 适用对象：所有规模的组织（企业、政府、非营利机构等）。

• 典型用途：

  • 作为GB/T 22080（ISO/IEC 27001）的配套实施指南。

  • 独立用于完善信息安全管理制度。

  • 支撑合规要求（如网络安全法、数据安全法）。

---

5. 与其他标准的关系

• 与 GB/T 22239（网络安全等级保护）、GB/T 29246（ISO/IEC 27000） 等标准协同使用，形成完整的信息安全标准体系。

---

6. 实施建议

• 新旧版本过渡：已认证ISO 27001的组织需对照新版控制措施调整ISMS文件。

• 重点关注：云安全、供应链风险、数据隐私等新增领域。