2025年6月30日，國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布GB/T 22080-2025《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系 要求》，本次為該標(biāo)準(zhǔn)的第二次修訂，代替GB/T 22080-2016，并將于2026年1月1日實施。該標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC 27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)信息安全管理體系 要求》，規(guī)定了在組織環(huán)境下建立、實施、維護(hù)和持續(xù)改進(jìn)信息安全管理體系的通用要求，為與我國技術(shù)標(biāo)準(zhǔn)體系協(xié)調(diào)，標(biāo)準(zhǔn)名稱改為《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系 要求》，納入ISO/IEC 27001:2022/Amd 1:2024修正案：與氣候行動相關(guān)的變化。

本次標(biāo)準(zhǔn)修訂的主要技術(shù)變化如下：

——增加了“組織應(yīng)確定氣候變化是否是一個相關(guān)事項”；

——增加了“組織應(yīng)確定哪些要求將通過信息安全管理體系來解決”；

——更改了“信息安全風(fēng)險處置”中適用性聲明相關(guān)要求；

——增加了“針對變更的規(guī)劃”要求；

——更改了信息安全控制參考，包括對部分原有的控制進(jìn)行合并、增加新的控制和調(diào)整控制的展示方式，原“114項控制”調(diào)整為“93項控制”，新增“數(shù)據(jù)脫敏”、“數(shù)據(jù)防泄漏”等控制。

該標(biāo)準(zhǔn)的發(fā)布和實施將促進(jìn)網(wǎng)絡(luò)安全技術(shù)產(chǎn)業(yè)的高質(zhì)量發(fā)展，提升組織的信息安全管理能力和水平，有助于提升國內(nèi)組織在國際市場上的競爭力，減少因標(biāo)準(zhǔn)差異導(dǎo)致的貿(mào)易壁壘，還有助于促進(jìn)我國與國際間的認(rèn)證結(jié)果互認(rèn)，推動網(wǎng)絡(luò)安全領(lǐng)域的國際合作與交流，為認(rèn)證機(jī)構(gòu)提供了權(quán)威的審核依據(jù)和準(zhǔn)則，有助于規(guī)范認(rèn)證市場，提高認(rèn)證活動的公正性、有效性和一致性，增強認(rèn)證結(jié)果的可信度。

各有關(guān)獲證組織宜組織開展針對標(biāo)準(zhǔn)的培訓(xùn)和宣貫活動，幫助相關(guān)人員認(rèn)真學(xué)習(xí)和深入理解新版標(biāo)準(zhǔn)的變化內(nèi)容和要求，提高對標(biāo)準(zhǔn)的認(rèn)知水平和執(zhí)行能力；設(shè)置合理的標(biāo)準(zhǔn)實施過渡期，為了能有足夠時間更新和調(diào)整按舊版標(biāo)準(zhǔn)或國際標(biāo)準(zhǔn)建立信息安全管理體系，確保平穩(wěn)過渡。中經(jīng)科環(huán)也將認(rèn)真履行認(rèn)證機(jī)構(gòu)職責(zé)，制定相應(yīng)的認(rèn)證轉(zhuǎn)換計劃和方案，指導(dǎo)已獲證組織按照新版標(biāo)準(zhǔn)要求進(jìn)行體系轉(zhuǎn)換和認(rèn)證審核，確保認(rèn)證活動的連續(xù)性和有效性。