允许给出补充要求的规范。 示例：对信息安全方针有补充要求的行业，可将其补充到GB/T22080一2016的5.2规定的要求中 对GB/T22080要求进行补充不应删除GB/T22080确定的任一要求或使其失效。具体行 /T22080要求的补充，应按照附录A给定的要求和指南进行

允许对GB/T22080的要求作出解释。 注：解释不会使GB/T22080的任一要求失效，只是对其作出解释或将其放入具体行业背景中（见3.1）。 对GB/T22080要求在具体行业作出解释.应按照附录A给定的要求和指南进行

6补充或修改GB/T22081指南

图2具体行业指南的构建

每项控制应仅包含一个“宜” 注：在GB/T22080一2016中，信息安全风险处置要求组织陈述所选择的控制及其选择的合理性说明铆钉标准，以及对附

GB/T386312020

的合理性说明。在控制描述中只使用一个“宜”，可明确控

充许对GB/T22081的章节、控制目标、控制、实现指南和其他信息进行补充。 对GB/T22081补充章节、控制目标、控制、实现指南和其他信息，应接照附录A给定的要求和指 南进行。 在规定补充章节、控制目标或控制之前，制定与GB/T22080相关具体行业标准的机构宜考虑是否 有更有效的方法来修改GB/T22081已有内容，或是否有更有效的方法在GB/T22081已有内容之上 补充具体行业控制目标、控制、实现指南和其他信息来达成期望的结果，

允许对GB/T22081的章节、控制目标、控制、实现指南和其他信息进行修改 任何修改不应删除GB/T22081的控制、使其失效或减弱。 对GB/T22081章节、控制目标、控制、实现指南和其他信息的修改，应按照附录A给定的要求和 指南进行

GB/T386312020

制定与GB/T22080一2016或GB/T22081一2016相关的具体行业标准的模板

A.2中使用了如下格式规则： 尖括号<>中的文本需用适宜的具体行业文本代替： 示例：对于电信行业，A.2模板中第4章的标题，“《行业》一具体要求...”宜变为电信行业具体要求..”。 花括号（)中斜体的文本表示如何使用模板的此部分；本部分文本在具体行业标准发布版本中 需删除； 没有特殊格式的文本可逐字复制

(包含：本标准中的要求和（或）指南，如何与GB/T22080中规定的要求及GB/T22081中的指南 相关联。 1范围 包含：适用范围的声明，该声明包含了本标准与GB/T22080及GB/T22081的关系。） 2规范性引用文件 插人相关的规范性引用文件，包含GB/T22080和GB/T22081。） 3术语和定义 (确保包含GB/T29246。） 4与GB/T22080相关的<行业>具体要求 《插人以下文本。 4.1本标准结构 本标准是与GB/T22080相关的<行业>标准。 《如果具体行业标准有在GB/T22081基础上补充或修改的具体行业章节、控制目标或控制，插人 以下文本。 <行业>具体参考控制目标和控制参见附录A。 《如果有，插人描述具体行业ISMS问题的子章节。） 4.2（行业）具体要求 《在适当的情况下，插人下列两段文本中的一段。） 对GB/T22080一2016第4章到第10章的所有要求，仍适用。（或） 对GB/T22080一2016第4章到第10章的所有要求，未在下面列出的，仍适用。 补充具体行业要求。对补充要求，使用与GB/T22080一2016相同格式的章节（子章节）号，并对 行业使用国民经济行业名称（参见GB/T4754一2017)）作为前缀。当补充一项要求时，首先检查它是否 与GB/T22080一2016中已有要求相关。如果是相关的，将新要求补充到相关的章节中并给予恰当序 号。如果不相关，将补充要求置于GB/T22080一2016相关要求之后，在章节中引人一个适宜的新子章 节号

4.2（行业》具体要求

GB/T386312020

通过插人以下文本来表示补充到GB/T22080一2016要求上的具体行业要求。） GB/T22080一2016要求（章节（子章节）号）补充如下： 《通过插人以下文本来表示对GB/T22080一2016要求进行细化的具体行业要求。） GB/T22080一2016要求（章节（子章节）号>细化如下： (通过插人以下文本来表示对GB/T22080一2016要求作出解释的具体行业要求。） GB/T22080一2016要求（章节（子章节）号》解释如下： 《如果可能，请使用斜体表示补充、细化或解释的内容。 《如果具体行业标准有针对具体行业的控制，则插人以下文本。） GB/T22080—2016中6.1.3c)的要求细化如下： 将6.1.3b)确定的控制、GB/T22080一2016中附录A以及本文件附录A中的控制进行比较，并验 证没有忽略必要的控制。 GB/T22080—2016中6.1.3d)的要求细化如下： 制定一个适用性声明，包含： —必要的控制[见GB/T22080—2016,6.1.3b)和c)］； 一一选择这些控制的合理性说明（无论这些必要的控制是否已实现）； —一对GB/T22080一2016中附录A或本文件附录A中的控制删减的合理性说明。 (要强制应用某些特定控制，请在GB/T22080一2016，6.1.3d)之后插人以下文本，并以恰当的方 式识别强制控制，建议使用（强制）作为控制编号的前缀。） 组织应实现由<行业>识别的强制控制。 5与GB/T22081一2016相关的<行业>具体指南 《如果具体行业标准有在GB/T22081一2016基础上补充或修改的具体行业章节、控制目标、控制、实 现指南或其他信息，在本章节插人它们。补充章节、控制目标或控制的序号与GB/T22081一2016采用相 同格式，并对行业使用国民经济行业名称（参见GB/T4754一2017)作为前缀。当对GB/T22081一2016控 制目标、控制、实现指南和（或)其他信息补充或修改时，首先检查它是否与GB/T22081一2016中已有控制 目标、控制、实现指南和（或)其他信息相关。如果是相关的，补充或修改新控制目标、控制、实现指南和 （或)其他信息到GB/T22081一2016相关的章节中并相应编号。如果不相关，将补充条目放置到 GB/T22081一2016已有章节、控制目标或控制之后。 《插人以下文本。 对GB/T22081一2016所有的章节、控制目标、控制、实现指南和其他信息，未在下面列出的，仍 适用。 通过插人以下文本来表示补充到GB/T22081一2016的具体行业章节。） GB/T22081一2016的章节补充如下： 《通过在恰当章节之后插人以下文本来表示补充到GB/T22081一2016的具体行业控制目标。> GB/T22081一2016章节号>［<章节标题>］的控制目标补充如下： 《通过在恰当的控制目标之后插人以下文本来表示补充到GB/T22081一2016的具体行业控制；确 保控制目标反映补充的具体行业控制，并确保该补充不会使任何已有控制失效。 补充到GB/T22081一2016<控制目标号>[<控制目标标题》］的控制补充如下： （当修改控制目标、控制、实现指南或其他信息时（例如通过修改或补充到已有文本），根据 GB/T22081一2016要求重新进行理解。根据需要插人以下任一项来表示对GB/T22081一2016中控 制目标或控制的具体行业修改。 《控制目标号》[《控制目标标题》修改如下： 《或） 《控制号>[<控制标题》修改如下：

GB/T386312020

附录B （资料性附录） 面向医疗行业的信息安全管理体系指南示例

本附录参考ISO27799：2016，依据信息安全管理体系在医疗行业具体应用实践，形成面向医疗行 业的信息安全管理体系标准。其中“5与GB/T22081一2016相关的医疗行业指南”中，从ISO27799： 2016的5.1.1、6.1.5和9.1.1选取部分控制、实现指南和其他信息，补充或修改后作为医疗行业指南 示例。 本附录的目的不是为了形成完善的面向医疗行业的信息安全管理体系指南，仅是给出面向行业的 言息安全管理体系指南的示例，便于理解本标准并推动本标准落地实施

B.2面向医疗的信息安全管理体系

范围 本标准规定了GB/T22080应用于医疗行业时补充、细化和作出解释的要求，以及和GB/T22081 应用于医疗行业时补充和修改的指南。 本标准适用于医疗行业构建包含其特定要求的信息安全管理体系， 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件圆钢标准，其最新版本（包括所有的修改单）适用于本文件。 GB/T22080—2016信息技术安全技术信息安全管理体系要求（ISO/IEC27001：2013， IDT GB/T22081一2016信息技术安全技术信息安全控制实践指南（ISO/IEC27002：2013， IDT GB/T29246一2017信息技术安全技术信息安全管理体系 概述和词汇（ISO/IEC27000： 2016,IDT) 3术语和定义 GB/T29246一2017界定的术语和定义适用于本文件。 4与GB/T22080相关的医疗行业要求 4.1本标准结构 本标准是与GB/T22080相关的具体行业标准 医疗行业具体参考控制目标和控制参见附录A。 4.2医疗行业要求 对GB/T22080一2016第4章～第10章的所有要求，未在下面列出的，仍适用。 GB/T22080—2016要求7.1解释如下： 在医疗行业，机构应提供信息安全管理体系所需的医疗专业人员、医疗设备、场地、医疗信息系 统、办公设备等医疗资源。

GB/T386312020

GB/T22080—2016要求7.2细化如下： 医疗行业机构工作人员应： a）定期核查经过专业认证的医疗专业人员的能力，可通过测试、现场操作等方式进行； b）定期组织相关医疗专业能力培训、进修等相关活动，组织新进人员参加相关培训、进修活动 并对参加活动人员进行考核后方可进行上岗： c）对医疗专业人员的考核成绩进行定期分析，作为后续开展核查、培训等工作的依据。 GB/T22080—2016中7.3补充如下： 医疗行业机构工作人员应了解个人医疗信息保护的相关政策和要求。 GB/T22080一2016中6.1.3c）的要求细化如下 将6.1.3b)确定的控制、GB/T22080一2016中附录A以及本文件附录A中的控制进行比较，并 验证没有忽略必要的控制。 GB/T22080—2016中6.1.3d)的要求细化如下： 制定一个适用性声明，包含： 必要的控制［见GB/T22080—2016，6.1.3b)和c)］； 一 选择这些控制的合理性说明（无论这些必要的控制是否已实现）； 一对GB/T22080一2016中附录A或本文件附录A中的控制删减的合理性说明。 与GB/T22081一2016相关的医疗行业指南 对GB/T22081一2016所有的章节、控制目标、控制、实现指南和其他信息，未在下面列出的，仍 适用。 GB/T22081一2016中5.1.1L信息安全策略修改如下： 处理医疗信息（包括个人医疗信息）的组织，需有书面的信息安全策略，由管理者批准，并发布传 达给所有医疗人员和外部相关方。 GB/T22081一2016中6.1.5[项目管理中的信息安全的控制补充如下： 在涉及个人医疗信息处理的项目中，医疗项目管理宜将患者安全视为项目风险。 GB/T22081一2016中6.1.5[项目管理中的信息安全］实现指南补充如下： 在涉及个人医疗信息处理的项目中，患者安全是项目风险评估的重要组成部分。需对患者安全 的风险进行仔细的分析和明确的处理。 GB/T22081一2016中9.1.1[访问控制策略］的其他信息补充如下： 医信体招关店田租虎必 AA

附录A （规范性附录） 医疗行业具体参考控制目标和控制 表A.1中所列的补充或修改的控制目标和控制信息技术标准规范范本，是直接来源于本标准并与之相对应，并用于本标 准细化的GB/T22080—2016.6.1.3环境中

表A.1补充或修改的控制目标和控制

GB/T386312020