GB/T 22080-2025《网络安全技术 信息安全管理体系 要求》正式发布

2025年6月30日，国家市场监督管理总局、国家标准化管理委员会发布GB/T 22080-2025《网络安全技术 信息安全管理体系 要求》，本次为该标准的第二次修订，代替GB/T 22080-2016，并将于2026年1月1日实施。该标准等同采用国际标准ISO/IEC 27001:2022《信息安全、网络安全和隐私保护信息安全管理体系 要求》，规定了在组织环境下建立、实施、维护和持续改进信息安全管理体系的通用要求，为与我国技术标准体系协调，标准名称改为《网络安全技术 信息安全管理体系 要求》，纳入ISO/IEC 27001:2022/Amd 1:2024修正案：与气候行动相关的变化。

本次标准修订的主要技术变化如下：

——增加了“组织应确定气候变化是否是一个相关事项”；

——增加了“组织应确定哪些要求将通过信息安全管理体系来解决”；

——更改了“信息安全风险处置”中适用性声明相关要求；

——增加了“针对变更的规划”要求；

——更改了信息安全控制参考，包括对部分原有的控制进行合并、增加新的控制和调整控制的展示方式，原“114项控制”调整为“93项控制”，新增“数据脱敏”、“数据防泄漏”等控制。

该标准的发布和实施将促进网络安全技术产业的高质量发展，提升组织的信息安全管理能力和水平，有助于提升国内组织在国际市场上的竞争力，减少因标准差异导致的贸易壁垒，还有助于促进我国与国际间的认证结果互认，推动网络安全领域的国际合作与交流，为认证机构提供了权威的审核依据和准则，有助于规范认证市场，提高认证活动的公正性、有效性和一致性，增强认证结果的可信度。

各有关获证组织宜组织开展针对标准的培训和宣贯活动，帮助相关人员认真学习和深入理解新版标准的变化内容和要求，提高对标准的认知水平和执行能力；设置合理的标准实施过渡期，为了能有足够时间更新和调整按旧版标准或国际标准建立信息安全管理体系，确保平稳过渡。中经科环也将认真履行认证机构职责，制定相应的认证转换计划和方案，指导已获证组织按照新版标准要求进行体系转换和认证审核，确保认证活动的连续性和有效性。