国家标准计划《信息安全技术 信息安全管理体系 要求》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国电子技术标准化研究院等 。

本标准等同采用ISO/IEC国际标准：ISO/IEC 27001:2022。

采标中文名称:信息安全 网络安全和隐私保护 信息安全管理体系 要求。

在当今全球一体化的商业环境中,信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。

许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为组织管理越来越关键的一部分，而ISMS则成为较为成熟且广为采用的加强组织信息安全管理的重要方法，能够较大程度减少信息安全风险。

本标准作为信息安全管理体系标准族中的核心基础标准，其目的是为组织提供建立、实现、维护和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实现受组织的需求和目标、安全要求、组织所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求作为依据。

本标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。本标准还包括了根据组织需求所剪裁的信息安全风险评估和处置的要求。本标准规定的要求是通用的，适用于各种类型、规模或性质的组织。本标准的主要技术内容包括组织建立信息安全管理体系过程中在组织环境、领导、规划、支持、运行、绩效评价、改进等方面的要求。同时对标GB/T 22081列举满足信息安全管理体系要求需采取的信息安全控制措施参考。 与GB/T 22080—2016相比，新版标准除编辑性改动外，主要修订以下内容： a)增加“理解相关方的需求和期望”中相关要求（见4.2 c)； b)更新“信息安全风险处置”中适用性声明相关要求（见6.1.3 d)）; c)增加“变更的规划”要求（见6.3）； d)更新“参考信息安全控制”（见附录A）。