国家标准计划《信息安全技术 信息安全控制》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 北京赛西科技发展有限责任公司 、中国电子技术标准化研究院 、中电长城网际系统应用有限公司 、中国合格评定国家认可中心 、中国网络安全审查技术与认证中心 、四川大学 、北京时代新威信息技术有限公司 、北京江南天安科技有限公司 、杭州安恒信息技术股份有限公司 、山东省标准化研究院 、黑龙江省网络空间研究中心 。

本标准等同采用ISO/IEC国际标准：ISO/IEC 27002:2022。

采标中文名称:信息安全 网络安全和隐私保护 信息安全控制。

所有类型和规模的组织（包括公共和私营部门、商业和非营利性组织）都会以多种形式创建、收集、处理、存储、传输和处置信息，包括电子的、物理的和口头的（如对话和演示）。

信息安全是通过实现一组合适的控制来实现的，包括策略、规则、过程、规程、组织结构和软硬件功能。

组织宜在必要时定义、实施、监视、评审和改进这些控制，以满足其特定的安全和业务目标。

GB/T 22080中规定的ISMS采用整体、协调的观点看待组织的信息安全风险，以便在协调一致的管理体系总框架内确定和实现全面的信息安全控制。

ISO/IEC 27002已经完成修订并正式发布。

ISO/IEC 27002:2022《信息安全、网络空间安全和隐私保护 信息安全控制》为组织实现信息安全控制提供指导，并为信息安全管理提供最佳实践。

为保持国家标准紧跟国际标准变化，因此有必要对国家标准GB/T 22081—2016进行修订。

本项目适用于所有类型和规模的组织。

本标准可作为确定和实现基于GB/T 22080的信息安全管理体系（ISMS）中信息安全风险处置控制的参考，还可作为组织在确定和实现普遍接受的信息安全控制时的指导文件。

此外，本标准旨在用于制定特定于行业和组织的信息安全管理指南，同时考虑其特定的信息安全风险环境。

除本标准包含的控制外，特定于组织或环境的控制则可根据需要通过风险评估来确定。

本标准提供了一套可参考的通用信息安全控制集，包括实现指南。本标准旨在被组织用于： a)实现基于GB/T 22080的信息安全管理体系（ISMS）； b)基于国际公认最佳实践实现信息安全控制； c)制定特定组织的信息安全管理指南。 修订的主要内容包括调整现有控制项的结构，将列举的安全控制项从114个减少至93个，并删除一些未能反映最佳实践的控制项。同时，新增11个控制项，包括威胁情报、云服务使用的信息安全以及数据防泄露等。