ICS35040

L80.

中華人民共和國國家標準

GB/T33132—2016

信息安全技術信息安全風險處理

實施指南

Informationsecuritytechnology—Guideofimplementationfor

informationsecurityrisktreatment

2016-10-13發布2017-05-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T33132—2016

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

風險處理實施概述

4………………………2

風險處理基本原則

4.1…………………2

風險處理的方式

4.2……………………2

風險處理的角色和職責

4.3……………3

風險處理的基本流程

4.4………………3

風險處理準備

5……………5

制定風險處理計劃

5.1…………………5

獲得管理層批準

5.2……………………6

風險處理實施

6……………6

風險處理方案制定

6.1…………………6

風險處理方案實施

6.2…………………8

風險處理效果評價

7………………………8

概述

7.1…………………8

評價原則

7.2……………8

評價方法

7.3……………9

評價方案

7.4……………9

評價實施

7.5……………9

持續改進

7.6……………10

附錄資料性附錄風險處理實踐示例

A()………………11

背景

A.1………………11

風險處理準備

A.2……………………12

風險處理實施

A.3……………………14

風險處理評價

A.4……………………21

參考文獻

……………………23

GB/T33132—2016

前言

本標準按照給出的規則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位國家信息中心北京信息安全測評中心中國民航大學東軟集團股份有限公司

:、、、、

北京數字認證股份有限公司西安交大捷普網絡科技有限公司

、。

本標準主要起草人吳亞非祿凱陳永剛趙章界馬勇席斐陳青民何建鋒

:、、、、、、、。

Ⅰ

GB/T33132—2016

引言

信息安全風險管理是信息安全保障工作中的一項重要基礎性工作其核心思想是對管理對象面臨

,

的信息安全風險進行管控信息安全風險管理工作貫穿于信息系統生命周期規劃設計實施運行維

。(、、、

護和廢棄的全過程主要工作過程包括風險評估和風險處理兩個基本步驟風險評估是對風險管理對

),。

象所面臨的風險進行識別分析和評價的過程風險處理是依據風險評估的結果選擇和實施安全措施

、。,

的過程

。

為指導各類組織規范性地開展信息安全風險處理在信息安全技術信息安

,GB/T20984—2007《

全風險評估規范信息安全技術信息安全風險管理指南和

》、GB/Z24364—2009《》GB/T31509—2015

信息安全技術信息安全風險評估實施指南的基礎上本標準針對風險評估工作中反映出來的各類

《》,

信息安全風險從風險處理工作的組織管理流程評價等方面給出了相關描述用于指導組織形成客

,、、、,

觀規范的風險處理方案促進風險管理工作的完善

、,。

Ⅱ

GB/T33132—2016

信息安全技術信息安全風險處理

實施指南

1范圍

本標準給出了信息安全風險處理的基本概念處理原則處理方式處理流程以及處理結束后的效

、、、

果評價等管理過程和方法并對處理過程中的角色和職責進行了定義

,。

本標準適用于指導信息系統運營使用單位和信息安全服務機構實施信息安全風險處理活動

。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術信息安全風險評估規范

GB/T20984—2007

信息安全技術信息安全風險管理指南

GB/Z24364—2009

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T20984—2007、GB/Z24364—2009。

31

.

風險處理risktreatment

選擇并且執行措施來更改風險的過程

。

[ISO/IECGuide73:2002]。

注在本標準中術語控制措施