標(biāo)準(zhǔn)解讀
《GB/Z 24364-2009 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南》是中國(guó)國(guó)家標(biāo)準(zhǔn)之一,旨在為組織提供一套系統(tǒng)的方法來(lái)管理信息安全風(fēng)險(xiǎn)。該標(biāo)準(zhǔn)基于國(guó)際標(biāo)準(zhǔn)ISO/IEC 17799:2005(現(xiàn)已被ISO/IEC 27002取代)中的風(fēng)險(xiǎn)管理原則,并結(jié)合了中國(guó)國(guó)情進(jìn)行了適當(dāng)調(diào)整。它涵蓋了從識(shí)別到評(píng)估再到處理信息安全風(fēng)險(xiǎn)的全過(guò)程。
首先,在風(fēng)險(xiǎn)管理過(guò)程方面,本標(biāo)準(zhǔn)定義了一個(gè)循環(huán)迭代的過(guò)程模型,包括建立背景、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理以及監(jiān)督與評(píng)審四個(gè)主要階段。其中,建立背景是整個(gè)風(fēng)險(xiǎn)管理工作的起點(diǎn),要求明確組織的信息安全需求和目標(biāo);風(fēng)險(xiǎn)評(píng)估階段則進(jìn)一步細(xì)分為資產(chǎn)識(shí)別、脆弱性分析、威脅分析及風(fēng)險(xiǎn)評(píng)價(jià)等步驟;風(fēng)險(xiǎn)處理階段提供了接受、規(guī)避、轉(zhuǎn)移或減輕風(fēng)險(xiǎn)的具體策略;最后通過(guò)持續(xù)監(jiān)督與定期評(píng)審確保風(fēng)險(xiǎn)管理措施的有效性和適應(yīng)性。
其次,對(duì)于每個(gè)階段,《GB/Z 24364-2009》都給出了詳細(xì)的指導(dǎo)建議和技術(shù)方法。例如,在進(jìn)行資產(chǎn)識(shí)別時(shí),不僅要考慮信息系統(tǒng)本身的價(jià)值,還需綜合考量其對(duì)業(yè)務(wù)連續(xù)性的影響程度;在執(zhí)行脆弱性分析過(guò)程中,則需要利用專業(yè)工具和技術(shù)手段全面檢測(cè)系統(tǒng)存在的潛在弱點(diǎn);至于如何制定有效的風(fēng)險(xiǎn)緩解計(jì)劃,標(biāo)準(zhǔn)中也列舉了幾種常見(jiàn)的實(shí)踐做法供參考。
此外,《GB/Z 24364-2009》還強(qiáng)調(diào)了溝通與文檔化的重要性。在整個(gè)風(fēng)險(xiǎn)管理活動(dòng)中,保持與利益相關(guān)者之間的良好溝通十分關(guān)鍵,這有助于提高決策質(zhì)量并獲得必要的支持。同時(shí),所有重要的活動(dòng)記錄都應(yīng)該被妥善保存下來(lái),以便于日后查閱或者作為審計(jì)依據(jù)。
如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。
....
查看全部
- 被代替
- 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 24364-2023
- 2009-09-30 頒布
- 2009-12-01 實(shí)施
文檔簡(jiǎn)介
犐犆犛35.040
犔80
中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件
犌犅/犣24364—2009
信息安全技術(shù)
信息安全風(fēng)險(xiǎn)管理指南
犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—
犌狌犻犱犲犾犻狀犲狊犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狉犻狊犽犿犪狀犪犵犲犿犲狀狋
20090930發(fā)布20091201實(shí)施
中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局
發(fā)布
中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)
書(shū)
犌犅/犣24364—2009
目次
前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ
引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ
1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
3術(shù)語(yǔ)和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4信息安全風(fēng)險(xiǎn)管理概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
4.1信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象!!!!!!!!!!!!!!!!!!!!!!!!!!2
4.2信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程!!!!!!!!!!!!!!!!!!!!!!!!!!2
4.3信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系!!!!!!!!!!!!!3
4.4信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任!!!!!!!!!!!!!!!!!!!!!!4
5背景建立!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5
5.1背景建立概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5
5.2背景建立過(guò)程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5
5.3背景建立文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8
6風(fēng)險(xiǎn)評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8
6.1風(fēng)險(xiǎn)評(píng)估概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8
6.2風(fēng)險(xiǎn)評(píng)估過(guò)程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9
6.3風(fēng)險(xiǎn)評(píng)估文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12
7風(fēng)險(xiǎn)處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13
7.1風(fēng)險(xiǎn)處理概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13
7.2風(fēng)險(xiǎn)處理過(guò)程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14
7.3風(fēng)險(xiǎn)處理文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17
8批準(zhǔn)監(jiān)督!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17
8.1批準(zhǔn)監(jiān)督概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17
8.2批準(zhǔn)監(jiān)督過(guò)程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17
8.3批準(zhǔn)監(jiān)督文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
9監(jiān)控審查!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
9.1監(jiān)控審查概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
9.2監(jiān)控審查過(guò)程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
9.3監(jiān)控審查文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23
10溝通咨詢!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23
10.1溝通咨詢概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23
10.2溝通咨詢過(guò)程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24
10.3溝通咨詢文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27
11信息系統(tǒng)規(guī)劃階段的信息安全風(fēng)險(xiǎn)管理!!!!!!!!!!!!!!!!!!!!!!!27
11.1安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27
11.2風(fēng)險(xiǎn)管理的過(guò)程與活動(dòng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27
12信息系統(tǒng)設(shè)計(jì)階段的信息安全風(fēng)險(xiǎn)管理!!!!!!!!!!!!!!!!!!!!!!!29
Ⅰ
書(shū)
犌犅/犣24364—2009
12.1安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29
12.2風(fēng)險(xiǎn)管理的過(guò)程與活動(dòng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29
13信息系統(tǒng)實(shí)施階段的信息安全風(fēng)險(xiǎn)管理!!!!!!!!!!!!!!!!!!!!!!!31
13.1安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31
13.2風(fēng)險(xiǎn)管理的過(guò)程與活動(dòng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31
14信息系統(tǒng)運(yùn)行維護(hù)階段的信息安全風(fēng)險(xiǎn)管理!!!!!!!!!!!!!!!!!!!!!32
14.1安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32
14.2風(fēng)險(xiǎn)管理的過(guò)程與活動(dòng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33
15信息系統(tǒng)廢棄階段的信息安全風(fēng)險(xiǎn)管理!!!!!!!!!!!!!!!!!!!!!!!34
15.1安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34
15.2風(fēng)險(xiǎn)管理的過(guò)程與活動(dòng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34
附錄A(資料性附錄)風(fēng)險(xiǎn)處理參考模型及其需求和措施!!!!!!!!!!!!!!!!!36
A.1風(fēng)險(xiǎn)處理參考模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36
A.2風(fēng)險(xiǎn)處理的需求和措施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36
參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39
Ⅱ
犌犅/犣24364—2009
前言
本指導(dǎo)性技術(shù)文件的附錄A為資料性附錄。
本指導(dǎo)性技術(shù)文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。
本指導(dǎo)性技術(shù)文件起草單位:國(guó)家信息中心信息安全研究與服務(wù)中心、中國(guó)電信股份有限公司北京
研究院。
本指導(dǎo)性技術(shù)文件主要起草人:吳亞非、張鑒、范紅、劉蓓、趙陽(yáng)。
Ⅲ
犌犅/犣24364—2009
引言
一個(gè)機(jī)構(gòu)要利用其擁有的資源來(lái)完成其使命。在信息時(shí)代,信息成為第一戰(zhàn)略資源,更是起著至關(guān)
重要的作用。因此,信息資產(chǎn)的安全是關(guān)系到該機(jī)構(gòu)能否完成其使命的大事。資產(chǎn)與風(fēng)險(xiǎn)是天生的一
對(duì)矛盾,資產(chǎn)價(jià)值越高,面臨的風(fēng)險(xiǎn)就越大。信息資產(chǎn)有著與傳統(tǒng)資產(chǎn)不同的特性,面臨著新型風(fēng)險(xiǎn)。
信息安全風(fēng)險(xiǎn)管理的目的就是要緩解并平衡這一對(duì)矛盾,將風(fēng)險(xiǎn)控制到可接受的程度,保護(hù)信息及其相
關(guān)資產(chǎn),最終保證機(jī)構(gòu)能夠完成其使命。
信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作,主要表現(xiàn)在以下幾方面:
信息安全風(fēng)險(xiǎn)管理的思想和措施應(yīng)體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等全方位。由于
在信息安全保障體系的技術(shù)、組織和管理等方面都存在著相關(guān)風(fēng)險(xiǎn),因此,在信息安全保障體系中,技
術(shù)、組織、管理中均應(yīng)引入風(fēng)險(xiǎn)管理的思想,準(zhǔn)確地評(píng)估風(fēng)險(xiǎn)并合理地處理風(fēng)險(xiǎn),共同實(shí)現(xiàn)信息安全保障
的目標(biāo)。
信息安全風(fēng)險(xiǎn)管理的思想和措施應(yīng)貫穿于信息系統(tǒng)生命周期的全部過(guò)程。信息系統(tǒng)生命周期包括
規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄五個(gè)階段。每個(gè)階段都存在著相關(guān)風(fēng)險(xiǎn),同樣需要采用信息安全風(fēng)險(xiǎn)管理
的思想加以應(yīng)對(duì),采用風(fēng)險(xiǎn)管理的措施加以控制。
信息安全風(fēng)險(xiǎn)管理的思想和措施是貫徹信息安全等級(jí)保護(hù)制度的有力支撐。信息安全風(fēng)險(xiǎn)管理依
據(jù)信息安全等級(jí)保護(hù)的思想和原則,區(qū)分主次,平衡成本與效益,合理部署和利用信息安全的保護(hù)機(jī)制、
信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施,選擇并確定合適的安全控制措施,從而保證機(jī)構(gòu)具
有完成其使命所需要的信息安全保障能力。
為落實(shí)國(guó)家加強(qiáng)信息安全保障工作的要求,為實(shí)施信息安全等級(jí)保護(hù)制度的需要,制定本指導(dǎo)性技
術(shù)文件。本指導(dǎo)性技術(shù)文件可與GB/T20984結(jié)合使用,并可作為機(jī)構(gòu)建立信息安全管理體系(ISMS)
的參考。
本指導(dǎo)性技術(shù)文件參考了ISO/IEC27005等國(guó)際信息安全風(fēng)險(xiǎn)管理的相關(guān)標(biāo)準(zhǔn),并經(jīng)過(guò)國(guó)家有關(guān)
行業(yè)和地區(qū)的試點(diǎn)驗(yàn)證。標(biāo)準(zhǔn)針對(duì)信息安全風(fēng)險(xiǎn)管理所涉及的背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)
督、監(jiān)控審查、溝通咨詢等不同過(guò)程進(jìn)行了綜合性描述,對(duì)信息安全風(fēng)險(xiǎn)管理在信息系統(tǒng)生命周期各階
段的應(yīng)用作了系統(tǒng)闡述。
本指導(dǎo)性技術(shù)文件條款中所指的“風(fēng)險(xiǎn)管理”,其含義均為“信息安全風(fēng)險(xiǎn)管理”。
本指導(dǎo)性技術(shù)文件中列出的帶書(shū)名號(hào)的文檔是示范性的,其格式和詳細(xì)內(nèi)容未作規(guī)范。
Ⅳ
犌犅/犣24364—2009
信息安全技術(shù)
溫馨提示
- 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
- 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
- 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。
最新文檔
- 2025年新人教版部編本六班級(jí)語(yǔ)文上冊(cè)教學(xué)方案附教學(xué)進(jìn)度支配表
- 2025年幼兒園教務(wù)工作方案
- 出鏡記者與主持人實(shí)務(wù) 課件 第十一章 融合現(xiàn)場(chǎng)
- 2025年一班級(jí)語(yǔ)文教學(xué)工作方案
- 2025年有創(chuàng)意美食節(jié)活動(dòng)策劃方案
- 介紹會(huì)計(jì)行業(yè)
- 山西省太原市2024-2025學(xué)年高三上學(xué)期期末學(xué)業(yè)診斷英語(yǔ)試卷 含解析
- 2023年工作總結(jié)與方案
- 經(jīng)內(nèi)鏡染色檢查護(hù)理配合
- 配電箱產(chǎn)品知識(shí)培訓(xùn)課件
- 內(nèi)科學(xué)肺炎(課件)
- 左拉精選課件
- 國(guó)際外貿(mào)模板:裝箱單
- LY/T 1831-2009人造板飾面專用裝飾紙
- 檢驗(yàn)科標(biāo)本采集手冊(cè)(新版)
- 人力資源開(kāi)發(fā)與管理-自考課件
- 第7課《大雁歸來(lái)》課件(共41張PPT) 部編版語(yǔ)文八年級(jí)下冊(cè)
- 農(nóng)業(yè)面源污染進(jìn)展課件
- DB44-T 2267-2021《公共機(jī)構(gòu)能源資源消耗限額》-(高清現(xiàn)行)
- 廣東省韶關(guān)市各縣區(qū)鄉(xiāng)鎮(zhèn)行政村村莊村名明細(xì)
- 挖掘機(jī)使用臺(tái)班記錄表
評(píng)論
0/150
提交評(píng)論