ICS35030

CCSL.80

中華人民共和國國家標準

GB/T24364—2023

代替GB/Z24364—2009

信息安全技術

信息安全風險管理實施指南

Informationsecuritytechnology—

Implementationguideforinformationsecurityriskmanagement

2023-05-23發布2023-12-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T24364—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………2

信息安全風險管理實施框架

4……………2

信息安全風險管理原則

5…………………3

分級管理

5.1……………3

全面管理

5.2……………3

動態調整

5.3……………3

科學合理

5.4……………3

信息安全風險管理保障機制

6……………4

領導負責制

6.1…………………………4

統籌協調機制

6.2………………………4

專家咨詢機制

6.3………………………4

重大風險會商機制

6.4…………………4

信息安全風險管理保障措施

7……………5

人員保障

7.1……………5

制度保障

7.2……………5

經費保障

7.3……………5

工具保障

7.4……………5

信息安全風險管理能力

8…………………6

資產識別能力

8.1………………………6

威脅識別能力

8.2………………………6

脆弱性識別能力

8.3……………………6

已有措施有效性評價能力

8.4…………6

風險分析與評價能力

8.5………………7

風險處置能力

8.6………………………7

風險監測預警能力

8.7…………………7

風險信息共享能力

8.8…………………8

信息安全風險管理過程

9…………………8

Ⅰ

GB/T24364—2023

概述

9.1…………………8

語境建立

9.2……………10

風險評估

9.3……………14

風險處置

9.4……………18

批準留存

9.5……………23

監視與評審

9.6…………………………27

溝通與咨詢

9.7…………………………30

附錄資料性文檔輸出

A()………………35

語境建立文檔

A.1……………………35

風險評估文檔

A.2……………………35

風險處置文檔

A.3……………………36

批準留存文檔

A.4……………………37

監視與評審文檔

A.5…………………37

溝通與咨詢文檔

A.6…………………37

附錄資料性風險處置實踐示例

B()……………………39

示例

B.1…………………39

風險處置準備

B.2………………………40

風險處置實施

B.3………………………42

風險處置評價

B.4………………………48

參考文獻

……………………51

Ⅱ

GB/T24364—2023

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技術信息安全風險管理指南與

GB/Z24364—2009《》,GB/Z24364—2009

相比除結構調整和編輯性改動外主要技術變化如下

,,:

標準對象和范圍由面向信息系統修改為風險管理對象見第章

a)(1);

刪除了可用性保密性完整性風險風險處理的術語和定義見年版的

b)“”“”“”“”“”(20093.1、3.2、

3.4、3.5、3.7);

增加了信息安全風險管理框架增加了風險管理原則保障機制保障措施管理能力等內容

c),、、、

見第章

(4);

更改了信息安全風險管理的內容和過程見年版的

d)(9.1,20094.2);

更改了語境建立流程引入基本準則確定內容等見年版的第章

e),(9.2,20095);

更改了風險評估相關內容見年版的第章

f)(9.3,20096);

將監控審查改為監視與評審并將相關內容更改見年版的第章

g),(9.6,20099);

更改了溝通與咨詢相關內容見年版的第章

h)(9.7,200910);

刪除了各生命周期階段風險管理內容見年版第章第章第章第章第

i)(200911、12、13、14、15

章

);

更改了風險處置相關內容見版的第章

j)(9.2、9.4,20097)。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位國家信息中心中國電子科技集團公司第十五研究所北京安信天行科技有限公

:、、

司北京天融信網絡安全技術有限公司中國信息安全測評中心中國網絡安全審查技術與認證中心深

、、、、

信服科技股份有限公司北京信息安全測評中心公安部第一研究所公安部第三研究所北京國信京寧

、、、、

信息安全科技有限公司上海觀安信息技術股份有限公司鄭州輕工業大學河南農業大學深圳市信息

、、、、

安全管理中心廣州市信息安全測評中心深圳市龍華區政務服務數據管理局深圳華晟九思科技有限

、、、

公司

。

本文件主要起草人祿凱陳永剛趙增振葛曉囡陳青民楊劍劉潤一杜宇鴿陳楊國劉德林

:、、、、、、、、、、

程瑜琦李媛馬江濤李秋香陳盼陳一博張益劉健劉豐任金強王焱張銳卿董安波劉永杰

、、、、、、、、、、、、、、

朱潤酥高杰湯志強朱建興李尚號

、、、、。

本文件及其所代替文件的歷次版本發布情況為

:

年首次發布為

———2009GB/Z24364—2009;

本次為第一次修訂

———。

Ⅲ

GB/T24364—2023

引言

目前信息安全風險管理標準主要包括

,:

信息安全技術信息安全風險管理指南

———GB/T24364—2023《》;

工業控制網絡安全風險評估規范

———GB/T26333—2010《》;

信息技術安全技術信息安全風險管理

———GB/T31722—2015《》(ISO/IEC27005:2008,IDT);

信息安全技術信息安全風險評估實施指南

———GB/T31509—2015《》;

信息安全技術信息安全風險處理實施指南

———GB/T33132—2016《》;

信息安全技術供應鏈安全風險管理指南

———GB/T36637—2018《ICT》;

信息安全技術信息安全風險評估方法

———GB/T20984—2022《》;

風險管理指南

———ISO31000:2018《》;

信息技術安全技術信息安全風險管理

———ISO/IEC27005:2018《》。

本文件作為信息安全風險管理標準之一在修訂過程中依據國家信息安全風險管理相關的政策并

,

參考等標準為組織的信息安全風險管理

GB/T31722—2015、ISO31000:2018、ISO/IEC27005:2018,

實施提供了更加具體的指導包括信息安全風險管理的目標原則保障機制保障措施能力和過程等

,、、、、

內容表給出了本文件與標準的風險管

,1ISO31000:2018、GB/T31722—2015、ISO/IEC27005:2018

理過程的對應關系

。

然而本文件不指定信息安全風險管理的特定實施細節組織可根據自身風險管理范圍風險管理

,,、

語境或所處行業來確定其風險管理實施細節其現有的方法也可在本文件描述的框架下使用以滿足

。,

風險管理工作的要求

。

表1風險管理過程對應關系表

本文件

ISO31000:2018GB/T31722—2015ISO/IEC27005:2018

范圍語境準則語境建立環境創建語境建立

、、

風險評估風險評估風險評估風險評估

風險處置風險處置風險處置風險處置

風險接受批準留存

——

溝通與咨詢風險溝通溝通與咨詢溝通與咨詢

監督與評審風險監視與評審監測與評審監視與評審

記錄與報告批準留存

——

注在本文件的第章對信息安全風險管理實施過程的概念工作內容等進行了詳細闡述

:9,、。

Ⅳ

GB/T24364—2023

信息安全技術

信息安全風險管理實施指南

1范圍

本文件確立了信息安全風險管理的實施框架描述了信息安全風險管理的原則保障機制保障措

,、、

施能力和過程提供了每個管理過程的實施要點和工作形式

、,。

本文件適用于各類組織開展信息安全風險管理工作

。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,