GB/T 31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31509—2015

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估

實(shí)施指南

Informationsecuritytechnology—Guideofimplementationfor

informationsecurityriskassessment

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31509—2015

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)定義和縮略語(yǔ)

3、………………………1

風(fēng)險(xiǎn)評(píng)估實(shí)施概述

4………………………2

實(shí)施的基本原則

4.1……………………2

實(shí)施的基本流程

4.2……………………3

風(fēng)險(xiǎn)評(píng)估的工作形式

4.3………………3

信息系統(tǒng)生命周期內(nèi)的風(fēng)險(xiǎn)評(píng)估

4.4…………………4

風(fēng)險(xiǎn)評(píng)估實(shí)施的階段性工作

5……………4

準(zhǔn)備階段

5.1……………4

識(shí)別階段

5.2……………10

風(fēng)險(xiǎn)分析階段

5.3………………………21

風(fēng)險(xiǎn)處理建議

5.4………………………24

附錄資料性附錄調(diào)查表

A()……………28

附錄資料性附錄安全技術(shù)脆弱性核查表

B()…………35

附錄資料性附錄安全管理脆弱性核查表

C()…………45

附錄資料性附錄風(fēng)險(xiǎn)分析案例

D()……………………52

Ⅰ

GB/T31509—2015

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位國(guó)家信息中心國(guó)家保密技術(shù)研究所北京信息安全測(cè)評(píng)中心上海市信息安全測(cè)

:、、、

評(píng)認(rèn)證中心沈陽(yáng)東軟系統(tǒng)集成工程有限公司國(guó)和信誠(chéng)北京信息安全有限公司

、、()。

本標(biāo)準(zhǔn)主要起草人吳亞非祿凱張志軍陳永剛趙章界席斐應(yīng)力馬朝斌倪志強(qiáng)

:、、、、、、、、。

Ⅲ

GB/T31509—2015

引言

信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障工作的重要內(nèi)容之一與信息系統(tǒng)等級(jí)保護(hù)信息安全檢查信

,、、

息安全建設(shè)等工作緊密相關(guān)并通過(guò)風(fēng)險(xiǎn)發(fā)現(xiàn)分析評(píng)價(jià)為上述相關(guān)工作提供支持

,、、。

為指導(dǎo)信息安全風(fēng)險(xiǎn)評(píng)估工作的開(kāi)展本標(biāo)準(zhǔn)依據(jù)信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

,《》

從風(fēng)險(xiǎn)評(píng)估工作開(kāi)展的組織管理流程文檔審核等幾個(gè)方面提出了相關(guān)要

(GB/T20984—2007),、、、、

求是信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范的操作性指導(dǎo)標(biāo)準(zhǔn)它也是信息

,《》(GB/T20984—2007),

安全風(fēng)險(xiǎn)管理相關(guān)標(biāo)準(zhǔn)之一

。

Ⅳ

GB/T31509—2015

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估

實(shí)施指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施的過(guò)程和方法

。

本標(biāo)準(zhǔn)適用于各類(lèi)安全評(píng)估機(jī)構(gòu)或被評(píng)估組織對(duì)非涉密信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的管

理指導(dǎo)風(fēng)險(xiǎn)評(píng)估項(xiàng)目的組織實(shí)施驗(yàn)收等工作

,、、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T20984—2007

信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南

GB/Z24364—2009

3術(shù)語(yǔ)定義和縮略語(yǔ)

、

和中界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T20984—2007GB/Z24364—2009。

31術(shù)語(yǔ)和定義

.

311

..

實(shí)施implementation

將一系列活動(dòng)付諸實(shí)踐的過(guò)程

。

312

..

信息系統(tǒng)生命周期informationsystemlifecycle

信息系統(tǒng)的各個(gè)生命階段包括規(guī)劃階段設(shè)計(jì)階段實(shí)施階段運(yùn)行維護(hù)階段和廢棄階段