GB/T 31509-2015信息安全技術(shù)信息安全風險評估實施指南

ICS35040

L80.

中華人民共和國國家標準

GB/T31509—2015

信息安全技術(shù)信息安全風險評估

實施指南

Informationsecuritytechnology—Guideofimplementationfor

informationsecurityriskassessment

2015-05-15發(fā)布2016-01-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T31509—2015

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語定義和縮略語

3、………………………1

風險評估實施概述

4………………………2

實施的基本原則

4.1……………………2

實施的基本流程

4.2……………………3

風險評估的工作形式

4.3………………3

信息系統(tǒng)生命周期內(nèi)的風險評估

4.4…………………4

風險評估實施的階段性工作

5……………4

準備階段

5.1……………4

識別階段

5.2……………10

風險分析階段

5.3………………………21

風險處理建議

5.4………………………24

附錄資料性附錄調(diào)查表

A()……………28

附錄資料性附錄安全技術(shù)脆弱性核查表

B()…………35

附錄資料性附錄安全管理脆弱性核查表

C()…………45

附錄資料性附錄風險分析案例

D()……………………52

Ⅰ

GB/T31509—2015

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位國家信息中心國家保密技術(shù)研究所北京信息安全測評中心上海市信息安全測

:、、、

評認證中心沈陽東軟系統(tǒng)集成工程有限公司國和信誠北京信息安全有限公司

、、()。

本標準主要起草人吳亞非祿凱張志軍陳永剛趙章界席斐應力馬朝斌倪志強

:、、、、、、、、。

Ⅲ

GB/T31509—2015

引言

信息安全風險評估是信息安全保障工作的重要內(nèi)容之一與信息系統(tǒng)等級保護信息安全檢查信

,、、

息安全建設等工作緊密相關(guān)并通過風險發(fā)現(xiàn)分析評價為上述相關(guān)工作提供支持

,、、。

為指導信息安全風險評估工作的開展本標準依據(jù)信息安全技術(shù)信息安全風險評估規(guī)范

,《》

從風險評估工作開展的組織管理流程文檔審核等幾個方面提出了相關(guān)要

(GB/T20984—2007),、、、、

求是信息安全技術(shù)信息安全風險評估規(guī)范的操作性指導標準它也是信息

,《》(GB/T20984—2007),

安全風險管理相關(guān)標準之一

。

Ⅳ

GB/T31509—2015

信息安全技術(shù)信息安全風險評估

實施指南

1范圍

本標準規(guī)定了信息安全風險評估實施的過程和方法

。

本標準適用于各類安全評估機構(gòu)或被評估組織對非涉密信息系統(tǒng)的信息安全風險評估項目的管

理指導風險評估項目的組織實施驗收等工作

,、、。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息安全風險評估規(guī)范

GB/T20984—2007

信息安全技術(shù)信息安全風險管理指南

GB/Z24364—2009

3術(shù)語定義和縮略語

、

和中界定的以及下列術(shù)語和定義適用于本文件

GB/T20984—2007GB/Z24364—2009。

31術(shù)語和定義

.

311

..

實施implementation

將一系列活動付諸實踐的過程

。

312

..

信息系統(tǒng)生命周期informationsystemlifecycle

信息系統(tǒng)的各個生命階段包括規(guī)劃階段設計階段實施階段運行維護階段和廢棄階段