GB/T 24364-2023信息安全技術(shù)信息安全風(fēng)險管理實施指南

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T24364—2023

代替GB/Z24364—2009

信息安全技術(shù)

信息安全風(fēng)險管理實施指南

Informationsecuritytechnology—

Implementationguideforinformationsecurityriskmanagement

2023-05-23發(fā)布2023-12-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T24364—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義縮略語

3、………………………1

術(shù)語和定義

3.1…………………………1

縮略語

3.2………………2

信息安全風(fēng)險管理實施框架

4……………2

信息安全風(fēng)險管理原則

5…………………3

分級管理

5.1……………3

全面管理

5.2……………3

動態(tài)調(diào)整

5.3……………3

科學(xué)合理

5.4……………3

信息安全風(fēng)險管理保障機(jī)制

6……………4

領(lǐng)導(dǎo)負(fù)責(zé)制

6.1…………………………4

統(tǒng)籌協(xié)調(diào)機(jī)制

6.2………………………4

專家咨詢機(jī)制

6.3………………………4

重大風(fēng)險會商機(jī)制

6.4…………………4

信息安全風(fēng)險管理保障措施

7……………5

人員保障

7.1……………5

制度保障

7.2……………5

經(jīng)費保障

7.3……………5

工具保障

7.4……………5

信息安全風(fēng)險管理能力

8…………………6

資產(chǎn)識別能力

8.1………………………6

威脅識別能力

8.2………………………6

脆弱性識別能力

8.3……………………6

已有措施有效性評價能力

8.4…………6

風(fēng)險分析與評價能力

8.5………………7

風(fēng)險處置能力

8.6………………………7

風(fēng)險監(jiān)測預(yù)警能力

8.7…………………7

風(fēng)險信息共享能力

8.8…………………8

信息安全風(fēng)險管理過程

9…………………8

Ⅰ

GB/T24364—2023

概述

9.1…………………8

語境建立

9.2……………10

風(fēng)險評估

9.3……………14

風(fēng)險處置

9.4……………18

批準(zhǔn)留存

9.5……………23

監(jiān)視與評審

9.6…………………………27

溝通與咨詢

9.7…………………………30

附錄資料性文檔輸出

A()………………35

語境建立文檔

A.1……………………35

風(fēng)險評估文檔

A.2……………………35

風(fēng)險處置文檔

A.3……………………36

批準(zhǔn)留存文檔

A.4……………………37

監(jiān)視與評審文檔

A.5…………………37

溝通與咨詢文檔

A.6…………………37

附錄資料性風(fēng)險處置實踐示例

B()……………………39

示例

B.1…………………39

風(fēng)險處置準(zhǔn)備

B.2………………………40

風(fēng)險處置實施

B.3………………………42

風(fēng)險處置評價

B.4………………………48

參考文獻(xiàn)

……………………51

Ⅱ

GB/T24364—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技術(shù)信息安全風(fēng)險管理指南與

GB/Z24364—2009《》,GB/Z24364—2009

相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下

,,:

標(biāo)準(zhǔn)對象和范圍由面向信息系統(tǒng)修改為風(fēng)險管理對象見第章

a)(1);

刪除了可用性保密性完整性風(fēng)險風(fēng)險處理的術(shù)語和定義見年版的

b)“”“”“”“”“”(20093.1、3.2、

3.4、3.5、3.7);

增加了信息安全風(fēng)險管理框架增加了風(fēng)險管理原則保障機(jī)制保障措施管理能力等內(nèi)容

c),、、、

見第章

(4);

更改了信息安全風(fēng)險管理的內(nèi)容和過程見年版的

d)(9.1,20094.2);

更改了語境建立流程引入基本準(zhǔn)則確定內(nèi)容等見年版的第章

e),(9.2,20095);

更改了風(fēng)險評估相關(guān)內(nèi)容見年版的第章

f)(9.3,20096);

將監(jiān)控審查改為監(jiān)視與評審并將相關(guān)內(nèi)容更改見年版的第章

g),(9.6,20099);

更改了溝通與咨詢相關(guān)內(nèi)容見年版的第章

h)(9.7,200910);

刪除了各生命周期階段風(fēng)險管理內(nèi)容見年版第章第章第章第章第

i)(200911、12、13、14、15

章

);

更改了風(fēng)險處置相關(guān)內(nèi)容見版的第章

j)(9.2、9.4,20097)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位國家信息中心中國電子科技集團(tuán)公司第十五研究所北京安信天行科技有限公

:、、

司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司中國信息安全測評中心中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心深

、、、、

信服科技股份有限公司北京信息安全測評中心公安部第一研究所公安部第三研究所北京國信京寧

、、、、

信息安全科技有限公司上海觀安信息技術(shù)股份有限公司鄭州輕工業(yè)大學(xué)河南農(nóng)業(yè)大學(xué)深圳市信息

、、、、

安全管理中心廣州市信息安全測評中心深圳市龍華區(qū)政務(wù)服務(wù)數(shù)據(jù)管理局深圳華晟九思科技有限

、、、

公司

。

本文件主要起草人祿凱陳永剛趙增振葛曉囡陳青民楊劍劉潤一杜宇鴿陳楊國劉德林

:、、、、、、、、、、

程瑜琦李媛馬江濤李秋香陳盼陳一博張益劉健劉豐任金強(qiáng)王焱張銳卿董安波劉永杰

、、、、、、、、、、、、、、

朱潤酥高杰湯志強(qiáng)朱建興李尚號

、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2009GB/Z24364—2009;

本次為第一次修訂

———。

Ⅲ

GB/T24364—2023

引言

目前信息安全風(fēng)險管理標(biāo)準(zhǔn)主要包括

,:

信息安全技術(shù)信息安全風(fēng)險管理指南

———GB/T24364—2023《》;

工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范

———GB/T26333—2010《》;

信息技術(shù)安全技術(shù)信息安全風(fēng)險管理

———GB/T31722—2015《》(ISO/IEC27005:2008,IDT);

信息安全技術(shù)信息安全風(fēng)險評估實施指南

———GB/T31509—2015《》;

信息安全技術(shù)信息安全風(fēng)險處理實施指南

———GB/T33132—2016《》;

信息安全技術(shù)供應(yīng)鏈安全風(fēng)險管理指南

———GB/T36637—2018《ICT》;

信息安全技術(shù)信息安全風(fēng)險評估方法

———GB/T20984—2022《》;

風(fēng)險管理指南

———ISO31000:2018《》;

信息技術(shù)安全技術(shù)信息安全風(fēng)險管理

———ISO/IEC27005:2018《》。

本文件作為信息安全風(fēng)險管理標(biāo)準(zhǔn)之一在修訂過程中依據(jù)國家信息安全風(fēng)險管理相關(guān)的政策并

,

參考等標(biāo)準(zhǔn)為組織的信息安全風(fēng)險管理

GB/T31722—2015、ISO31000:2018、ISO/IEC27005:2018,

實施提供了更加具體的指導(dǎo)包括信息安全風(fēng)險管理的目標(biāo)原則保障機(jī)制保障措施能力和過程等

,、、、、

內(nèi)容表給出了本文件與標(biāo)準(zhǔn)的風(fēng)險管

,1ISO31000:2018、GB/T31722—2015、ISO/IEC27005:2018

理過程的對應(yīng)關(guān)系

。

然而本文件不指定信息安全風(fēng)險管理的特定實施細(xì)節(jié)組織可根據(jù)自身風(fēng)險管理范圍風(fēng)險管理

,,、

語境或所處行業(yè)來確定其風(fēng)險管理實施細(xì)節(jié)其現(xiàn)有的方法也可在本文件描述的框架下使用以滿足

。,

風(fēng)險管理工作的要求

。

表1風(fēng)險管理過程對應(yīng)關(guān)系表

本文件

ISO31000:2018GB/T31722—2015ISO/IEC27005:2018

范圍語境準(zhǔn)則語境建立環(huán)境創(chuàng)建語境建立

、、

風(fēng)險評估風(fēng)險評估風(fēng)險評估風(fēng)險評估

風(fēng)險處置風(fēng)險處置風(fēng)險處置風(fēng)險處置

風(fēng)險接受批準(zhǔn)留存

——

溝通與咨詢風(fēng)險溝通溝通與咨詢溝通與咨詢

監(jiān)督與評審風(fēng)險監(jiān)視與評審監(jiān)測與評審監(jiān)視與評審

記錄與報告批準(zhǔn)留存

——

注在本文件的第章對信息安全風(fēng)險管理實施過程的概念工作內(nèi)容等進(jìn)行了詳細(xì)闡述

:9,、。

Ⅳ

GB/T24364—2023

信息安全技術(shù)

信息安全風(fēng)險管理實施指南

1范圍

本文件確立了信息安全風(fēng)險管理的實施框架描述了信息安全風(fēng)險管理的原則保障機(jī)制保障措

,、、

施能力和過程提供了每個管理過程的實施要點和工作形式

、,。

本文件適用于各類組織開展信息安全風(fēng)險管理工作

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,