GB/T 24364-2023信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理實(shí)施指南

ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T24364—2023

代替GB/Z24364—2009

信息安全技術(shù)

信息安全風(fēng)險(xiǎn)管理實(shí)施指南

Informationsecuritytechnology—

Implementationguideforinformationsecurityriskmanagement

2023-05-23發(fā)布2023-12-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T24364—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義縮略語(yǔ)

3、………………………1

術(shù)語(yǔ)和定義

3.1…………………………1

縮略語(yǔ)

3.2………………2

信息安全風(fēng)險(xiǎn)管理實(shí)施框架

4……………2

信息安全風(fēng)險(xiǎn)管理原則

5…………………3

分級(jí)管理

5.1……………3

全面管理

5.2……………3

動(dòng)態(tài)調(diào)整

5.3……………3

科學(xué)合理

5.4……………3

信息安全風(fēng)險(xiǎn)管理保障機(jī)制

6……………4

領(lǐng)導(dǎo)負(fù)責(zé)制

6.1…………………………4

統(tǒng)籌協(xié)調(diào)機(jī)制

6.2………………………4

專(zhuān)家咨詢(xún)機(jī)制

6.3………………………4

重大風(fēng)險(xiǎn)會(huì)商機(jī)制

6.4…………………4

信息安全風(fēng)險(xiǎn)管理保障措施

7……………5

人員保障

7.1……………5

制度保障

7.2……………5

經(jīng)費(fèi)保障

7.3……………5

工具保障

7.4……………5

信息安全風(fēng)險(xiǎn)管理能力

8…………………6

資產(chǎn)識(shí)別能力

8.1………………………6

威脅識(shí)別能力

8.2………………………6

脆弱性識(shí)別能力

8.3……………………6

已有措施有效性評(píng)價(jià)能力

8.4…………6

風(fēng)險(xiǎn)分析與評(píng)價(jià)能力

8.5………………7

風(fēng)險(xiǎn)處置能力

8.6………………………7

風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警能力

8.7…………………7

風(fēng)險(xiǎn)信息共享能力

8.8…………………8

信息安全風(fēng)險(xiǎn)管理過(guò)程

9…………………8

Ⅰ

GB/T24364—2023

概述

9.1…………………8

語(yǔ)境建立

9.2……………10

風(fēng)險(xiǎn)評(píng)估

9.3……………14

風(fēng)險(xiǎn)處置

9.4……………18

批準(zhǔn)留存

9.5……………23

監(jiān)視與評(píng)審

9.6…………………………27

溝通與咨詢(xún)

9.7…………………………30

附錄資料性文檔輸出

A()………………35

語(yǔ)境建立文檔

A.1……………………35

風(fēng)險(xiǎn)評(píng)估文檔

A.2……………………35

風(fēng)險(xiǎn)處置文檔

A.3……………………36

批準(zhǔn)留存文檔

A.4……………………37

監(jiān)視與評(píng)審文檔

A.5…………………37

溝通與咨詢(xún)文檔

A.6…………………37

附錄資料性風(fēng)險(xiǎn)處置實(shí)踐示例

B()……………………39

示例

B.1…………………39

風(fēng)險(xiǎn)處置準(zhǔn)備

B.2………………………40

風(fēng)險(xiǎn)處置實(shí)施

B.3………………………42

風(fēng)險(xiǎn)處置評(píng)價(jià)

B.4………………………48

參考文獻(xiàn)

……………………51

Ⅱ

GB/T24364—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南與

GB/Z24364—2009《》,GB/Z24364—2009

相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

,,:

標(biāo)準(zhǔn)對(duì)象和范圍由面向信息系統(tǒng)修改為風(fēng)險(xiǎn)管理對(duì)象見(jiàn)第章

a)(1);

刪除了可用性保密性完整性風(fēng)險(xiǎn)風(fēng)險(xiǎn)處理的術(shù)語(yǔ)和定義見(jiàn)年版的

b)“”“”“”“”“”(20093.1、3.2、

3.4、3.5、3.7);

增加了信息安全風(fēng)險(xiǎn)管理框架增加了風(fēng)險(xiǎn)管理原則保障機(jī)制保障措施管理能力等內(nèi)容

c),、、、

見(jiàn)第章

(4);

更改了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程見(jiàn)年版的

d)(9.1,20094.2);

更改了語(yǔ)境建立流程引入基本準(zhǔn)則確定內(nèi)容等見(jiàn)年版的第章

e),(9.2,20095);

更改了風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容見(jiàn)年版的第章

f)(9.3,20096);

將監(jiān)控審查改為監(jiān)視與評(píng)審并將相關(guān)內(nèi)容更改見(jiàn)年版的第章

g),(9.6,20099);

更改了溝通與咨詢(xún)相關(guān)內(nèi)容見(jiàn)年版的第章

h)(9.7,200910);

刪除了各生命周期階段風(fēng)險(xiǎn)管理內(nèi)容見(jiàn)年版第章第章第章第章第

i)(200911、12、13、14、15

章

);

更改了風(fēng)險(xiǎn)處置相關(guān)內(nèi)容見(jiàn)版的第章

j)(9.2、9.4,20097)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位國(guó)家信息中心中國(guó)電子科技集團(tuán)公司第十五研究所北京安信天行科技有限公

:、、

司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司中國(guó)信息安全測(cè)評(píng)中心中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心深

、、、、

信服科技股份有限公司北京信息安全測(cè)評(píng)中心公安部第一研究所公安部第三研究所北京國(guó)信京寧

、、、、

信息安全科技有限公司上海觀安信息技術(shù)股份有限公司鄭州輕工業(yè)大學(xué)河南農(nóng)業(yè)大學(xué)深圳市信息

、、、、

安全管理中心廣州市信息安全測(cè)評(píng)中心深圳市龍華區(qū)政務(wù)服務(wù)數(shù)據(jù)管理局深圳華晟九思科技有限

、、、

公司

。

本文件主要起草人祿凱陳永剛趙增振葛曉囡陳青民楊劍劉潤(rùn)一杜宇鴿陳楊國(guó)劉德林

:、、、、、、、、、、

程瑜琦李媛馬江濤李秋香陳盼陳一博張益劉健劉豐任金強(qiáng)王焱張銳卿董安波劉永杰

、、、、、、、、、、、、、、

朱潤(rùn)酥高杰湯志強(qiáng)朱建興李尚號(hào)

、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2009GB/Z24364—2009;

本次為第一次修訂

———。

Ⅲ

GB/T24364—2023

引言

目前信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)主要包括

,:

信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南

———GB/T24364—2023《》;

工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范

———GB/T26333—2010《》;

信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理

———GB/T31722—2015《》(ISO/IEC27005:2008,IDT);

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南

———GB/T31509—2015《》;

信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南

———GB/T33132—2016《》;

信息安全技術(shù)供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南

———GB/T36637—2018《ICT》;

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法

———GB/T20984—2022《》;

風(fēng)險(xiǎn)管理指南

———ISO31000:2018《》;

信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理

———ISO/IEC27005:2018《》。

本文件作為信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)之一在修訂過(guò)程中依據(jù)國(guó)家信息安全風(fēng)險(xiǎn)管理相關(guān)的政策并

,

參考等標(biāo)準(zhǔn)為組織的信息安全風(fēng)險(xiǎn)管理

GB/T31722—2015、ISO31000:2018、ISO/IEC27005:2018,

實(shí)施提供了更加具體的指導(dǎo)包括信息安全風(fēng)險(xiǎn)管理的目標(biāo)原則保障機(jī)制保障措施能力和過(guò)程等

,、、、、

內(nèi)容表給出了本文件與標(biāo)準(zhǔn)的風(fēng)險(xiǎn)管

,1ISO31000:2018、GB/T31722—2015、ISO/IEC27005:2018

理過(guò)程的對(duì)應(yīng)關(guān)系

。

然而本文件不指定信息安全風(fēng)險(xiǎn)管理的特定實(shí)施細(xì)節(jié)組織可根據(jù)自身風(fēng)險(xiǎn)管理范圍風(fēng)險(xiǎn)管理

,,、

語(yǔ)境或所處行業(yè)來(lái)確定其風(fēng)險(xiǎn)管理實(shí)施細(xì)節(jié)其現(xiàn)有的方法也可在本文件描述的框架下使用以滿(mǎn)足

。,

風(fēng)險(xiǎn)管理工作的要求

。

表1風(fēng)險(xiǎn)管理過(guò)程對(duì)應(yīng)關(guān)系表

本文件

ISO31000:2018GB/T31722—2015ISO/IEC27005:2018

范圍語(yǔ)境準(zhǔn)則語(yǔ)境建立環(huán)境創(chuàng)建語(yǔ)境建立

、、

風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處置

風(fēng)險(xiǎn)接受批準(zhǔn)留存

——

溝通與咨詢(xún)風(fēng)險(xiǎn)溝通溝通與咨詢(xún)溝通與咨詢(xún)

監(jiān)督與評(píng)審風(fēng)險(xiǎn)監(jiān)視與評(píng)審監(jiān)測(cè)與評(píng)審監(jiān)視與評(píng)審

記錄與報(bào)告批準(zhǔn)留存

——

注在本文件的第章對(duì)信息安全風(fēng)險(xiǎn)管理實(shí)施過(guò)程的概念工作內(nèi)容等進(jìn)行了詳細(xì)闡述

:9,、。

Ⅳ

GB/T24364—2023

信息安全技術(shù)

信息安全風(fēng)險(xiǎn)管理實(shí)施指南

1范圍

本文件確立了信息安全風(fēng)險(xiǎn)管理的實(shí)施框架描述了信息安全風(fēng)險(xiǎn)管理的原則保障機(jī)制保障措

,、、

施能力和過(guò)程提供了每個(gè)管理過(guò)程的實(shí)施要點(diǎn)和工作形式

、,。

本文件適用于各類(lèi)組織開(kāi)展信息安全風(fēng)險(xiǎn)管理工作

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,