《信息安全技術(shù)信息安全風(fēng)險管理指南》

GB/T24364—XXXX

信息安全技術(shù)信息安全風(fēng)險管理指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息安全風(fēng)險管理的內(nèi)容和過程，為信息安全風(fēng)險管理過程中不同階段的實(shí)施提供指

導(dǎo)。

本標(biāo)準(zhǔn)適用于指導(dǎo)組織進(jìn)行信息安全風(fēng)險管理工作。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069信息安全技術(shù)術(shù)語

GB/T33132信息安全技術(shù)信息安全風(fēng)險處理實(shí)施指南

GB/T20984信息安全技術(shù)信息安全風(fēng)險評估規(guī)范

3術(shù)語和定義

GB/T25069、GB/T33132和GB/T20984中界定的和下列術(shù)語和定義適用于本指導(dǎo)性技術(shù)文件。

3.1

信息安全風(fēng)險informationsecurityrisk

人為或自然的威脅利用風(fēng)險管理對象及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組

織造成的影響。

3.2

風(fēng)險管理riskmanagement

指導(dǎo)和控制組織相關(guān)風(fēng)險的協(xié)調(diào)活動。

3.3

業(yè)務(wù)business

組織為實(shí)現(xiàn)某項(xiàng)發(fā)展戰(zhàn)略而開展的運(yùn)營活動。

注：該活動具有明確的目標(biāo)，并延續(xù)一段時間。

3.4

風(fēng)險處理riskprocess

選擇并且執(zhí)行措施來更改風(fēng)險的過程。

4信息安全風(fēng)險管理概述

1

GB/T24364—XXXX

4.1信息安全風(fēng)險管理的范圍和對象

信息安全的概念涵蓋了信息、信息載體和信息環(huán)境3個方面的安全。信息指系統(tǒng)中采集、處理、存

儲的數(shù)據(jù)和文件等內(nèi)容；信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實(shí)體；信

息環(huán)境指信息及信息載體所處的環(huán)境，包括物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺等硬環(huán)境和軟環(huán)

境。

信息安全風(fēng)險管理是基于風(fēng)險的信息安全管理，也就是，始終以風(fēng)險為主線進(jìn)行信息安全的管理。

從概念上講，信息安全風(fēng)險管理應(yīng)該涉及信息安全上述3個方面（信息、信息載體和信息環(huán)境）中包含

的所有相關(guān)對象。然而對于風(fēng)險管理對象，信息安全風(fēng)險管理可能主要涉及風(fēng)險管理對象的關(guān)鍵和敏感

部分。因此，根據(jù)實(shí)際組織的不同，信息安全風(fēng)險管理的側(cè)重點(diǎn)，即風(fēng)險管理選擇的范圍和對象重點(diǎn)應(yīng)

有所不同。

4.2信息安全風(fēng)險管理的內(nèi)容和過程

信息安全風(fēng)險管理包括背景建立、風(fēng)險評估、風(fēng)險處理、批準(zhǔn)留存、監(jiān)視評審和溝通咨詢6個方面

的內(nèi)容。背景建立、風(fēng)險評估、風(fēng)險處理和批準(zhǔn)留存是信息安全風(fēng)險管理的4個基本步驟，監(jiān)視評審和

溝通咨詢則貫穿于這4個基本步驟中，如圖1所示。

圖1信息安全風(fēng)險管理的內(nèi)容和過程

第一步驟是背景建立，確定風(fēng)險管理的對象和范圍，確立實(shí)施風(fēng)險管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)

查和分析。第二步驟是風(fēng)險評估，針對確立的風(fēng)險管理對象所面臨的風(fēng)險進(jìn)行識別、分析和評價。第三

步驟是風(fēng)險處理，依據(jù)風(fēng)險評估的結(jié)果，選擇并執(zhí)行合適的安全措施來更改風(fēng)險的過程。第四步驟是批

準(zhǔn)留存，機(jī)構(gòu)的決策層依據(jù)風(fēng)險評估和風(fēng)險處理的結(jié)果是否滿足風(fēng)險管理對象的安全要求，做出是否認(rèn)

可風(fēng)險管理活動的決定，并將結(jié)果留存。當(dāng)風(fēng)險管理對象的業(yè)務(wù)目標(biāo)和特性發(fā)生變化或面臨新的風(fēng)險時，

需要再次進(jìn)入上述4個步驟，形成新的一次循環(huán)。監(jiān)視評審包括對上述４個主體步驟的監(jiān)視和評審。監(jiān)

視是定期或不定期對風(fēng)險管理過程的運(yùn)行情況進(jìn)行查看，了解風(fēng)險管理過程的執(zhí)行情況，評審是對監(jiān)視

的結(jié)果進(jìn)行分析和評價，從而確定風(fēng)險管理過程的有效性。溝通咨詢?yōu)樯鲜觯磦€步驟中相關(guān)方提供溝通

和咨詢。溝通咨詢是通過相關(guān)方之間交換和/或共享關(guān)于風(fēng)險的信息，就如何管理風(fēng)險達(dá)成一致的活動。

咨詢是在相關(guān)方需要時為其提供學(xué)習(xí)途徑，以保持參與人員之間的協(xié)調(diào)一致，共同實(shí)現(xiàn)安全目標(biāo)。咨詢

是為所有相關(guān)方提供學(xué)習(xí)途徑，以提高風(fēng)險意識、知識和技能，配合實(shí)現(xiàn)安全目標(biāo)。背景建立、風(fēng)險評

估、風(fēng)險處理、批準(zhǔn)留存、監(jiān)視評審、溝通咨詢構(gòu)成了一個螺旋式上升的循環(huán)，使得風(fēng)險管理對象在自

身和環(huán)境的變化中能夠不斷應(yīng)對新的安全需求和風(fēng)險。

在本標(biāo)準(zhǔn)的第5章到第10章，對信息安全風(fēng)險管理實(shí)施過程上述6個步驟的概念、過程、工作內(nèi)容、

輸出文檔等進(jìn)行了闡述。

2

GB/T24364—XXXX

4.3信息安全風(fēng)險管理目標(biāo)

信息安全風(fēng)險管理目標(biāo)是通過信息安全風(fēng)險管理手段來實(shí)現(xiàn)風(fēng)險管理對象的基本安全屬性（即信息

安全基本屬性），信息安全基本屬性包括保密性、完整性、可用性、真實(shí)性和抗抵賴性等。

4.4信息安全風(fēng)險管理相關(guān)人員的角色和責(zé)任

信息安全風(fēng)險管理是基于風(fēng)險的信息安全管理。因此，信息安全風(fēng)險管理涉及人員，既包括信息安

全風(fēng)險管理的直接參與人員，也包括風(fēng)險管理對象的相關(guān)人員。表１對信息安全風(fēng)險管理相關(guān)人員的角

色和責(zé)任進(jìn)行了歸納和分類。

表1信息安全風(fēng)險管理相關(guān)人員的角色和責(zé)任

風(fēng)險管理對象信息安全風(fēng)險管理

層面

角色內(nèi)外部責(zé)任角色內(nèi)外部責(zé)任

負(fù)責(zé)風(fēng)險管理對象的重大決負(fù)責(zé)信息安全風(fēng)險管理的重大

決策層決策人員內(nèi)決策人員內(nèi)

策和總體規(guī)范決策、總體規(guī)劃和批準(zhǔn)留存

負(fù)責(zé)風(fēng)險管理對象各方面的負(fù)責(zé)信息安全風(fēng)險管理各過程

管理層管理人員內(nèi)管理人員內(nèi)

管理、組織和協(xié)調(diào)中的管理、組織和協(xié)調(diào)

規(guī)劃設(shè)計負(fù)責(zé)風(fēng)險管理對象的規(guī)劃和

內(nèi)或外

人員設(shè)計

負(fù)責(zé)風(fēng)險管理對象的建設(shè)和

建設(shè)人員內(nèi)或外

實(shí)施負(fù)責(zé)信息安全風(fēng)險管理的具體

執(zhí)行人員內(nèi)或外

負(fù)責(zé)風(fēng)險管理對象的日常運(yùn)規(guī)劃、設(shè)計和實(shí)施

執(zhí)行層運(yùn)行人員內(nèi)

行和操作

負(fù)責(zé)風(fēng)險管理對象的日常維

維護(hù)人員內(nèi)或外

護(hù)，包括維修和升級

負(fù)責(zé)風(fēng)險管理對象的監(jiān)視和負(fù)責(zé)信息安全風(fēng)險管理過程、

監(jiān)控人員內(nèi)監(jiān)控人員內(nèi)

控制成本和結(jié)果的監(jiān)視和控制

為風(fēng)險管理對象提供專業(yè)技為信息安全風(fēng)險管理提供專業(yè)

支持層支持人員外術(shù)支持，包括咨詢、培訓(xùn)、測支持人員外技術(shù)支持，包括咨詢、培訓(xùn)、

評和工具定制等服務(wù)測評和工具定制等服務(wù)

遵循信息安全風(fēng)險管理的原則

利用風(fēng)險管理對象完成自身

用戶層使用人員內(nèi)或外使用人員內(nèi)或外和過程使用風(fēng)險管理對象，并

的任務(wù)

反饋信息安全風(fēng)險管理的效果

5背景建立

5.1背景建立概述

5.1.1背景建立的概念

背景建立是信息安全風(fēng)險管理的第一步驟，確定風(fēng)險管理的對象和范圍，確立實(shí)施風(fēng)險管理的準(zhǔn)備，

進(jìn)行相關(guān)信息的調(diào)查和分析。

3

GB/T24364—XXXX

5.1.2背景建立的目的

背景建立是為了明確信息安全風(fēng)險管理的范圍和對象，以及對象的特性和安全要求，對信息安全風(fēng)

險管理項(xiàng)目進(jìn)行規(guī)劃和準(zhǔn)備，保障后續(xù)的風(fēng)險管理活動順利進(jìn)行。

5.1.3背景建立的依據(jù)

國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)以及風(fēng)險管理對象的業(yè)務(wù)目標(biāo)、特性、外部和內(nèi)

部環(huán)境都是背景建立的必要依據(jù)。

5.2背景建立過程

背景建立的過程包括風(fēng)險管理準(zhǔn)備、風(fēng)險管理對象調(diào)查與分析、信息安全要求分析、基本原則、實(shí)

施規(guī)劃確立5個階段。在信息安全風(fēng)險管理過程中，背景建立過程是一次信息安全風(fēng)險管理主循環(huán)的起

始，為風(fēng)險評估提供輸入，監(jiān)視評審和溝通咨詢貫穿其5個階段，如圖2所示。

圖2背景建立過程及其在信息安全風(fēng)險管理中的位置

5.2.1風(fēng)險管理準(zhǔn)備

如圖3所示，風(fēng)險管理準(zhǔn)備階段的工作過程和內(nèi)容如下：

a)確定風(fēng)險管理范圍和邊界，以確保在風(fēng)險管理中考慮所有相關(guān)業(yè)務(wù)、資產(chǎn)。此外，需要識別邊

界以解決通過這些邊界可能產(chǎn)生的風(fēng)險。

收集有關(guān)組織的信息，以確定其所處的環(huán)境及其與信息安全風(fēng)險管理過程的相關(guān)性。

當(dāng)定義范圍和邊界時，組織宜考慮以下信息：

1)組織的戰(zhàn)略業(yè)務(wù)目標(biāo)、戰(zhàn)略和方針；

2)國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)的規(guī)定

4

GB/T24364—XXXX

3)業(yè)務(wù)流程；

4)組織的職能和結(jié)構(gòu)；

5)組織的信息安全方針；

6)組織對風(fēng)險管理的總體方法；

7)信息資產(chǎn)；

8)組織的地點(diǎn)及其地理特征；

9)影響組織的制約因素；

10)利益相關(guān)者的期望；

11)社會文化環(huán)境

12)接口（即與環(huán)境的信息交流）

b)確定信息安全風(fēng)險管理的目標(biāo),包括：

1)支持信息安全管理；

2)守法和盡職的調(diào)查證據(jù)；

3)制定業(yè)務(wù)連續(xù)性計劃；

4)制定事故應(yīng)急預(yù)案；

5)描述產(chǎn)品、服務(wù)或機(jī)制的信息安全要求。

c)總體規(guī)劃。制定風(fēng)險管理總體規(guī)劃，包括風(fēng)險管理的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、

經(jīng)費(fèi)預(yù)估和初步進(jìn)度安排等。

d)獲得批準(zhǔn)。上述所有內(nèi)容確定后，風(fēng)險管理總體規(guī)劃應(yīng)得到組織最高管理者的支持和批準(zhǔn)；由

決策層對管理層和執(zhí)行層進(jìn)行傳達(dá)。

圖3風(fēng)險管理準(zhǔn)備階段的過程及其輸入輸出

5.2.2調(diào)查與分析

如圖4所示，風(fēng)險管理對象調(diào)查階段的工作過程和內(nèi)容如下：

a)調(diào)查機(jī)構(gòu)使命及目標(biāo)。了解機(jī)構(gòu)的使命，包括戰(zhàn)略背景和戰(zhàn)略目標(biāo)等，從中明確支持機(jī)構(gòu)完成

其使命的風(fēng)險管理對象的業(yè)務(wù)目標(biāo)。

b)調(diào)查法律法規(guī)及監(jiān)管要求等。了解與企業(yè)業(yè)務(wù)相關(guān)的國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法

規(guī)和標(biāo)準(zhǔn)的規(guī)定。

5

GB/T24364—XXXX

c)調(diào)查業(yè)務(wù)特性。了解機(jī)構(gòu)的業(yè)務(wù)，包括業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程等，從中明確支持機(jī)構(gòu)業(yè)務(wù)運(yùn)營的

風(fēng)險管理對象的業(yè)務(wù)特性、可能涉及的信息資產(chǎn)及載體類別。

d)調(diào)查外部環(huán)境。組織的地點(diǎn)及其地理特征，企業(yè)外部利益相關(guān)者的期望，影響組織的制約因素。

e)匯總上述調(diào)查結(jié)果，形成描述報告，其中包含機(jī)構(gòu)使命及目標(biāo)、法律法規(guī)監(jiān)管要求、業(yè)務(wù)特性、

外部環(huán)境和內(nèi)部環(huán)境等方面的內(nèi)容。

調(diào)查方式包括問卷回答、人員訪談、現(xiàn)場考察、輔助工具等多種形式，可以根據(jù)實(shí)際情況靈活采用

和結(jié)合使用。

圖4風(fēng)險管理對象調(diào)查階段的過程及其輸入輸出

5.2.3信息安全分析

如圖5所示，信息安全分析階段的工作過程和內(nèi)容如下：

a)分析風(fēng)險管理對象的安全環(huán)境。依據(jù)國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，考慮

合作伙伴的合同要求，對風(fēng)險管理對象的安全保障環(huán)境進(jìn)行分析，明確環(huán)境因素對風(fēng)險管理對

象安全方面的影響和要求。

b)分析風(fēng)險管理對象的安全要求。依據(jù)風(fēng)險管理對象的描述報告和風(fēng)險管理對象的分析報告，結(jié)

合上述安全環(huán)境的分析結(jié)果，分析和提出對風(fēng)險管理對象的安全要求，包括保護(hù)范圍、保護(hù)等

級以及與相關(guān)法律法規(guī)或行業(yè)標(biāo)準(zhǔn)的符合性要求等。

c)匯總上述分析結(jié)果，形成風(fēng)險管理對象的安全要求分析報告，其中包含風(fēng)險管理對象的安全環(huán)

境和安全要求等方面的內(nèi)容。

6

GB/T24364—XXXX

圖5信息安全分析階段的過程及其輸入輸出

5.2.4基本原則確立

a)風(fēng)險管理方法

根據(jù)風(fēng)險管理的范圍和目標(biāo)，可以采用不同的方法。該方法對于每次迭代也可以是不同的。

b)風(fēng)險管理準(zhǔn)則

選擇或設(shè)置適合當(dāng)前風(fēng)險管理對象的風(fēng)險管理準(zhǔn)則，應(yīng)與風(fēng)險管理框架相一致，并根據(jù)具體活動的

目的和范圍進(jìn)行針對性設(shè)計。風(fēng)險準(zhǔn)則還應(yīng)反映組織的價值觀、目標(biāo)和資源，并與風(fēng)險管理的政策和聲

明保持一致。根據(jù)組織的義務(wù)和利益相關(guān)方的考慮來定義準(zhǔn)則。

5.2.5實(shí)施規(guī)劃

a)組建風(fēng)險管理團(tuán)隊(duì)。組建風(fēng)險管理團(tuán)隊(duì)，確定子團(tuán)隊(duì)類別、分工、職責(zé)，例如一般分為總體規(guī)

劃組、風(fēng)險評估組、風(fēng)險處理組、監(jiān)視評審組等，在組織范圍就風(fēng)險管理相關(guān)內(nèi)容進(jìn)行培訓(xùn)，

以明確各子團(tuán)隊(duì)在風(fēng)險管理中的任務(wù)。

b)制定詳細(xì)的實(shí)施規(guī)劃，包括：

1)實(shí)施團(tuán)隊(duì)架構(gòu)，各團(tuán)隊(duì)負(fù)責(zé)人，可能涉及的部門；

2)每個階段的時間、涉及地點(diǎn)、具體包含和除外的內(nèi)容；

3)各階段負(fù)責(zé)人、入口及出口標(biāo)準(zhǔn)，預(yù)期在每一步流程中取得的成果；

4)需要的資源、責(zé)任和記錄；

5)預(yù)算；

6)對過程實(shí)施監(jiān)控，監(jiān)控內(nèi)容及規(guī)則；

7)實(shí)施過程需要遵守的原則、最終完成標(biāo)準(zhǔn)等。

6風(fēng)險評估

6.1風(fēng)險評估概述

6.1.1風(fēng)險評估的概念

風(fēng)險評估是信息安全風(fēng)險管理的第二步驟，針對確立的風(fēng)險管理對象所面臨的風(fēng)險進(jìn)行識別、分析

和評價。

7

GB/T24364—XXXX

本章僅對風(fēng)險評估作框架性說明，詳細(xì)內(nèi)容可見GB/T20984。

6.1.2風(fēng)險評估的目的

信息安全風(fēng)險管理要依靠風(fēng)險評估的結(jié)果來確定隨后的風(fēng)險處理和批準(zhǔn)留存活動。風(fēng)險評估使得組

織能夠準(zhǔn)確定位風(fēng)險管理的策略、實(shí)踐和工具，能夠?qū)踩顒拥闹攸c(diǎn)放在重要的問題上，能夠選擇成

本效益合理的和適用的安全對策?；陲L(fēng)險評估的風(fēng)險管理方法被實(shí)踐證明是有效的和實(shí)用的，已被廣

泛應(yīng)用于各個領(lǐng)域。

6.1.3風(fēng)險評估的作用范圍

風(fēng)險評估只是為信息安全活動提供一個方向，并不會導(dǎo)致重大的信息安全改進(jìn)。不管評估方法有多

詳細(xì)和多專業(yè)，也只能描述風(fēng)險狀態(tài)，而不會改進(jìn)組織的安全狀態(tài)。組織只有利用評估結(jié)果持續(xù)地進(jìn)行

改進(jìn)活動，實(shí)現(xiàn)風(fēng)險有效管理，才能使組織的安全狀態(tài)得到改善。

6.2風(fēng)險評估過程

風(fēng)險評估的過程包括風(fēng)險評估準(zhǔn)備、風(fēng)險要素識別、風(fēng)險分析和風(fēng)險評價４個階段。在信息安全風(fēng)

險管理過程中，接受背景建立的輸出，為風(fēng)險處理提供輸入，監(jiān)視評審和溝通咨詢貫穿其４個階段，如

圖6所示。

圖6風(fēng)險評估過程及其在信息安全風(fēng)險管理中的位置

6.2.1風(fēng)險評估準(zhǔn)備

如圖7所示，風(fēng)險評估準(zhǔn)備階段的工作過程和內(nèi)容如下：

8

GB/T24364—XXXX

a)制定風(fēng)險評估計劃。依據(jù)背景建立輸出的文檔，制定風(fēng)險評估的實(shí)施計劃，包括風(fēng)險評估的目

的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等，形成風(fēng)險評估計劃書。風(fēng)險評估

計劃書需要得到風(fēng)險管理對象和信息安全風(fēng)險管理決策層的認(rèn)可和批準(zhǔn)。

b)選擇風(fēng)險評估方法和工具。依據(jù)背景建立輸出的文檔以及風(fēng)險評估計劃，從現(xiàn)有風(fēng)險評估方法

和工具庫中選擇合適的風(fēng)險評估方法和工具，形成入選風(fēng)險評估方法和工具列表。

c)制定風(fēng)險評估方案。依據(jù)背景建立輸出的文檔，整合風(fēng)險評估計劃書、風(fēng)險評估方法和工具列

表，確定風(fēng)險評估的實(shí)施方案，包括風(fēng)險評估的工作過程、輸入數(shù)據(jù)和輸出結(jié)果等，形成風(fēng)險

評估方案。風(fēng)險評估方案需要得到風(fēng)險管理對象和信息安全風(fēng)險管理管理層的認(rèn)可和批準(zhǔn)。

圖7風(fēng)險評估準(zhǔn)備階段的過程及其輸入輸出

6.2.2風(fēng)險要素識別

如圖8所示，風(fēng)險識要素別階段的工作過程和內(nèi)容如下：

a)識別業(yè)務(wù)重要性并賦值。依據(jù)背景建立輸出的文檔，選擇適當(dāng)?shù)淖R別方法，對風(fēng)險管理對象相

關(guān)業(yè)務(wù)的屬性、定位、完整性和關(guān)聯(lián)性識別，確定業(yè)務(wù)的重要性級別，形成業(yè)務(wù)重要性清單。

b)識別需要保護(hù)的資產(chǎn)并賦值。依據(jù)背景建立輸出的文檔，選擇適當(dāng)?shù)馁Y產(chǎn)識別方法，識別對組

織使命具有關(guān)鍵和重要作用的需要評估的資產(chǎn)，并確定資產(chǎn)的重要性級別，形成需要保護(hù)的資

產(chǎn)清單。

c)識別面臨的威脅并賦值。依據(jù)背景建立輸出的文檔，參照威脅庫，選擇適當(dāng)?shù)耐{識別方法，

識別組織的信息資產(chǎn)面臨的威脅，并確定威脅的屬性等級，可參考的威脅屬性包括威脅的來源、

種類、動機(jī)、時機(jī)和頻率等，形成面臨的威脅列表。威脅庫是有關(guān)威脅的外部共享數(shù)據(jù)和內(nèi)部

歷史數(shù)據(jù)的匯集。

d)識別存在的脆弱性并賦值。依據(jù)背景建立輸出的文檔，參照漏洞庫，選擇適當(dāng)?shù)拇嗳跣宰R別方

法，識別組織在資產(chǎn)、應(yīng)用、業(yè)務(wù)上存在的脆弱性，并確定脆弱性的屬性等級，可參考的脆弱

性屬性包括脆弱性被利用程度、脆弱性嚴(yán)重程度等，形成存在的脆弱性列表。漏洞庫是有關(guān)脆

弱性／漏洞的外部共享數(shù)據(jù)和內(nèi)部歷史數(shù)據(jù)的匯集。

a)確認(rèn)已有的安全措施。依據(jù)背景建立輸出的文檔，即風(fēng)險管理對象的描述報告、風(fēng)險管理對象

的分析報告和風(fēng)險管理對象的安全要求報告，確認(rèn)已有的安全措施，包括技術(shù)層面（即物理平

9

GB/T24364—XXXX

臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺）的安全功能、組織層面（即結(jié)構(gòu)、崗位和人員）的安全

控制和管理層面（即策略、規(guī)章和制度）的安全對策，形成已有安全措施列表。

風(fēng)險要素的識別方式包括文檔審查、人員訪談、現(xiàn)場考察、輔助工具等多種形式，可以根據(jù)實(shí)際情

況靈活采用和結(jié)合使用。

圖8風(fēng)險要素識別階段的過程及其輸入輸出

6.2.3風(fēng)險分析

如圖9所示，風(fēng)險程度分析階段的工作過程和內(nèi)容如下：

a)分析安全事件發(fā)生的可能性。依據(jù)面臨的威脅列表和存在的脆弱性列表，根據(jù)威脅屬性（威脅

發(fā)生頻率、威脅能力程度等）及脆弱性屬性（脆弱性被利用程度等），計算威脅利用脆弱性導(dǎo)

致安全事件發(fā)生的可能性。

b)分析安全事件造成的損失。依據(jù)存在的脆弱性列表和需要保護(hù)的資產(chǎn)列表，根據(jù)業(yè)務(wù)屬性（業(yè)

務(wù)重要性程度等）、資產(chǎn)屬性（資產(chǎn)重要性程度等）及脆弱性屬性（脆弱性嚴(yán)重程度等），計

算安全事件一旦發(fā)生后造成的損失。

c)實(shí)施風(fēng)險計算。根據(jù)計算出的安全事件的可能性以及安全事件造成的損失，評估者可根據(jù)自身

情況選擇相應(yīng)的風(fēng)險計算方法實(shí)施風(fēng)險計算，形成資產(chǎn)風(fēng)險列表。風(fēng)險評估算法庫是各種風(fēng)險

評估算法的匯集，包括公認(rèn)算法和自創(chuàng)算法。

10

GB/T24364—XXXX

圖9風(fēng)險分析階段的過程及其輸入輸出

6.2.4風(fēng)險評價

如圖10所示，風(fēng)險評價階段的工作過程和內(nèi)容如下：

a)風(fēng)險評價準(zhǔn)則建立。在考慮國家法律法規(guī)要求及行業(yè)背景和特點(diǎn)的基礎(chǔ)上，建立風(fēng)險評價準(zhǔn)則，

以實(shí)現(xiàn)對風(fēng)險的控制與管理。

b)評價資產(chǎn)風(fēng)險的等級。依據(jù)資產(chǎn)風(fēng)險計算報告，根據(jù)風(fēng)險值的分布狀況，為每個等級設(shè)定風(fēng)險

值范圍，并對所有資產(chǎn)風(fēng)險計算結(jié)果進(jìn)行等級處理，形成資產(chǎn)風(fēng)險程度等級列表。

c)評價業(yè)務(wù)風(fēng)險的等級。依據(jù)資產(chǎn)風(fēng)險等級列表，根據(jù)業(yè)務(wù)所涵蓋的資產(chǎn)風(fēng)險綜合計算得出業(yè)務(wù)

風(fēng)險值，并根據(jù)風(fēng)險評價準(zhǔn)則對風(fēng)險計算結(jié)果進(jìn)行等級處理，形成業(yè)務(wù)風(fēng)險程度等級列表。

d)綜合評價風(fēng)險狀況。匯總各項(xiàng)輸出文檔和風(fēng)險程度等級列表，綜合評價風(fēng)險狀況，形成風(fēng)險評

估報告。

e)形成風(fēng)險評估記錄。匯總風(fēng)險評估過程中的各種現(xiàn)場記錄和問題，后期可作為復(fù)現(xiàn)評估過程，

以作為產(chǎn)生歧義后解決問題的依據(jù)。

評價等級級數(shù)可以根據(jù)評價對象的特性和實(shí)際評估的需要而定，如〈高、中、低〉３級，〈很高、

較高、中等、較低、很低〉５級等。

11

GB/T24364—XXXX

圖10風(fēng)險評價階段的過程及其輸入輸出

7風(fēng)險處理

7.1風(fēng)險處理概述

7.1.1風(fēng)險處理的概念

風(fēng)險處理是信息安全風(fēng)險管理的第３步驟，依據(jù)風(fēng)險評估的結(jié)果，選擇并執(zhí)行合適的安全措施來更

改風(fēng)險的過程。

本章僅對風(fēng)險處理作框架性說明，詳細(xì)內(nèi)容可見GB/T33132。

7.1.2風(fēng)險處理的目的

風(fēng)險處理的目的是依據(jù)風(fēng)險評估的結(jié)果，針對不同類型、不同規(guī)模、不同概率的風(fēng)險，采取相應(yīng)的

對策、措施或方法，使風(fēng)險損失對組織、業(yè)務(wù)或風(fēng)險管理對象的影響降到最小限度。

7.1.3風(fēng)險處理的原則

依據(jù)風(fēng)險評估結(jié)果，根據(jù)可接受的處置成本，遵循適度接受原則；排列風(fēng)險優(yōu)先級列表，選擇并按

計劃執(zhí)行控制措施，遵循最佳收益原則；結(jié)合風(fēng)險管理對象，不斷優(yōu)化風(fēng)險處理過程，遵循高效原則；

支撐業(yè)務(wù)流程，持續(xù)監(jiān)控關(guān)注風(fēng)險動態(tài)，遵循可控原則；依據(jù)國家、行業(yè)主管部門或組織特殊安全要求

的風(fēng)險處理，遵循合規(guī)原則。

7.1.4風(fēng)險處理的方式

風(fēng)險處理方式主要包括風(fēng)險規(guī)避、風(fēng)險轉(zhuǎn)移、風(fēng)險消減和風(fēng)險接受４種方式。

a)風(fēng)險規(guī)避：可能的情況下停止有風(fēng)險的活動，消除風(fēng)險源頭或通過不使用存在風(fēng)險的資產(chǎn)避免

風(fēng)險的發(fā)生。

12

GB/T24364—XXXX

b)風(fēng)險轉(zhuǎn)移：通過將面臨風(fēng)險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方，或者轉(zhuǎn)移給能有效管理特定

風(fēng)險的另一方，來改變風(fēng)險發(fā)生的可能或風(fēng)險發(fā)生的后果，也可采用購買保險、分包合作的方

式分擔(dān)風(fēng)險。

c)風(fēng)險消減：通過對面臨風(fēng)險的資產(chǎn)采取保護(hù)措施來降低風(fēng)險，使殘余風(fēng)險再被評估時能達(dá)到可

接受的級別?？梢詮臉?gòu)成風(fēng)險的５個方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）采取

保護(hù)措施來降低風(fēng)險。

d)風(fēng)險接受：在明顯滿足組織發(fā)展戰(zhàn)略和業(yè)務(wù)安全發(fā)展的條件下，有意識地、客觀地選擇對風(fēng)險

不采取進(jìn)一步的處理措施，接受風(fēng)險可能帶來的結(jié)果。

7.2風(fēng)險處理過程

風(fēng)險處理的過程包括風(fēng)險處理準(zhǔn)備、風(fēng)險處理設(shè)施、風(fēng)險處理效果評價三個階段。

第一個階段風(fēng)險處理準(zhǔn)備，可包括確定風(fēng)險處理范圍目標(biāo)，明確風(fēng)險處理可接受準(zhǔn)則、選擇風(fēng)險處

理方式，明確風(fēng)險處理資源和制定風(fēng)險處理計劃并得到管理層批準(zhǔn)等活動；第二個階段風(fēng)險處理實(shí)施，

可包括準(zhǔn)備風(fēng)險處理備選措施、成本效益和殘余風(fēng)險分析、處理措施風(fēng)險分析及制定應(yīng)急計劃、確定風(fēng)

險處理方式和措施、編制風(fēng)險處理方案、風(fēng)險處理措施測試、實(shí)施風(fēng)險處理措施和編制風(fēng)險處理報告等

活動；第三個階段風(fēng)險處理效果評價，可包括制定評價原則和方案、開展評價實(shí)施工作、殘余風(fēng)險接受

聲明和編制持續(xù)改進(jìn)方案等活動。

風(fēng)險處理工作是持續(xù)性的活動，當(dāng)風(fēng)險處理對象的政策環(huán)境、業(yè)務(wù)目標(biāo)、安全目標(biāo)和特性發(fā)生變化

時，需要再次進(jìn)入上述步驟。風(fēng)險處理在信息安全風(fēng)險管理過程中，接受風(fēng)險評估的輸出，為批準(zhǔn)留存

提供輸入，監(jiān)視評審和溝通咨詢貫穿其各個階段，如圖11所示。

圖11風(fēng)險處理過程及其在信息安全風(fēng)險管理中的位置

7.2.1風(fēng)險處理準(zhǔn)備

13

GB/T24364—XXXX

如圖12所示，風(fēng)險處理準(zhǔn)備的工作過程和內(nèi)容如下：

a)確定風(fēng)險處理范圍目標(biāo)。依據(jù)風(fēng)險評估報告，確定可處理的風(fēng)險范圍和目標(biāo)，即把風(fēng)險評估得

出的風(fēng)險等級劃分為可接受和不可接受兩種，形成風(fēng)險接受等級劃分表，例如分成治理層的組

織戰(zhàn)略風(fēng)險、管理層的業(yè)務(wù)過程風(fēng)險、執(zhí)行層的系統(tǒng)風(fēng)險。

b)明確風(fēng)險處理可接受準(zhǔn)則。根據(jù)被評估對象風(fēng)險評估結(jié)果，依據(jù)國家相關(guān)信息安全要求，組織

收集相關(guān)方的信息安全訴求，明確風(fēng)險處理對象應(yīng)達(dá)到的最低保護(hù)要求，結(jié)合組織的風(fēng)險可承

受程度，確定風(fēng)險可接受準(zhǔn)則。

c)選擇風(fēng)險處理方式。根據(jù)風(fēng)險處理可接受準(zhǔn)則，明確需要處理的風(fēng)險和可接受的殘余風(fēng)險，對

于需要處理的風(fēng)險，應(yīng)初步確定每種風(fēng)險擬采取的處理方式，形成風(fēng)險處理列表。風(fēng)險處理方

式見7.1節(jié)所述。

d)明確風(fēng)險處理資源。根據(jù)既定的風(fēng)險處理目標(biāo)，明確風(fēng)險處理涉及的部門、人員和資產(chǎn)以及需

要增加的設(shè)備、軟件、工具等所需資源。

e)制定風(fēng)險處理計劃。處理計劃應(yīng)包含（但不限于）：風(fēng)險處理范圍、依據(jù)、目標(biāo)、方式、所需

資源等。風(fēng)險處理計劃應(yīng)得到組織最高管理者的批準(zhǔn)。

圖12風(fēng)險處理準(zhǔn)備階段

7.2.2風(fēng)險處理實(shí)施

如圖13所示，風(fēng)險處理實(shí)施階段的工作過程和內(nèi)容如下：

a)準(zhǔn)備風(fēng)險處理措施。依據(jù)組織的使命，并遵循國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)

準(zhǔn)的規(guī)定，依據(jù)風(fēng)險評估報告，按照風(fēng)險處理計劃，選擇對應(yīng)的風(fēng)險處理措施，編制風(fēng)險處理

措施列表。

b)成本效益和殘余風(fēng)險分析。針對風(fēng)險處理目標(biāo)，結(jié)合組織實(shí)際情況，依據(jù)最佳收益原則選擇適

當(dāng)?shù)奶幚矸桨?。依?jù)組織的風(fēng)險評估準(zhǔn)則對可接受的、不予處理的殘余風(fēng)險進(jìn)行分析。

14

GB/T24364—XXXX

c)處理措施風(fēng)險分析及制定應(yīng)急計劃。對每項(xiàng)實(shí)施該處理措施可能帶來的風(fēng)險進(jìn)行分析，確認(rèn)是

否會因?yàn)樘幚泶胧┎划?dāng)或其他原因引入新的風(fēng)險。并制定應(yīng)急計劃，對仍將殘留的風(fēng)險和可能

繼發(fā)的風(fēng)險，以及那些主動接受的風(fēng)險和不可預(yù)見風(fēng)險進(jìn)行技術(shù)和人員儲備。

d)確定風(fēng)險處理方式和措施。在完成成本效益分析和殘余風(fēng)險分析后，對每項(xiàng)風(fēng)險選定一種或者

幾種處理措施，完成最終的風(fēng)險處理措施列表。

e)編制風(fēng)險處理方案。依據(jù)組織的使命和相關(guān)規(guī)定，結(jié)合風(fēng)險處理依據(jù)和目標(biāo)、范圍和方式、處

理措施、成本效益分析、殘余風(fēng)險分析以及風(fēng)險處理團(tuán)隊(duì)分工，編制風(fēng)險處理方案。

f)風(fēng)險處理措施測試。風(fēng)險處理措施測試是在風(fēng)險處理措施正式實(shí)施前，驗(yàn)證風(fēng)險處理措施是否

符合風(fēng)險處理目標(biāo)，判斷措施的實(shí)施是否會引入新的風(fēng)險，同時檢驗(yàn)應(yīng)急計劃是否有效。

g)實(shí)施風(fēng)險處理措施。在完成風(fēng)險處理措施的測試工作后，按照風(fēng)險處理方案實(shí)施具體的風(fēng)險處

理措施。在實(shí)施過程中，實(shí)施風(fēng)險處理的操作人員應(yīng)對具體的操作內(nèi)容進(jìn)行記錄、驗(yàn)證實(shí)施效

果，并簽字確認(rèn)，形成風(fēng)險處理實(shí)施的記錄，以便后期回溯和責(zé)任認(rèn)定。

h)編制風(fēng)險處理報告。記錄風(fēng)險處理措施的實(shí)施過程和結(jié)果，形成風(fēng)險處理實(shí)施報告，在整個組

織內(nèi)部傳達(dá)風(fēng)險管理的活動和成果，為決策提供信息，改進(jìn)風(fēng)險管理活動，協(xié)助與利益相關(guān)方

的互動，包括對風(fēng)險管理活動負(fù)有責(zé)任的相關(guān)方、用戶和主管部門。

圖13風(fēng)險處理實(shí)施階段

7.2.3風(fēng)險處理效果評價

如圖14所示，風(fēng)險處理效果評價階段的工作過程和內(nèi)容如下：

15

GB/T24364—XXXX

a)制定評價原則和方案。評價原則可包括風(fēng)險處理目標(biāo)實(shí)現(xiàn)原則、殘余風(fēng)險可接受準(zhǔn)則、安全投

入合理準(zhǔn)則以及其他效果評價準(zhǔn)則。評價方案要包括評價方法、評價準(zhǔn)則、評價目標(biāo)、評價內(nèi)

容、團(tuán)隊(duì)組成和總體工作計劃。

b)開展評價實(shí)施工作。評價工作可現(xiàn)在評價結(jié)合整體分析，設(shè)置監(jiān)督員監(jiān)控評價過程，編制評價

效果報告，將評價結(jié)果與相關(guān)方進(jìn)行溝通。

c)殘余風(fēng)險接受聲明。對于可接收的殘余風(fēng)險，要形成殘余風(fēng)險接受聲明，并經(jīng)風(fēng)險管理對象和

信息安全風(fēng)險管理決策層和管理層的認(rèn)可和批準(zhǔn)。

d)編制持續(xù)改進(jìn)方案。根據(jù)風(fēng)險處理效果評價報告，針對需要持續(xù)改進(jìn)的風(fēng)險編制改建方案，為

風(fēng)險管理的批準(zhǔn)留存提供重要依據(jù)。

圖14風(fēng)險處理效果評價階段

8批準(zhǔn)留存

8.1批準(zhǔn)留存概述

8.1.1批準(zhǔn)留存的概念

批準(zhǔn)留存是信息安全風(fēng)險管理的第４步驟，包括批準(zhǔn)和文檔留存兩部分：批準(zhǔn)是指組織的決策層依

據(jù)風(fēng)險評估和風(fēng)險處理的結(jié)果是否滿足組織的方針目標(biāo)和信息安全要求，做出是否認(rèn)可風(fēng)險管理活動的

決定；文檔留存是指風(fēng)險管理所產(chǎn)生的信息的文檔形成和保存。

批準(zhǔn)應(yīng)由組織內(nèi)部或更高層的主管組織的決策層來執(zhí)行。文檔留存由風(fēng)險管理各個環(huán)節(jié)的執(zhí)行人員

形成文檔，并保持文檔的完整及對適當(dāng)?shù)娜藛T可用。

8.1.2批準(zhǔn)留存的原則

風(fēng)險評估結(jié)果和風(fēng)險處理結(jié)果的批準(zhǔn)原則是：

a)業(yè)務(wù)優(yōu)先：組織的風(fēng)險關(guān)注的是對組織業(yè)務(wù)可能造成不良影響和帶來機(jī)會的風(fēng)險；

b)風(fēng)險可控：合理利用風(fēng)險和控制風(fēng)險，是其對組織的發(fā)展帶來良性支持；

c)成本適宜：做到成本效益符合組織相關(guān)方的利益訴求；

d)措施有效：采取的風(fēng)險控制措施力求實(shí)效。

風(fēng)險評估結(jié)果和風(fēng)險處理結(jié)果的批準(zhǔn)依據(jù)是：

e)風(fēng)險評價準(zhǔn)則；

16

GB/T24364—XXXX

f)風(fēng)險接受準(zhǔn)則；

g)信息安全方針與目標(biāo)；

h)支持風(fēng)險處理的資源保障能力。

風(fēng)險管理的文檔留存原則是：

i)保全證據(jù)：風(fēng)險管理全過程的文檔得到留存；

j)統(tǒng)一規(guī)范：至少做好核心文檔采用統(tǒng)一的模板格式；

k)簡明易讀：文檔描述清晰，語義易于理解；

l)適度使用：采取措施使文檔控制在合適的范圍內(nèi)得到使用，特別是風(fēng)險評估報告要嚴(yán)格控制使

用范圍。

8.2批準(zhǔn)留存過程

批準(zhǔn)留存過程包括批準(zhǔn)申請、批準(zhǔn)處理和文檔留存３個階段。在信息安全風(fēng)險管理過程中，接受風(fēng)

險處理的輸出后將進(jìn)入風(fēng)險因素的監(jiān)控，風(fēng)險管理的監(jiān)控和溝通咨詢貫穿其３個階段，如圖15所示。

圖15批準(zhǔn)留存過程及其在信息安全風(fēng)險管理中的位置

8.2.1批準(zhǔn)申請

如圖16所示，批準(zhǔn)申請階段的工作過程和內(nèi)容如下：

a)提交批準(zhǔn)申請。申請者填寫批準(zhǔn)申請書后，連同批準(zhǔn)材料一并提交給批準(zhǔn)機(jī)構(gòu)。批準(zhǔn)材料內(nèi)容

包括風(fēng)險管理過程中輸出的文檔、軟件和硬件等結(jié)果。批準(zhǔn)申請書內(nèi)容包括批準(zhǔn)的范圍、對象

和期望，以及申請者的基本信息和簽字等。批準(zhǔn)機(jī)構(gòu)由在風(fēng)險管理對象和信息安全風(fēng)險管理的

決策層中負(fù)責(zé)重大決定的主管者構(gòu)成。

b)受理批準(zhǔn)申請。批準(zhǔn)機(jī)構(gòu)接收批準(zhǔn)申請書和審核結(jié)論報告并審查通過后，返回批準(zhǔn)受理回執(zhí)。

批準(zhǔn)受理回執(zhí)內(nèi)容包括同意受理、補(bǔ)充材料的要求和提交時間（如果需要），以及批準(zhǔn)機(jī)構(gòu)的

名稱和簽章等。

17

GB/T24364—XXXX

圖16批準(zhǔn)申請階段的過程及其輸入輸出

8.2.2批準(zhǔn)處理

如圖17所示，批準(zhǔn)處理階段的工作過程和內(nèi)容如下：

a)審閱批準(zhǔn)材料。批準(zhǔn)機(jī)構(gòu)依據(jù)機(jī)構(gòu)的使命和風(fēng)險管理對象的安全要求報告，按照批準(zhǔn)的原則、

規(guī)定和程序，對批準(zhǔn)材料進(jìn)行審閱，與相關(guān)人員進(jìn)行討論和溝通，為批準(zhǔn)決定做準(zhǔn)備。

b)做出批準(zhǔn)決定。批準(zhǔn)機(jī)構(gòu)按照批準(zhǔn)的原則、規(guī)定和程序，判斷風(fēng)險管理對象的安全要求是否得

到滿足，機(jī)構(gòu)的信息安全保障級別是否達(dá)到其使命所需要的等級，依此做出批準(zhǔn)決定，形成批

準(zhǔn)決定書，交付申請者。批準(zhǔn)決定書內(nèi)容包括批準(zhǔn)的范圍、對象、意見、結(jié)論（即是否通過）

和有效期，以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。如果通過批準(zhǔn)，則進(jìn)入持續(xù)監(jiān)督階段；否則，結(jié)束

本次信息安全風(fēng)險管理的循環(huán)，啟動新一輪循環(huán)進(jìn)行改進(jìn)。

圖17批準(zhǔn)處理階段的過程及其輸入輸出

8.2.3文檔留存

如圖18所示，文檔留存階段的工作過程和內(nèi)容如下：

a)文檔信息收集。如果風(fēng)險評估結(jié)果和風(fēng)險處理結(jié)果得到批準(zhǔn),文檔管理員應(yīng)發(fā)起文檔信息收集

活動,各階段的項(xiàng)目責(zé)任人員負(fù)責(zé)按照文檔管理規(guī)范,將所有的文檔信息整理后統(tǒng)一提交給文

檔管理員。提交的文檔信息至少包括各階段的工作成果，如風(fēng)險管理程序、背景建立溝通記錄、

背景分析報告、風(fēng)險評估報告、風(fēng)險處理計劃、風(fēng)險控制有效性評價記錄、批準(zhǔn)信息等。

18

GB/T24364—XXXX

b)文檔信息控制。所收集的文檔信息應(yīng)妥善保存，確保信息可用，并得到適度控制，具體包括：

1)文檔質(zhì)量評審：收集文檔后，至少應(yīng)從文檔內(nèi)容的完整性、文檔格式規(guī)范性文檔等方面進(jìn)

行質(zhì)量評審；

2)歸檔：對通過文檔評審的文檔進(jìn)行統(tǒng)一歸檔，歸檔按照組織的文檔控制過程執(zhí)行；

3)保存：據(jù)文檔的類型采取必要措施進(jìn)行保存，對電子版的文檔信息必要時采取加密措施進(jìn)

行保存，確保文檔信息的機(jī)密性和完成性，采取適當(dāng)?shù)膫浞荽胧?，確保文檔的可用性；

4)文檔使用控制：原則上文檔信息在原有工作范圍內(nèi)使用，擴(kuò)大使用范圍應(yīng)得到批準(zhǔn)，特別

是風(fēng)險評估報告和風(fēng)險處理計劃應(yīng)嚴(yán)格控制使用范圍；

5)文檔作廢處理：當(dāng)文檔過程作廢后，應(yīng)根據(jù)文檔的保密級別采取適當(dāng)?shù)奶幚泶胧?，包括銷

毀，發(fā)布作廢公告等。

圖18文檔留存控制圖

9監(jiān)視評審

9.1監(jiān)視評審概述

9.1.1監(jiān)視評審的概念

監(jiān)視評審包括對風(fēng)險因素和信息安全風(fēng)險管理循環(huán)的４個主體步驟（即背景建立、風(fēng)險評估、風(fēng)險

處理和批準(zhǔn)留存）的監(jiān)視和評審。監(jiān)視是定期或不定期對風(fēng)險管理過程的運(yùn)行情況進(jìn)行查看，了解風(fēng)險

管理過程的執(zhí)行情況，評審是對監(jiān)視的結(jié)果進(jìn)行分析和評價，從而確定風(fēng)險管理過程的有效性，有效性

包括執(zhí)行情況和執(zhí)行效果。

9.1.2監(jiān)視評審的內(nèi)容

風(fēng)險因素的監(jiān)視和評審包括背景建立過程中關(guān)注的內(nèi)外部環(huán)境以及風(fēng)險評估過程中識別信息的變

化，包括但不限于以下方面和內(nèi)容：

a)風(fēng)險管理范圍的變化，包括新的資產(chǎn)、新的部門等；

b)評估對象價值的變化，比如業(yè)務(wù)的變動帶來的價值變化；

c)新的或變化的威脅，或之前未評價的威脅信息；

d)新發(fā)現(xiàn)的或者是變化的脆弱點(diǎn)；

e)風(fēng)險發(fā)生帶來的后果的變化；

f)新發(fā)布的相關(guān)法律法規(guī)、行業(yè)監(jiān)管要求和標(biāo)準(zhǔn)；

19

GB/T24364—XXXX

g)相關(guān)組織架構(gòu)的變化；

h)管理層的變化；

i)相關(guān)方要求的變化。

風(fēng)險管理的監(jiān)視和評審包括以下方面和內(nèi)容：

j)風(fēng)險管理過程的執(zhí)行情況；

k)風(fēng)險因素識別的全面性和合理性；

l)風(fēng)險管理目標(biāo)的實(shí)現(xiàn)情況；

m)風(fēng)險處理計劃的實(shí)施情況

n)風(fēng)險控制措施的運(yùn)行有效性；

o)風(fēng)險控制成本效益的合理性；

p)風(fēng)險評估原則和風(fēng)險接受原則的合理性；

q)當(dāng)前風(fēng)險評估方法的有效性和產(chǎn)生結(jié)果的一致性，以及新的風(fēng)險評估方法。

9.2監(jiān)視評審過程

風(fēng)險因素的監(jiān)視評審過程貫穿于信息安全風(fēng)險管理的整個過程中，通過監(jiān)視和評審獲得風(fēng)險因素變

化的結(jié)果，從而啟動新的風(fēng)險管理活動。如圖19所示，監(jiān)視評審記錄內(nèi)容包括風(fēng)險因素的變化描述和分

析評價結(jié)果，包括是否啟動新的風(fēng)險管理活動。

圖19風(fēng)險因素的監(jiān)視評審過程及其在信息安全風(fēng)險管理中的位置

風(fēng)險管理的監(jiān)視評審過程貫穿于信息安全風(fēng)險管理的背景建立、風(fēng)險評估、風(fēng)險處理和批準(zhǔn)留存這

４個基本步驟，并分別輸出相應(yīng)的監(jiān)視評審記錄，如圖20在所示。監(jiān)視評審記錄內(nèi)容包括監(jiān)視和評審的

范圍、對象、時間、過程、結(jié)果和措施等。

20

GB/T24364—XXXX

圖20風(fēng)險管理的監(jiān)視評審過程及其在信息安全風(fēng)險管理中的位置

9.2.1背景建立過程的監(jiān)視評審

表2匯總了背景建立過程中各階段的監(jiān)視評審內(nèi)容。

表2背景建立過程的監(jiān)視評審

階段監(jiān)視評審內(nèi)容

風(fēng)險管理準(zhǔn)備風(fēng)險管理計劃制定的過程及其相關(guān)文檔

風(fēng)險管理對象調(diào)查與分析風(fēng)險管理對象調(diào)查與分析的過程及其相關(guān)文檔

信息安全分析信息安全分析的過程及其相關(guān)文檔

基本原則確立確立的基本原則

實(shí)施規(guī)劃規(guī)劃的過程及其相關(guān)文檔

9.2.2風(fēng)險評估過程的監(jiān)視評審

表3匯總了風(fēng)險評估過程中各階段的監(jiān)視評審內(nèi)容。

表3風(fēng)險評估過程的監(jiān)視評審

階段監(jiān)視評審內(nèi)容

風(fēng)險評估的計劃制定、方案確定以及方法和工具選

風(fēng)險評估準(zhǔn)備

擇的過程及其相關(guān)文檔

業(yè)務(wù)、資產(chǎn)、威脅、脆弱性和已有安全措施識別的

風(fēng)險要素識別

過程及其相關(guān)文檔

安全事件發(fā)生可能性分析、安全事件造成的損失分

風(fēng)險分析

析、和風(fēng)險計算的過程及其相關(guān)文檔

風(fēng)險評價準(zhǔn)則、資產(chǎn)風(fēng)險等級評價、業(yè)務(wù)風(fēng)險等級

風(fēng)險評價評價、風(fēng)險狀況綜合評價以及風(fēng)險評估報告生成的

過程及其文檔

21

GB/T24364—XXXX

9.2.3風(fēng)險處理過程的監(jiān)視評審

表4匯總了風(fēng)險處理過程中各階段的監(jiān)視評審內(nèi)容。

表4風(fēng)險處理過程的監(jiān)視評審

階段監(jiān)視評審內(nèi)容

風(fēng)險處理范圍目標(biāo)確定、風(fēng)險處理可接受準(zhǔn)則確

風(fēng)險處理準(zhǔn)備定、風(fēng)險處理方式選擇、風(fēng)險處理資源確定和風(fēng)險

處理計劃制定的過程及其相關(guān)文檔

風(fēng)險處理措施準(zhǔn)備、成本效益和殘余風(fēng)險分析、處

理措施風(fēng)險分析及應(yīng)急計劃制定、風(fēng)險處理方式和

風(fēng)險處理實(shí)施措施確定、風(fēng)險處理方案編制、風(fēng)險處理措施測試、

風(fēng)險處理措施實(shí)施和風(fēng)險處理報告編制的過程及

其相關(guān)文檔

評價原則和方案制定、開展評價實(shí)施工作、殘余風(fēng)

風(fēng)險處理效果評價險接受聲明和持續(xù)改進(jìn)方案編制的過程及其相關(guān)

文檔

9.2.4批準(zhǔn)留存過程的監(jiān)視評審

表5匯總了批準(zhǔn)留存過程中各階段的監(jiān)視評審內(nèi)容。

表5批準(zhǔn)留存過程的監(jiān)視評審

階段監(jiān)視評審內(nèi)容

批準(zhǔn)申請批準(zhǔn)申請和受理的過程及其相關(guān)文檔

審閱批準(zhǔn)材料和批準(zhǔn)決定做出的過程及其相關(guān)文

批準(zhǔn)處理

檔

文檔留存收集的文檔及文檔管理的相關(guān)文檔

10溝通咨詢

10.1溝通咨詢概述

10.1.1溝通咨詢的概念

溝通咨詢?yōu)樾畔踩L(fēng)險管理主循環(huán)的４個步驟（即背景建立、風(fēng)險評估、風(fēng)險處理和批準(zhǔn)留存）

中相關(guān)方提供溝通和咨詢。溝通咨詢是通過相關(guān)方之間交換和/或共享關(guān)于風(fēng)險的信息，就如何管理風(fēng)

險達(dá)成一致的活動。溝通是為所有參與人員提供交流途徑，以保持參與人員之間的協(xié)調(diào)一致，共同實(shí)現(xiàn)

安全目標(biāo)。咨詢是相關(guān)方需要時為其提供學(xué)習(xí)途徑，以提高風(fēng)險意識、知識和技能，配合實(shí)現(xiàn)安全目標(biāo)。

10.1.2溝通咨詢的意義

相關(guān)方對風(fēng)險的認(rèn)識可能會有所不同，很可能根據(jù)各自對風(fēng)險的感知來判斷風(fēng)險的可接受性。為保

證信息安全風(fēng)險管理活動順利和有效地進(jìn)行，相關(guān)方行動的協(xié)調(diào)和一致以及相關(guān)知識和技能的熟練掌握

是十分關(guān)鍵的因素。通過暢通的交流和充分的溝通，保持行動的協(xié)調(diào)和一致；通過有效的培訓(xùn)和方便的

咨詢，保證行動者具有足夠的知識和技能，就是溝通咨詢的意義所在。

22

GB/T24364—XXXX

10.1.3溝通咨詢的目標(biāo)

溝通咨詢包括以下方面和目標(biāo)：

1)確保組織風(fēng)險管理的結(jié)果；

2)收集風(fēng)險信息；

3)分享風(fēng)險評估結(jié)果并提出處理計劃；

4)避免或減少因相關(guān)方之間缺乏相互了解而導(dǎo)致的信息安全漏洞發(fā)生和后果；

5)支持決策制定；

6)獲取新的信息安全知識；

7)與其他各方協(xié)調(diào)并計劃應(yīng)對措施，以減少任何事件的后果；

8)讓相關(guān)方對風(fēng)險有責(zé)任感；

9)提高認(rèn)識。

10.1.4溝通咨詢的方式

溝通咨詢的雙方角色不同，所采取的方式有所不同。有關(guān)信息安全風(fēng)險管理相關(guān)人員的角色和責(zé)任

的劃分參見表１。表6給出了不同層面人員之間溝通咨詢的方式。

表6溝通咨詢的方式

接受方

方式

決策層管理層執(zhí)行層支持層用戶層

決策層交流指導(dǎo)和檢查指導(dǎo)和檢查表態(tài)表態(tài)

管理層匯報交流指導(dǎo)和檢查宣傳和介紹宣傳和介紹

發(fā)出

執(zhí)行層匯報匯報交流宣傳和介紹培訓(xùn)和咨詢

方

支持層培訓(xùn)和咨詢訓(xùn)和咨詢培訓(xùn)和咨詢交流培訓(xùn)和咨詢

用戶層反饋反饋反饋反饋交流

溝通咨詢的各種方式說明如下：

a)指導(dǎo)和檢查：指機(jī)構(gòu)上級對下級工作的指導(dǎo)和檢查，用以保證工作質(zhì)量和效率，適用于決策層

對管理層、決策層對執(zhí)行層和管理層對執(zhí)行層；

b)表態(tài)：指機(jī)構(gòu)高層支持信息安全風(fēng)險管理的對外表態(tài)，用以得到外界認(rèn)同和支持，適用于決策

層對支持層和決策層對用戶層；

c)匯報：指機(jī)構(gòu)下級對上級做工作匯報，用以得到上級認(rèn)可，適用于管理層對決策層、執(zhí)行層對

決策層和執(zhí)行層對管理層；

d)宣傳和介紹：指機(jī)構(gòu)的風(fēng)險管理對象和信息安全風(fēng)險管理的對外宣傳和介紹，用以得到外界支

持和配合，適用于管理層對支持層、管理層對用戶層和執(zhí)行層對支持層；

e)培訓(xùn)和咨詢：指專業(yè)人員對信息安全風(fēng)險管理相關(guān)方的培訓(xùn)和咨詢，用以提高人員的安全意識、

知識和技能，適用于執(zhí)行層對用戶層、支持層對決策層、支持層對管理層和支持層對執(zhí)行層；

f)反饋：指機(jī)構(gòu)風(fēng)險管理對象使用者對機(jī)構(gòu)信息安全風(fēng)險管理的意見反饋，用以了解實(shí)施效果和

用戶需求，適用于用戶層對決策層、用戶層對管理層、用戶層對執(zhí)行層和用戶層對支持層；

g)交流：指同級或同行之間的對等交流，用以共享信息和協(xié)調(diào)工作，適用于決策層對決策層、管

理層對管理層、執(zhí)行層對執(zhí)行層、支持層對支持層和用戶層對用戶層。

10.2溝通咨詢過程

23

GB/T24364—XXXX

溝通咨詢的過程貫穿于信息安全風(fēng)險管理的背景建立、風(fēng)險評估、風(fēng)險處理和批準(zhǔn)留存這４個基本

步驟，并分別輸出相應(yīng)的溝通咨詢記錄，如圖21所示。溝通咨詢記錄內(nèi)容包括溝通和咨詢的范圍、對象、

時間、內(nèi)容和結(jié)果等。

圖21溝通咨詢過程及其在信息安全風(fēng)險管理中的位置

10.2.1背景建立過程的溝通咨詢

10.2.1.1面向參與人員的溝通

表7匯總了背景建立過程中各階段的溝通參與人員和涉及內(nèi)容。

表7背景建立過程的溝通

參與人員

階段涉及內(nèi)容

風(fēng)險管理對象信息安全風(fēng)險管理

確定風(fēng)險管理范圍和邊界、確

決策層定信息安全風(fēng)險管理的目標(biāo)、

風(fēng)險管理準(zhǔn)備決策層

管理層風(fēng)險管理總體規(guī)劃并獲得批準(zhǔn)

的過程及其相關(guān)文檔

調(diào)查機(jī)構(gòu)使命及目標(biāo)、調(diào)查法

管理層律法規(guī)及監(jiān)管要求等、調(diào)查業(yè)

管理層

調(diào)查與分析執(zhí)行層務(wù)特性、調(diào)查外部環(huán)境、形成

執(zhí)行層

支持層調(diào)查分析報告的過程及其相關(guān)

文檔

分析風(fēng)險管理對象的安全環(huán)

管理層境、分析風(fēng)險管理對象的安全

管理層

信息安全分析執(zhí)行層要求、形成風(fēng)險管理對象的安

執(zhí)行層

支持層全要求分析報告的過程及其相

關(guān)文檔

管理層

管理層風(fēng)險管理方法、風(fēng)險管理準(zhǔn)則

基本原則確立執(zhí)行層

執(zhí)行層確立的過程及其相關(guān)文檔

支持層

24

GB/T24364—XXXX

參與人員

階段涉及內(nèi)容

風(fēng)險管理對象信息安全風(fēng)險管理

管理層組建風(fēng)險管理團(tuán)隊(duì)、制定詳細(xì)

管理層

實(shí)施規(guī)劃執(zhí)行層的實(shí)施規(guī)劃的過程及其相關(guān)文

執(zhí)行層

支持層檔

10.2.1.2面向相關(guān)方的咨詢

在背景建立的整個過程中，為所有相關(guān)方提供有關(guān)背景建立的咨詢和培訓(xùn)等。

10.2.2風(fēng)險評估過程的溝通咨詢

10.2.2.1面向參與人員的溝通

表8匯總了風(fēng)險評估過程中各階段的溝通參與人員和涉及