《信息技術(shù) 安全技術(shù) 信息安全風(fēng)險管理》編制說明

一、工作簡況

1.1任務(wù)來源

《信息技術(shù)安全技術(shù)信息安全風(fēng)險管理》是國家標(biāo)準(zhǔn)化管理委員會2010

年下達(dá)的信息安全國家標(biāo)準(zhǔn)制定項(xiàng)目，國標(biāo)計(jì)劃號為：20111634-T-469。由中國

電子技術(shù)標(biāo)準(zhǔn)化研究院主要負(fù)責(zé)起草。上海三零衛(wèi)士信息安全有限公司、北京信

息安全測評中心、山東計(jì)算中心、黑龍江電子信息產(chǎn)品監(jiān)督檢驗(yàn)院等單位共同參

與了該標(biāo)準(zhǔn)的起草工作。

1.2任務(wù)背景

《信息技術(shù)安全技術(shù)信息安全風(fēng)險管理》是國際信息安全管理體系

（ISMS）標(biāo)準(zhǔn)族（即ISO/IEC27000系列標(biāo)準(zhǔn)）中的標(biāo)準(zhǔn)之一。國際信息安全標(biāo)

準(zhǔn)化組織ISO/IECJTC1SC27/WG1專門負(fù)責(zé)ISMS標(biāo)準(zhǔn)族的研究和制定。ISMS標(biāo)

準(zhǔn)族作為一套具有一定科學(xué)理論基礎(chǔ)和實(shí)踐價值的標(biāo)準(zhǔn)，被廣泛用于不同國家、

不同領(lǐng)域，為不同信息安全管理需求的用戶提供了參考和指導(dǎo)。信息安全管理是

基于風(fēng)險的管理，也就是說，風(fēng)險管理是信息安全管理的基本方法，本標(biāo)準(zhǔn)的主

要目的是為信息安全風(fēng)險管理提供指導(dǎo)，并對于深入理解和有效、合理實(shí)施ISMS

具有非常重要的意義。

截至目前，我國在持續(xù)跟蹤研究該系列標(biāo)準(zhǔn)的基礎(chǔ)上，已經(jīng)轉(zhuǎn)化了ISMS中

最為重要和核心的四項(xiàng)標(biāo)準(zhǔn)，分別是：ISO/IEC27001:2005《信息技術(shù)安全技

術(shù)信息安全管理體系要求》（對應(yīng)國家標(biāo)準(zhǔn)GB/T22080:2008）、ISO/IEC

27002:2005《信息技術(shù)安全技術(shù)信息安全管理使用規(guī)則》（對應(yīng)國家標(biāo)準(zhǔn)GB/T

22081:2008）、ISO/IEC27006:2007《信息技術(shù)安全技術(shù)信息安全管理體系認(rèn)

證機(jī)構(gòu)認(rèn)可要求》（GB/T25067-2010）、ISO/IEC27000:2010《信息技術(shù)安全技

術(shù)信息安全管理體系概述和詞匯》（即將發(fā)布）。其中，ISO/IEC27001和ISO/IEC

27002是建設(shè)組織信息安全管理體系的基礎(chǔ)依據(jù)；ISO/IEC27000則提供了有關(guān)

ISMS系列標(biāo)準(zhǔn)的術(shù)語和定義，并提供了整個ISMS標(biāo)準(zhǔn)族的概貌，對于希望了解

和使用ISMS標(biāo)準(zhǔn)族的用戶具有重要的指導(dǎo)意義；ISO/IEC27006則規(guī)范了信息

安全管理體系的審核和認(rèn)證工作。

1.3主要工作過程

1、2010年6月至2011年3月，由中國電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭，成立

1

由上海三零衛(wèi)士信息安全有限公司、北京測評中心、山東計(jì)算中心、黑龍江電子

信息產(chǎn)品監(jiān)督檢驗(yàn)院等單位共同組成的標(biāo)準(zhǔn)編制組，共同參與編制國家標(biāo)準(zhǔn)《信

息安全管理體系實(shí)施指南》、《信息安全管理測量》和《信息安全風(fēng)險管理》等

工作。對國際標(biāo)準(zhǔn)ISO/IEC27003:2010《信息技術(shù)安全技術(shù)信息安全管理體

系實(shí)施指南》、ISO/IEC27004:2009《信息技術(shù)安全技術(shù)信息安全管理測量》

和ISO/IEC27005:2008《信息技術(shù)安全技術(shù)信息安全風(fēng)險管理》等三個標(biāo)準(zhǔn)

文本，進(jìn)行了等同翻譯，完成了初稿。

2、2011年5月18日至19日，正式召開上述三項(xiàng)國家標(biāo)準(zhǔn)編制工作啟動會

暨第一次標(biāo)準(zhǔn)編制組會，會上，主要對各標(biāo)準(zhǔn)范圍、主要內(nèi)容和框架、理解難

點(diǎn)以及三項(xiàng)標(biāo)準(zhǔn)中相關(guān)術(shù)語概念的協(xié)同處理等進(jìn)行了交流和討論。根據(jù)會議討

論情況及存在的問題，安排對標(biāo)準(zhǔn)初稿進(jìn)一步完善。

3、2011年6月至10月，各標(biāo)準(zhǔn)具體負(fù)責(zé)人根據(jù)5月會議討論決定，對標(biāo)

準(zhǔn)初稿文本進(jìn)行了修改完善，形成了標(biāo)準(zhǔn)草案第一稿。

4、2011年11月24日至25日，標(biāo)準(zhǔn)編制組召開第二次標(biāo)準(zhǔn)編制組會，對

標(biāo)準(zhǔn)草案第一稿進(jìn)行討論和研究，進(jìn)一步修改完善，形成了標(biāo)準(zhǔn)草案第二稿。

5、2012年3月5日至6日，標(biāo)準(zhǔn)編制組召開第三次標(biāo)準(zhǔn)編制組會，對標(biāo)準(zhǔn)

草案第二稿進(jìn)行討論和研究，進(jìn)一步修改完善，形成了標(biāo)準(zhǔn)草案第三稿。

6、2012年4月起，就已形成的標(biāo)準(zhǔn)草案小范圍征求相關(guān)專家的意見和建議，

并根據(jù)專家意見和建議，本著對國際標(biāo)準(zhǔn)內(nèi)容理解更加準(zhǔn)確、表達(dá)更加通暢等

原則，對標(biāo)準(zhǔn)草案第三稿進(jìn)行了全面的校對，形成了目前的標(biāo)準(zhǔn)草案第四稿。

7、2012年8月28日，標(biāo)準(zhǔn)編制組召開專家意見征求會，一方面，提出標(biāo)

準(zhǔn)草案第四稿中的遺留問題，咨詢與會專家的意見和建議；同時另一方面，聽

取與會專家對標(biāo)準(zhǔn)草案第四稿的修改意見和建議。會后，根據(jù)與會專家的意見

和建議，對標(biāo)準(zhǔn)草案第四稿作了進(jìn)一步修改完善，形成了標(biāo)準(zhǔn)草案第五稿。

8、2012年11月27日，標(biāo)準(zhǔn)編制組召開專家審查會，聽取了與會專家對標(biāo)

準(zhǔn)草案第五稿的修改意見和建議，并通過了專家審查。會后，根據(jù)與會專家的

意見和建議，對標(biāo)準(zhǔn)草案第五稿作了進(jìn)一步修改完善，形成了標(biāo)準(zhǔn)草案第六稿。

9、2013年1月15日，通過了WG7組的全體成員投票工作會議，會后對文

本進(jìn)行了修改完善，形成了征求意見稿。

2

二、編制原則和主要內(nèi)容

2.1編制原則

等同采用：基于目前國內(nèi)對國際ISMS標(biāo)準(zhǔn)族相關(guān)標(biāo)準(zhǔn)的研究和轉(zhuǎn)化情況，

以及我國整體信息安全管理理論和技術(shù)發(fā)展現(xiàn)狀，標(biāo)準(zhǔn)編制組認(rèn)為有必要等同轉(zhuǎn)

化ISO/IEC27005，因此，決定等同采用國際標(biāo)準(zhǔn)ISO/IEC27005:2008《信息技

術(shù)安全技術(shù)信息安全風(fēng)險管理》。

準(zhǔn)確理解：在充分理解國際標(biāo)準(zhǔn)原文的基礎(chǔ)上進(jìn)行等同翻譯，做到準(zhǔn)確表

達(dá)原意。

語言通暢：在等同翻譯時，盡量符合中文的語言習(xí)慣，做到表述通暢。

2.2主要內(nèi)容

本標(biāo)準(zhǔn)為組織內(nèi)的信息安全風(fēng)險管理提供指南，特別是支持根據(jù)GB/T

22080的ISMS要求。本標(biāo)準(zhǔn)支持GB/T22080所規(guī)約的一般概念，旨在有助于基

于風(fēng)險管理方法來滿意地實(shí)現(xiàn)信息安全。知曉GB/T22080和GB/T22081中所描

述的概念、模型、過程和術(shù)語，對于完整地理解本標(biāo)準(zhǔn)是重要的。

本標(biāo)準(zhǔn)適用于各種類型的組織（例如，商務(wù)企業(yè)、政府機(jī)構(gòu)、非盈利性組

織），這些組織期望管理可能危及其信息安全的風(fēng)險。

然而，本標(biāo)準(zhǔn)不提供信息安全風(fēng)險管理的任何特定方法。由組織來確定其

風(fēng)險管理方法，這取決于，例如，組織的ISMS范圍、風(fēng)險管理語境或所處行業(yè)。

一些現(xiàn)有的方法可在本標(biāo)準(zhǔn)描述的框架下使用，以實(shí)現(xiàn)ISMS的要求。

本標(biāo)準(zhǔn)內(nèi)容框架如下：

引言

1范圍

2規(guī)范性引用文件

3術(shù)語和定義

4本標(biāo)準(zhǔn)結(jié)構(gòu)

5背景

6信息安全風(fēng)險管理過程概述

7語境建立

7.1總體考慮

3

7.2基本準(zhǔn)則

7.3范圍和邊界

7.4信息安全風(fēng)險管理組織

8信息安全風(fēng)險評估

8.1信息安全風(fēng)險評估總體描述

8.2風(fēng)險分析

8.3風(fēng)險評價

9信息安全風(fēng)險處置

9.1風(fēng)險處置總體描述

9.2風(fēng)險降低

9.3風(fēng)險保留

9.4風(fēng)險規(guī)避

9.5風(fēng)險轉(zhuǎn)移

10信息安全風(fēng)險接受

11信息安全風(fēng)險溝通

12信息安全風(fēng)險監(jiān)視和評審

12.1風(fēng)險因素的監(jiān)視和評審

12.2風(fēng)險管理監(jiān)視、評審和改進(jìn)

附錄A（資料性附錄）確定信息安全風(fēng)險管理過程的范圍和邊界

附錄B（資料性附錄）資產(chǎn)識別和估價以及影響評估

附錄C（資料性附錄）典型威脅示例

附錄D（資料性附錄）脆弱性和脆弱性評估方法

附錄E（資料性附錄）信息安全評估方法

附錄F（資料性附錄）風(fēng)險降低的約束

參考文獻(xiàn)

三、主要試驗(yàn)（或驗(yàn)證）的分析、綜述報告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果

本標(biāo)準(zhǔn)是一種方法指南，用于指導(dǎo)組織內(nèi)的信息安全風(fēng)險管理，旨在通過

風(fēng)險管理方法做到控制措施有效、成本效益合理地實(shí)現(xiàn)組織的信息安全，防止信

4

息安全風(fēng)險可能給組織業(yè)務(wù)帶來的負(fù)面影響或利益損害。

四、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的

對比情況，或與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對比情況

本標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC27005:2008。

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)。本標(biāo)準(zhǔn)與現(xiàn)有國家標(biāo)準(zhǔn)GB/T22080:2008《信息

技術(shù)安全技術(shù)信息安全管理體系要求》、GB/T22081:2008《信息技術(shù)安全技

術(shù)信息安全管理實(shí)用規(guī)則》以及GB/T25067:2010《信息技術(shù)安全技術(shù)信息

安全管理體系審核認(rèn)證機(jī)構(gòu)的要求》都屬于信息安全管理體系標(biāo)準(zhǔn)族標(biāo)準(zhǔn)。GB/T

22080:2008提供了建立信息安全管理體系的模型及每個過程的具體活動，可供

用戶建立和實(shí)施滿足自身業(yè)務(wù)需求和安全需要的信息安全管理體系。GB/T

22081:2008提供了一套通用的安全控制目標(biāo)和最佳實(shí)踐控制措施，可指導(dǎo)用戶

選擇和實(shí)施控制措施以實(shí)現(xiàn)信息安全。GB/T25067:2010為依據(jù)GB/T22080:2008

從事ISMS審核和認(rèn)證的機(jī)構(gòu)規(guī)定了要求并提供相關(guān)指導(dǎo)。本標(biāo)準(zhǔn)則為組織內(nèi)的

信息安全風(fēng)險管理提供指導(dǎo)，特別是支持根據(jù)GB/T22080的ISMS要求。本標(biāo)準(zhǔn)

提出了方法性的建議和解釋，并未規(guī)定任何要求。本標(biāo)準(zhǔn)可與GB/T22080-2008

和GB/T22081-2008一起使用，但并未修改或降低GB/T22080-2008所規(guī)定的要

求或GB/T22081-2008所提出的建議。

六、重大分歧意見的處理經(jīng)過和依據(jù)

詳見意見匯總處理表。

七、國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議

建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。

5

八、貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等

內(nèi)容）

本標(biāo)準(zhǔn)通過風(fēng)險管理方法，為國家標(biāo)準(zhǔn)GB/T22080:2008《信息技術(shù)安全

技術(shù)信息安全管理體系要求》和GB/T22081:2008《信息技術(shù)安全技術(shù)信息

安全管理實(shí)用規(guī)則》的有效、合理實(shí)施提供支持。因此，本標(biāo)準(zhǔn)貫徹實(shí)施時，應(yīng)

與上述兩個標(biāo)準(zhǔn)結(jié)合在一起進(jìn)行。

九、其他事項(xiàng)說明

本標(biāo)準(zhǔn)與國家標(biāo)準(zhǔn)