信息安全技術(shù)-信息安全風(fēng)險(xiǎn)管理指南

信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程，為信息安全風(fēng)險(xiǎn)管理過程中不同階段的實(shí)施提供指

導(dǎo)。

本標(biāo)準(zhǔn)適用于指導(dǎo)組織進(jìn)行信息安全風(fēng)險(xiǎn)管理工作。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069信息安全技術(shù)術(shù)語

GB/T33132信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南

GB/T20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范

3術(shù)語和定義

GB/T25069、GB/T33132和GB/T20984中界定的和下列術(shù)語和定義適用于本指導(dǎo)性技術(shù)文件。

3.1

信息安全風(fēng)險(xiǎn)informationsecurityrisk

人為或自然的威脅利用風(fēng)險(xiǎn)管理對象及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組

織造成的影響。

3.2

風(fēng)險(xiǎn)管理riskmanagement

指導(dǎo)和控制組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。

3.3

業(yè)務(wù)business

組織為實(shí)現(xiàn)某項(xiàng)發(fā)展戰(zhàn)略而開展的運(yùn)營活動(dòng)。

注：該活動(dòng)具有明確的目標(biāo)，并延續(xù)一段時(shí)間。

3.4

風(fēng)險(xiǎn)處理riskprocess

選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的過程。

4信息安全風(fēng)險(xiǎn)管理概述

4.1信息安全風(fēng)險(xiǎn)管理的范圍和對象

GB/T24364—XXXX

信息安全的概念涵蓋了信息、信息載體和信息環(huán)境3個(gè)方面的安全。信息指系統(tǒng)中采集、處理、存

儲(chǔ)的數(shù)據(jù)和文件等內(nèi)容；信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實(shí)體：信

息環(huán)境指信息及信息載體所處的環(huán)境，包括物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)等硬環(huán)境和軟環(huán)

境。

信息安全風(fēng)險(xiǎn)管理是基于風(fēng)險(xiǎn)的信息安全管理，也就是，始終以風(fēng)險(xiǎn)為主線進(jìn)行信息安全的管理。

從概念上講，信息安全風(fēng)險(xiǎn)管理應(yīng)該涉及信息安全上述3個(gè)方面(信息、信息載體和信息環(huán)境)中包含

的所有相關(guān)對象。然而對于風(fēng)險(xiǎn)管理對象，信息安全風(fēng)險(xiǎn)管理可能主要涉及風(fēng)險(xiǎn)管理對象的關(guān)鍵和敏感

部分。因此，根據(jù)實(shí)際組織的不同，信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn)，即風(fēng)險(xiǎn)管理選擇的范圍和對象重點(diǎn)應(yīng)

有所不同。

4.2信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程

信息安全風(fēng)險(xiǎn)管理包括背景建立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理、批準(zhǔn)留存、監(jiān)視評審和溝通咨詢6個(gè)方面

的內(nèi)容。背景建立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理和批準(zhǔn)留存是信息安全風(fēng)險(xiǎn)管理的4個(gè)基本步驟，監(jiān)視評審和

溝通咨詢則貫穿于這4個(gè)基本步驟中，如圖1所示。

圖1信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程

第一步驟是背景建立，確定風(fēng)險(xiǎn)管理的對象和范圍，確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)

查和分析。第二步驟是風(fēng)險(xiǎn)評估，針對確立的風(fēng)險(xiǎn)管理對象所面臨的風(fēng)險(xiǎn)進(jìn)行識別、分析和評價(jià)。第三

步驟是風(fēng)險(xiǎn)處理，依據(jù)風(fēng)險(xiǎn)評估的結(jié)果，選擇并執(zhí)行合適的安全措施來更改風(fēng)險(xiǎn)的過程。第四步驟是批

準(zhǔn)留存，機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理的結(jié)果是否滿足風(fēng)險(xiǎn)管理對象的安全要求，做出是否認(rèn)

可風(fēng)險(xiǎn)管理活動(dòng)的決定，并將結(jié)果留存。當(dāng)風(fēng)險(xiǎn)管理對象的業(yè)務(wù)目標(biāo)和特性發(fā)生變化或面臨新的風(fēng)險(xiǎn)時(shí),

需要再次進(jìn)入上述4個(gè)步驟，形成新的一次循環(huán)。監(jiān)視評審包括對上述4個(gè)主體步驟的監(jiān)視和評審。監(jiān)

視是定期或不定期對風(fēng)險(xiǎn)管理過程的運(yùn)行情況進(jìn)行查看，了解風(fēng)險(xiǎn)管理過程的執(zhí)行情況，評審是對監(jiān)視

的結(jié)果進(jìn)行分析和評價(jià)，從而確定風(fēng)險(xiǎn)管理過程的有效性。溝通咨詢?yōu)镮.述4個(gè)步驟中相關(guān)方提供溝通

和咨詢。溝通咨詢是通過相關(guān)方之間交換和/或共享關(guān)于風(fēng)險(xiǎn)的信息，就如何管理風(fēng)險(xiǎn)達(dá)成一致的活動(dòng)。

咨詢是在相關(guān)方需要時(shí)為其提供學(xué)習(xí)途徑，以保持參與人員之間的協(xié)調(diào)一致，共同實(shí)現(xiàn)安全H標(biāo)。咨詢

是為所有相關(guān)方提供學(xué)習(xí)途徑，以提高風(fēng)險(xiǎn)意識、知識和技能，配合實(shí)現(xiàn)安全目標(biāo)。背景建立、風(fēng)險(xiǎn)評

估、風(fēng)險(xiǎn)處理、批準(zhǔn)留存、監(jiān)視評審、溝通咨詢構(gòu)成了一個(gè)螺旋式上升的循環(huán)，使得風(fēng)險(xiǎn)管理對象在自

身和環(huán)境的變化中能夠不斷應(yīng)對新的安全需求和風(fēng)險(xiǎn)。

在本標(biāo)準(zhǔn)的第5章到第1()章，對信息安全風(fēng)險(xiǎn)管理實(shí)施過程上述6個(gè)步驟的概念、過程、工作內(nèi)容、

輸出文檔等進(jìn)行了闡述。

4.3信息安全風(fēng)險(xiǎn)管理目標(biāo)

2

信息安全風(fēng)險(xiǎn)管理目標(biāo)是通過信息安全風(fēng)險(xiǎn)管理手段來實(shí)現(xiàn)風(fēng)險(xiǎn)管理對象的基本安全屬性（即信息

安全基本屬性），信息安全基本屬性包括保密性、完整性、可用性、真實(shí)性和抗抵賴性等。

4.4信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任

信息安全風(fēng)險(xiǎn)管理是基于風(fēng)險(xiǎn)的信息安全管理…因此，信息安全風(fēng)險(xiǎn)管理涉及人員，既包括信息安

全風(fēng)險(xiǎn)管理的直接參與人員，也包括風(fēng)險(xiǎn)管理對象的相關(guān)人員。表1對信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角

色和責(zé)任進(jìn)行了歸納和分類。

表1信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任

風(fēng)險(xiǎn)管理對象信息安全風(fēng)險(xiǎn)管理

層面

角色內(nèi)外部責(zé)任角色內(nèi)外部責(zé)任

負(fù)貢風(fēng)險(xiǎn)管理對象的重大決負(fù)貢信息安全風(fēng)險(xiǎn)管理的重大

決策層決策人員內(nèi)決策人員內(nèi)

策和總體規(guī)范決策、總體規(guī)劃和批準(zhǔn)留存

負(fù)責(zé)風(fēng)險(xiǎn)管理對象各方面的負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理各過程

首理層管理人員內(nèi)管理人員內(nèi)

管理.、組織和協(xié)調(diào)中的管理、組織和協(xié)調(diào)

規(guī)劃設(shè)計(jì)負(fù)責(zé)風(fēng)險(xiǎn)管理對象的規(guī)劃和

內(nèi)或外

人員設(shè)計(jì)

負(fù)貢風(fēng)險(xiǎn)管理對象的建設(shè)和

建設(shè)人員內(nèi)或外

實(shí)施負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的具體

JAIJAW內(nèi)或外

負(fù)責(zé)風(fēng)險(xiǎn)管理對象的口常運(yùn)規(guī)劃.設(shè)計(jì)和實(shí)施

執(zhí)行層運(yùn)行人員內(nèi)

行和操作

負(fù)責(zé)風(fēng)險(xiǎn)管理對象的H常維

維護(hù)人員內(nèi)或外

護(hù)，包括維修和升級

負(fù)貢風(fēng)險(xiǎn)管理對象的監(jiān)視和負(fù)貢信息安全風(fēng)險(xiǎn)管理過程、

監(jiān)控人員內(nèi)監(jiān)控人員內(nèi)

控制成本和結(jié)果的監(jiān)視和控制

為風(fēng)險(xiǎn)管理對象提供專業(yè)技為信息安全風(fēng)險(xiǎn)管理提供專業(yè)

支持層支持人員外術(shù)支持，包括咨詢、培訓(xùn)、測支持人員外技術(shù)支持，包括咨詢、培訓(xùn)、

評和工具定制等服務(wù)測評和工具定制等服務(wù)

遵循信息女全風(fēng)險(xiǎn)管埋的原則

利用風(fēng)險(xiǎn)管理對象完成H身

用戶層使用人員內(nèi)或外使用人員內(nèi)或外和過程使用風(fēng)險(xiǎn)管理對象，并

的任務(wù)

反饋信息安全風(fēng)險(xiǎn)管理的效果

5背景建立

5.1背景建立概述

5.1.1背景建立的概念

背景建立是信息安全風(fēng)險(xiǎn)管理的第一步驟，確定風(fēng)險(xiǎn)管理的對■象和范圍，確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備,

進(jìn)行相關(guān)信息的調(diào)查和分析。

5.1.2背景建立的目的

背景建立是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對象，以及對象的特性和安全要求，對信息安全風(fēng)

險(xiǎn)管理項(xiàng)目進(jìn)行規(guī)劃和準(zhǔn)備，保障后續(xù)的風(fēng)險(xiǎn)管理活動(dòng)順利進(jìn)行。

5.1.3背景建立的依據(jù)

GB/T24364—XXXX

國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)以及風(fēng)險(xiǎn)管理對象的業(yè)務(wù)目標(biāo)、特性、外部和內(nèi)

部環(huán)境都是背景建立的必要依據(jù)。

5.2背景建立過程

背景建立的過程包括風(fēng)險(xiǎn)管理準(zhǔn)備、風(fēng)險(xiǎn)管理對象調(diào)查與分析、信息安全要求分析、基本原則、實(shí)

施規(guī)劃確立5個(gè)階段。在信息安全風(fēng)險(xiǎn)管理過程中，背景建立過程是一次信息安全風(fēng)險(xiǎn)管理主循環(huán)的起

始，為風(fēng)險(xiǎn)評估提供輸入，監(jiān)視評審和溝通咨詢貫穿其5個(gè)階段，如圖2所示。

溝通咨詢

監(jiān)視評審

實(shí)施規(guī)

劃評估

確

獲

確

總

分

調(diào)

調(diào)

調(diào)

調(diào)

調(diào)

分

風(fēng)

得

定

體

析

定

杳

杳

查

析

險(xiǎn)

杳

查

批

目

規(guī)

安

范

業(yè)

外

內(nèi)

安

管

法

機(jī)

準(zhǔn)

標(biāo)

劃

全

務(wù)

部

部

全

國

理

律

構(gòu)

環(huán)

特

環(huán)

環(huán)

要

和

總

法

使

境

性

境

境

求

邊

體

規(guī)

命

界

原

監(jiān)

及

則

管

目

要

標(biāo)

求

圖2背景建立過程及其在信息安全風(fēng)險(xiǎn)管理中的位置

5.2.1風(fēng)險(xiǎn)管理準(zhǔn)備

如圖3所示，風(fēng)險(xiǎn)管理準(zhǔn)備階段的工作過程和內(nèi)容如下：

a）確定風(fēng)險(xiǎn)管理范圍和邊界，以確保在風(fēng)險(xiǎn)管理中考慮所有相關(guān)業(yè)務(wù)、資產(chǎn)。此外，需要識別邊

界以解決通過這些邊界可能產(chǎn)生的風(fēng)險(xiǎn)。

收集有關(guān)組織的信息，以確定其所處的環(huán)境及其與信息安全風(fēng)險(xiǎn)管理過程的相關(guān)性。

當(dāng)定義范圍和邊界時(shí)，組織宜考慮以下信息：

1）組織的戰(zhàn)略業(yè)務(wù)目標(biāo)、戰(zhàn)略和方針；

2）國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)的規(guī)定

3）業(yè)務(wù)流程；

4）組織的職能和結(jié)構(gòu)；

5）組織的信息安全方針；

6）組織對風(fēng)險(xiǎn)管理的總體方法；

7）信息資產(chǎn)；

8）組織的地點(diǎn)及其地理特征；

4

9）影響組織的制約因素；

10）利益相關(guān)者的期望；

11）社會(huì)文化環(huán)境

12）接口（即與環(huán)境的信息交流）

b）確定信息安全風(fēng)險(xiǎn)管理的目標(biāo),包括：

1）支持信息安全管理；

2）守法和盡職的調(diào)查證據(jù)；

3）制定業(yè)務(wù)連續(xù)性計(jì)劃；

4）制定事故應(yīng)急預(yù)案；

5）描述產(chǎn)品、服務(wù)或機(jī)制的信息安全要求。

c）總體規(guī)劃。制定風(fēng)險(xiǎn)管理總體規(guī)劃，包括風(fēng)險(xiǎn)管理的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、

經(jīng)費(fèi)預(yù)估和初步進(jìn)度安排等。

d）獲得批準(zhǔn)。上述所有內(nèi)容確定后，風(fēng)險(xiǎn)管理總體規(guī)劃應(yīng)得到組織最高管理者的支持和批準(zhǔn)；由

決策層對管理層和執(zhí)行層進(jìn)行傳達(dá)。

（調(diào)查與分析）

圖3風(fēng)險(xiǎn)管理準(zhǔn)備階段的過程及其輸入輸出

5.2.2調(diào)查與分析

如圖4所示，風(fēng)險(xiǎn)管理對象調(diào)查階段的工作過程和內(nèi)容如下：

a）調(diào)查機(jī)構(gòu)使命及目標(biāo)。了解機(jī)構(gòu)的使命，包括戰(zhàn)略背景和戰(zhàn)略目標(biāo)等，從中明確支持機(jī)構(gòu)完成

其使命的風(fēng)險(xiǎn)管理對象的業(yè)務(wù)目標(biāo)。

b）調(diào)杳法律法規(guī)及監(jiān)管要求等。了解與企業(yè)業(yè)務(wù)相關(guān)的國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法

規(guī)和標(biāo)準(zhǔn)的規(guī)定。

c）調(diào)查業(yè)務(wù)特性。了解機(jī)構(gòu)的、業(yè)務(wù)，包括'業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程等，從中明確支持機(jī)構(gòu)業(yè)務(wù)運(yùn)營的

風(fēng)險(xiǎn)管理對象的業(yè)務(wù)特性、可能涉及的信息資產(chǎn)及載體類別。

d）調(diào)查外部環(huán)境。組織的地點(diǎn)及其地理特征，企業(yè)外部利益相關(guān)者的期望，影響組織的制約因素。

e）匯總上述調(diào)查結(jié)果，形成描述報(bào)告，其中包含機(jī)構(gòu)使命及目標(biāo)、法律法規(guī)監(jiān)管要求、業(yè)務(wù)特性、

外部環(huán)境和內(nèi)部環(huán)境等方面的內(nèi)容。

調(diào)查方式包括問卷回答、人員訪談、現(xiàn)場考察、輔助工具等多種形式，可以根據(jù)實(shí)際情況靈活采用

和結(jié)合使用。

GB/T24364—XXXX

信息安全分析）

圖4風(fēng)險(xiǎn)管理對象調(diào)查階段的過程及其輸入輸出

5.2.3信息安全分析

如圖5所示，信息安全分析階段的工作過程和內(nèi)容如下：

a）分析風(fēng)險(xiǎn)管理對象的安全環(huán)境。依據(jù)國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，考慮

合作伙伴的合同要求，對風(fēng)險(xiǎn)管理對象的安全保障環(huán)境進(jìn)行分析，明確環(huán)境因素對風(fēng)險(xiǎn)管理對

象安全方面的影響和要求。

b）分析風(fēng)險(xiǎn)管理對象的安全要求。依據(jù)風(fēng)險(xiǎn)管理對象的描述報(bào)告和風(fēng)險(xiǎn)管理對象的分析報(bào)告，結(jié)

合上述安全環(huán)境的分析結(jié)果，分析和提出對風(fēng)險(xiǎn)管理對象的安全要求，包括保護(hù)范圍、保護(hù)等

級以及與相關(guān)法律法規(guī)或行業(yè)標(biāo)準(zhǔn)的符合性要求等。

c）匯總上述分析結(jié)果，形成風(fēng)險(xiǎn)管理對象的安全要求分析報(bào)告，其中包含風(fēng)險(xiǎn)管理對象的安全環(huán)

境和安全要求等方面的內(nèi)容。

圖5信息安全分析階段的過程及其輸入輸出

5.2.4基本原則確立

6

a）風(fēng)險(xiǎn)管理方法

根據(jù)風(fēng)險(xiǎn)管理的范圍和目標(biāo)，可以采用不同的方法。該方法對于每次迭代也可以是不同的。

b）風(fēng)險(xiǎn)管理準(zhǔn)則

選擇或設(shè)置適合當(dāng)前風(fēng)險(xiǎn)管理對象的風(fēng)險(xiǎn)管理準(zhǔn)則，應(yīng)與風(fēng)險(xiǎn)管理框架相一致，并根據(jù)具體活動(dòng)的

目的和范圍進(jìn)行針對性設(shè)計(jì)。風(fēng)險(xiǎn)準(zhǔn)則還應(yīng)反映組織的價(jià)值觀、目標(biāo)和資源，并與風(fēng)險(xiǎn)管理的政策和聲

明保持一致。根據(jù)組織的義務(wù)和利益相關(guān)方的考慮來定義準(zhǔn)則。

5.2.5實(shí)施規(guī)劃

a）組建風(fēng)險(xiǎn)管理團(tuán)隊(duì)。組建風(fēng)險(xiǎn)管理團(tuán)隊(duì)，確定子團(tuán)隊(duì)類別、分工、職責(zé)，例如一股分為總體規(guī)

劃組、風(fēng)險(xiǎn)評估組、風(fēng)險(xiǎn)處理組、監(jiān)視評審組等，在組織范圍就風(fēng)險(xiǎn)管理相關(guān)內(nèi)容進(jìn)行培訓(xùn)I,

以明確各了團(tuán)隊(duì)在風(fēng)險(xiǎn)管理中的任務(wù)。

b）制定詳細(xì)的實(shí)施規(guī)劃，包括：

1）實(shí)施團(tuán)隊(duì)架構(gòu)，各團(tuán)隊(duì)負(fù)責(zé)人，可能涉及的部門；

2）每個(gè)階段的時(shí)間、涉及地點(diǎn)、具體包含和除外的內(nèi)容；

3）各階段負(fù)責(zé)人、入口及出口標(biāo)準(zhǔn)，預(yù)期在每一步流程中取得的成果；

4）需要的資源、責(zé)任和記錄：

5）預(yù)算；

6）對過程實(shí)施監(jiān)控，監(jiān)控內(nèi)容及規(guī)則；

7）實(shí)施過程需要遵守的原則、最終完成標(biāo)準(zhǔn)等。

6風(fēng)險(xiǎn)評估

6.1風(fēng)險(xiǎn)評估概述

6.1.1風(fēng)險(xiǎn)評估的概念

風(fēng)險(xiǎn)評估是信息安全風(fēng)險(xiǎn)管理的第二步驟，針對確立.的風(fēng)險(xiǎn)管理對象所面臨的風(fēng)險(xiǎn)進(jìn)行識別、分析

和評價(jià)。

本章僅對風(fēng)險(xiǎn)評估作框架性說明，詳細(xì)內(nèi)容可見GB/T20984o

6.1.2風(fēng)險(xiǎn)評估的目的

信息安全風(fēng)險(xiǎn)管理要依靠風(fēng)險(xiǎn)評估的結(jié)果來確定隨后的風(fēng)險(xiǎn)處理和批準(zhǔn)留存活動(dòng)。風(fēng)險(xiǎn)評估使得組

織能夠準(zhǔn)確定位風(fēng)險(xiǎn)管理的策略、實(shí)踐和工具，能夠?qū)踩顒?dòng)的重點(diǎn)放在重要的問題上，能夠選擇成

本效益合理的和適用的安全對策。基于風(fēng)險(xiǎn)評估的風(fēng)險(xiǎn)管理方法被實(shí)踐證明是有效的和實(shí)月的，已被廣

泛應(yīng)用于各個(gè)領(lǐng)域。

6.1.3風(fēng)險(xiǎn)評估的作用范圍

風(fēng)險(xiǎn)評估只是為信息安全活動(dòng)提供?個(gè)方向，并不會(huì)導(dǎo)致重大的信息安全改進(jìn)。不管評估方法有多

詳細(xì)和多專業(yè)，也只能描述風(fēng)份狀態(tài)，而不會(huì)改進(jìn)組織的安全狀態(tài)。組織只有利用評估結(jié)果持續(xù)地進(jìn)行

改進(jìn)活動(dòng)，實(shí)現(xiàn)風(fēng)險(xiǎn)有效管理，才能使組織的安全狀態(tài)得到改善。

6.2風(fēng)險(xiǎn)評估過程

風(fēng)險(xiǎn)評估的過程包括風(fēng)險(xiǎn)評估準(zhǔn)備、風(fēng)險(xiǎn)要素識別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)4個(gè)階段。在信息安全風(fēng)

險(xiǎn)管理過程中，接受背景建立的輸出，為風(fēng)險(xiǎn)處理提供輸入，監(jiān)視評審和溝通咨詢貫穿其4個(gè)階段，如

圖6所示。

GB/T24364—XXXX

「一風(fēng)險(xiǎn)評估

?背景風(fēng)險(xiǎn)評風(fēng)險(xiǎn)要風(fēng)險(xiǎn)風(fēng)險(xiǎn)風(fēng)險(xiǎn)

I建立估準(zhǔn)備索識別分析評價(jià)處理|

制

制

選

定

定

擇

風(fēng)

風(fēng)

風(fēng)

險(xiǎn)

險(xiǎn)

險(xiǎn)

評

評

評

估

估

估

計(jì)

方

方

劃

案

法

和

工

具

圖6風(fēng)險(xiǎn)評估過程及其在信息安全風(fēng)險(xiǎn)管理中的位置

6.2.1風(fēng)險(xiǎn)評估準(zhǔn)備

如圖7所示，風(fēng)險(xiǎn)評估準(zhǔn)備階段的工作過程和內(nèi)容如下：

a）制定風(fēng)險(xiǎn)評估計(jì)劃。依據(jù)背景建立輸出的文檔，制定風(fēng)險(xiǎn)評估的實(shí)施計(jì)劃，包括風(fēng)險(xiǎn)評估的目

的、意義、范圍、日標(biāo)、組織結(jié)構(gòu)、經(jīng)贄預(yù)算和進(jìn)度安排等，形成風(fēng)險(xiǎn)評估計(jì)劃書。風(fēng)險(xiǎn)評估

計(jì)劃書需要得到風(fēng)險(xiǎn)管理對象和信息安全風(fēng)險(xiǎn)管理決策層的認(rèn)可和批準(zhǔn)。

b）選擇風(fēng)險(xiǎn)評估方法和工具。依據(jù)背景建立輸出的文檔以及風(fēng)險(xiǎn)評估計(jì)劃，從現(xiàn)有風(fēng)險(xiǎn)評估方法

和工具庫中選擇合適的風(fēng)險(xiǎn)評估方法和工具，形成入選風(fēng)險(xiǎn)評估方法和工具列表.

c）制定風(fēng)險(xiǎn)評估方案。依據(jù)背景建立輸出的文檔，整合風(fēng)險(xiǎn)評估計(jì)劃書、風(fēng)險(xiǎn)評估方法和工具列

表，確定風(fēng)險(xiǎn)評估的實(shí)施方案，包括風(fēng)險(xiǎn)評估的工作過程、輸入數(shù)據(jù)和輸出結(jié)果等，形成風(fēng)險(xiǎn)

評估方案。風(fēng)險(xiǎn)評估方案需要得到風(fēng)險(xiǎn)管理對象和信息安全風(fēng)險(xiǎn)管理管理層的認(rèn)可和批準(zhǔn)。

8

圖7風(fēng)險(xiǎn)評估準(zhǔn)備階段的過程及其輸入輸出

6.2.2風(fēng)險(xiǎn)要素識別

如圖8所示，風(fēng)險(xiǎn)識要素別階段的工作過程和內(nèi)容如下：

a）識別業(yè)務(wù)重要性并賦值。依據(jù)背景建立輸出的文檔，選擇適當(dāng)?shù)淖R別方法，對風(fēng)險(xiǎn)管理對象相

關(guān)業(yè)務(wù)的屬性、定位、完整性和關(guān)聯(lián)性識別，確定業(yè)務(wù)的重要性級別，形成業(yè)務(wù)重要性清單。

b）識別需要保護(hù)的資產(chǎn)并賦值。依據(jù)背景建立輸出的文檔，選擇適當(dāng)?shù)馁Y產(chǎn)識別方法，識別對組

織使命具有關(guān)鍵和重要作用的需要評估的資產(chǎn)，并御定資產(chǎn)的重要性級別，形成需要保護(hù)的資

產(chǎn)清單。

c）識別面臨的威脅并賦值。依據(jù)背景建立輸出的文檔，參照威脅庫，選擇適當(dāng)?shù)耐{識別方法,

識別組織的信息資產(chǎn)面臨的威脅，并確定威脅的屬性等級，可參考的威脅屬性包括威脅的來源、

種類、動(dòng)機(jī)、時(shí)機(jī)和頻率等，形成面臨的威脅列表。威脅庫是有關(guān)威脅的外部共享數(shù)據(jù)和內(nèi)部

歷史數(shù)據(jù)的匯集。

d）識別存在的脆弱性并賦值。依據(jù)背景建立輸出的文檔，參照漏洞庫，選擇適當(dāng)?shù)拇嗳跣宰R別方

法，識別組織在資產(chǎn)、應(yīng)用、業(yè)務(wù)上存在的脆弱性，并確定脆弱性的屬性等級，可參考的脆弱

性屬性包括脆弱性被利用程度、脆弱性嚴(yán)重程度等，形成存在的脆弱性列表。漏洞庫是有關(guān)脆

弱性/漏洞的外部共享數(shù)據(jù)和內(nèi)部歷史數(shù)據(jù)的匯集。

a）確認(rèn)已有的安全措施。依據(jù)背景建立輸出的文檔，即風(fēng)險(xiǎn)管理對象的描述報(bào)告、風(fēng)險(xiǎn)管理對象

的分析報(bào)告和風(fēng)險(xiǎn)管理對象的安全要求報(bào)告，確認(rèn)已有的安全措施，包括技術(shù)層面（即物理平

臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）的安全功能、組織層面（即結(jié)構(gòu)、崗位和人員）的安全

控制和管理層面（即策略、規(guī)章和制度）的安全對策，形成已有安全措施列表。

風(fēng)險(xiǎn)要素的識別方式包括文檔審查、人員訪談、現(xiàn)場考察、輔助工具等多種形式，可以根據(jù)實(shí)際情

況靈活采用和結(jié)合使用。

GB/T24364—XXXX

圖8風(fēng)險(xiǎn)要素識別階段的過程及其輸入輸出

6.2.3風(fēng)險(xiǎn)分析

如圖9所示，風(fēng)險(xiǎn)程度分析階段的工作過程和內(nèi)容如下：

a）分析安全事件發(fā)生的可能性。依據(jù)面臨的威脅列表和存在的脆弱性列表，根據(jù)威脅屬性（威脅

發(fā)生頻率、威脅能力程度等）及脆弱性屬性（脆弱性被利用程度等），計(jì)算威脅利用脆弱性導(dǎo)

致安全事件發(fā)生的可能性。

b）分析安全事件造成的損失。依據(jù)存在的脆弱性列表和需要保護(hù)的資產(chǎn)列表，根據(jù)業(yè)務(wù)屬性（業(yè)

務(wù)重要性程度等）、資產(chǎn)屬性（資產(chǎn)重要性程度等）及脆弱性屬性（脆弱性嚴(yán)重程度等），計(jì)

算安全事件一旦發(fā)生后造成的損失。

c）實(shí)施風(fēng)險(xiǎn)計(jì)算。根據(jù)計(jì)算出的安全事件的可能性以及安全事件造成的損失，評估者可根據(jù)自身

情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法實(shí)施風(fēng)險(xiǎn)計(jì)算，形成資產(chǎn)風(fēng)險(xiǎn)列表。風(fēng)險(xiǎn)評估算法庫是各種風(fēng)險(xiǎn)

評估算法的匯集，包括公認(rèn)算法和自創(chuàng)算法。

10

（風(fēng)險(xiǎn)評價(jià)）

圖9風(fēng)險(xiǎn)分析階段的過程及其輸入輸出

6.2.4風(fēng)險(xiǎn)評價(jià)

如圖10所示，風(fēng)險(xiǎn)評價(jià)階段的工作過程和內(nèi)容如下：

a）風(fēng)險(xiǎn)評價(jià)準(zhǔn)則建立。在考慮國家法律法規(guī)要求及行業(yè)背景和特點(diǎn)的基礎(chǔ)上，建立風(fēng)險(xiǎn)評價(jià)準(zhǔn)則，

以實(shí)現(xiàn)對風(fēng)險(xiǎn)的控制與管理。

b）評價(jià)資產(chǎn)風(fēng)險(xiǎn)的等級。依據(jù)資產(chǎn)風(fēng)險(xiǎn)計(jì)算報(bào)告，根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級設(shè)定風(fēng)險(xiǎn)

值范圍，并對所有資產(chǎn)風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級處理，形成資產(chǎn)風(fēng)險(xiǎn)程度等級列表.

c）評價(jià)業(yè)務(wù)風(fēng)險(xiǎn)的等級。依據(jù)資產(chǎn)風(fēng)險(xiǎn)等級列表，根據(jù)業(yè)務(wù)所涵蓋的資產(chǎn)風(fēng)險(xiǎn)綜合計(jì)算得出業(yè)務(wù)

風(fēng)險(xiǎn)值，并根據(jù)風(fēng)險(xiǎn)評價(jià)準(zhǔn)則對風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級處理，形成業(yè)務(wù)風(fēng)險(xiǎn)程度等級列表。

d）綜合評價(jià)風(fēng)險(xiǎn)狀況。匯總各項(xiàng)輸出文檔和風(fēng)險(xiǎn)程度等級列表，綜合評價(jià)風(fēng)險(xiǎn)狀況，形成風(fēng)險(xiǎn)評

估報(bào)告。

。）形成風(fēng)險(xiǎn)評估記錄。匯總風(fēng)險(xiǎn)評估過程中的各種現(xiàn)場記錄和問題，后期可作為復(fù)現(xiàn)評估過程,

以作為產(chǎn)生歧義后解決問題的依據(jù)。

評價(jià)等級級數(shù)可以根據(jù)評價(jià)對象的特性和實(shí)際評估的需要而定，如〈高、中、低）3級，（很高、

較高、中等、較低、很低〉5級等。

圖10風(fēng)險(xiǎn)評價(jià)階段的過程及其輸入輸出

GB/T24364—XXXX

7風(fēng)險(xiǎn)處理

7.1風(fēng)險(xiǎn)處理概述

7.1.1風(fēng)險(xiǎn)處理的概念

風(fēng)險(xiǎn)處理是信息安全風(fēng)險(xiǎn)管理的第3步驟，依據(jù)風(fēng)險(xiǎn)評估的結(jié)果，選擇并執(zhí)行合適的安全措施來更

改風(fēng)險(xiǎn)的過程。

本章僅對風(fēng)險(xiǎn)處理作框架性說明，詳細(xì)內(nèi)容可見GB/T33132。

7.1.2風(fēng)險(xiǎn)處理的目的

風(fēng)險(xiǎn)處理的目的是依據(jù)風(fēng)險(xiǎn)評估的結(jié)果，針對不同類型、不同規(guī)模、不同概率的風(fēng)險(xiǎn)，采取相應(yīng)的

對策、措施或方法，使風(fēng)險(xiǎn)損失對組織、業(yè)務(wù)或風(fēng)險(xiǎn)管理對?象的影響降到最小限度。

7.1.3風(fēng)險(xiǎn)處理的原則

依據(jù)風(fēng)險(xiǎn)評估結(jié)果，根據(jù)可接受的處置成本，遵循適度接受原則；排列風(fēng)險(xiǎn)優(yōu)先級列表，選擇并按

計(jì)劃執(zhí)行控制措施，遵循最佳收益原則；結(jié)合風(fēng)險(xiǎn)管理對象，不斷優(yōu)化風(fēng)險(xiǎn)處理過程，遵循高效原則：

支撐業(yè)務(wù)流程，持續(xù)監(jiān)控關(guān)注風(fēng)險(xiǎn)動(dòng)態(tài)，遵循可控原則；依據(jù)國家、行業(yè)主管部門或組織特殊安全要求

的風(fēng)險(xiǎn)處理，遵循合規(guī)原則。

7.1.4風(fēng)險(xiǎn)處理的方式

風(fēng)險(xiǎn)處理方式主要包括風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)消減和風(fēng)險(xiǎn)接受4種方式。

a）風(fēng)險(xiǎn)規(guī)避：可能的情況下停止有風(fēng)險(xiǎn)的活動(dòng)，消除風(fēng)險(xiǎn)源頭或通過不使用存在風(fēng)險(xiǎn)的資產(chǎn)避免

風(fēng)險(xiǎn)的發(fā)生。

b）風(fēng)險(xiǎn)轉(zhuǎn)移：通過將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更安全的地方，或者轉(zhuǎn)移給能有效管埋特定

風(fēng)險(xiǎn)的另?方，來改變風(fēng)險(xiǎn)發(fā)生的可能或風(fēng)險(xiǎn)發(fā)生的后果，也可采用購買保險(xiǎn)、分包合作的方

式分擔(dān)風(fēng)險(xiǎn)。

c）風(fēng)險(xiǎn)消減：通過對面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來降低風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)再被評估時(shí)能達(dá)到可

接受的級別?？梢詮臉?gòu)成風(fēng)險(xiǎn)的5個(gè)方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）采取

保護(hù)措施來降低風(fēng)險(xiǎn)。

d）風(fēng)險(xiǎn)接受：在明顯滿足組織發(fā)展戰(zhàn)略和業(yè)務(wù)安全發(fā)展的條件下，有意識地、客觀地選擇對風(fēng)險(xiǎn)

不采取進(jìn)一步的處理措施，接受風(fēng)險(xiǎn)可能帶來的結(jié)果。

7.2風(fēng)險(xiǎn)處理過程

風(fēng)險(xiǎn)處理的過程包括風(fēng)險(xiǎn)處理準(zhǔn)備、風(fēng)險(xiǎn)處理設(shè)施、風(fēng)檢處理效果評價(jià)三個(gè)階段。

第一個(gè)階段風(fēng)險(xiǎn)處理準(zhǔn)備，可包括確定風(fēng)險(xiǎn)處理范圍目標(biāo)，明確風(fēng)險(xiǎn)處理可接受準(zhǔn)則、選擇風(fēng)險(xiǎn)處

理方式，明確風(fēng)險(xiǎn)處理資源和制定風(fēng)險(xiǎn)處理計(jì)劃并得到管理層批準(zhǔn)等活動(dòng)；第二個(gè)階段風(fēng)險(xiǎn)處理實(shí)施,

可包括準(zhǔn)備風(fēng)險(xiǎn)處理備選措施、成本效益和殘余風(fēng)險(xiǎn)分析、處理措施風(fēng)險(xiǎn)分析及制定應(yīng)急計(jì)劃、確定風(fēng)

險(xiǎn)處理方式和措施、編制風(fēng)險(xiǎn)處理方案、風(fēng)險(xiǎn)處理措施測試、實(shí)施風(fēng)險(xiǎn)處理措施和編制風(fēng)除處埋報(bào)告等

活動(dòng)；第三個(gè)階段風(fēng)險(xiǎn)處理效果評價(jià)，可包括制定評價(jià)原則知方案、開展評價(jià)實(shí)施工作、殘余風(fēng)險(xiǎn)接受

聲明和編制持續(xù)改進(jìn)方案等活動(dòng)。

風(fēng)險(xiǎn)處理工作是持續(xù)性的活動(dòng)，當(dāng)風(fēng)險(xiǎn)處理對象的政策環(huán)境、業(yè)務(wù)目標(biāo)、安全目標(biāo)和特性發(fā)生變化

時(shí)，需要再次進(jìn)入上述步驟。風(fēng)險(xiǎn)處理在信息安全風(fēng)險(xiǎn)管理過程中，接受風(fēng)險(xiǎn)評估的輸出，為批準(zhǔn)留存

提供輸入，監(jiān)視評審和溝通咨詢貫穿其各個(gè)階段，如圖11所示。

12

溝通咨詢?

監(jiān)視評審

風(fēng)險(xiǎn)處理~1~Jr-?

風(fēng)險(xiǎn)處理4風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理,批準(zhǔn)?

準(zhǔn)備?實(shí)施效果評價(jià)1留存|

?___

工

實(shí)

編

制

選

制

明

明

S風(fēng)

施

制

擇

定

確

險(xiǎn)

定

確

風(fēng)

風(fēng)

風(fēng)

評

風(fēng)

M處

S險(xiǎn)

險(xiǎn)

險(xiǎn)

價(jià)

理

險(xiǎn)

IM險(xiǎn)

險(xiǎn)

處

處

處

原

措

處

處

處

理

理

理

則

施

理

理

H理

措

報(bào)

方

測

和

計(jì)

可

資

施

告

式

試

劃

方

接

源

案

S受

準(zhǔn)

則

圖11風(fēng)險(xiǎn)處理過程及其在信息安全風(fēng)險(xiǎn)管理中的位置

7.2.1風(fēng)險(xiǎn)處理準(zhǔn)備

如圖12所示，風(fēng)險(xiǎn)處理準(zhǔn)備的工作過程和內(nèi)容如下：

a）確定風(fēng)險(xiǎn)處理范圍目標(biāo)。依據(jù)風(fēng)險(xiǎn)評估報(bào)告，確定可.處理的風(fēng)險(xiǎn)范圍和目標(biāo)，即把風(fēng)險(xiǎn)評估得

出的風(fēng)險(xiǎn)等級劃分為可接受和不可接受兩種，形成風(fēng)險(xiǎn)接受等級劃分表，例如分成治理層的組

織戰(zhàn)略風(fēng)險(xiǎn)、管理層的業(yè)務(wù)過程風(fēng)險(xiǎn)、執(zhí)行層的系統(tǒng)風(fēng)險(xiǎn)。

b）明確風(fēng)險(xiǎn)處理可接受準(zhǔn)則。根據(jù)被評估對象風(fēng)險(xiǎn)評估結(jié)果，依據(jù)國家相關(guān)信息安全要求，組織

收集相關(guān)方的信息安全訴求，明確風(fēng)險(xiǎn)處理對象應(yīng)達(dá)到的最低保護(hù)要求，結(jié)合組織的風(fēng)險(xiǎn)可承

受程度，確定風(fēng)險(xiǎn)可接受準(zhǔn)則。

c）選擇風(fēng)險(xiǎn)處理方式。根據(jù)風(fēng)險(xiǎn)處理可接受準(zhǔn)則，明胸需要處理的風(fēng)險(xiǎn)和可接受的殘余風(fēng)險(xiǎn)，對

于需要處理的風(fēng)險(xiǎn)，應(yīng)初步確定每種風(fēng)險(xiǎn)擬采取的處理方式，形成風(fēng)險(xiǎn)處理列表。風(fēng)險(xiǎn)處理方

式見7.1節(jié)所述。

d）明確風(fēng)險(xiǎn)處理資源。根據(jù)既定的風(fēng)險(xiǎn)處理目標(biāo)，明確風(fēng)險(xiǎn)處理涉及的部門、人員和資產(chǎn)以及需

要增加的設(shè)備、軟件、工具等所需資源。

e）制定風(fēng)險(xiǎn)處理計(jì)劃。處理計(jì)劃應(yīng)包含（但不限于）：風(fēng)險(xiǎn)處理范圍、依據(jù)、目標(biāo)、方式、所需

資源等。風(fēng)險(xiǎn)處理計(jì)劃應(yīng)得到組織最高管理者的批準(zhǔn)。

GB/T24364—XXXX

風(fēng)險(xiǎn)評估、

------------、

風(fēng)除處理實(shí)棒'

圖12風(fēng)險(xiǎn)處理準(zhǔn)備階段

7.2.2風(fēng)險(xiǎn)處理實(shí)施

如圖13所示，風(fēng)險(xiǎn)處理實(shí)施階段的工作過程和內(nèi)容如下：

a）準(zhǔn)備風(fēng)險(xiǎn)處理措施。依據(jù)組織的使命，并遵循國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)

準(zhǔn)的規(guī)定，依據(jù)風(fēng)險(xiǎn)評估報(bào)告，按照風(fēng)險(xiǎn)處理計(jì)劃，選擇對應(yīng)的風(fēng)險(xiǎn)處理措施，編制風(fēng)險(xiǎn)處理

措施列表。

b）成本效益和殘余風(fēng)險(xiǎn)分析。針對風(fēng)險(xiǎn)處理目標(biāo)，結(jié)合組織實(shí)際情況，依據(jù)最佳收靛原則選擇適

當(dāng)?shù)奶幚矸桨?。依?jù)組織的風(fēng)險(xiǎn)評估準(zhǔn)則對可接受的、不予處理的殘余風(fēng)險(xiǎn)進(jìn)行分析。

c）處理措施風(fēng)險(xiǎn)分析及制定應(yīng)急計(jì)劃。對每項(xiàng)實(shí)施該處理措施可能帶來的風(fēng)險(xiǎn)進(jìn)行分析，確認(rèn)是

否會(huì)因?yàn)樘幚泶胧┎划?dāng)或其他原因引入新的風(fēng)險(xiǎn)。并制定應(yīng)急計(jì)劃，對仍將殘留的風(fēng)險(xiǎn)和可能

繼發(fā)的風(fēng)險(xiǎn)，以及那些主動(dòng)接受的風(fēng)險(xiǎn)和不可預(yù)見風(fēng)險(xiǎn)進(jìn)行技術(shù)和人員儲(chǔ)備。

d）確定風(fēng)險(xiǎn)處理方式和措施。在完成成本效益分析和殘余風(fēng)險(xiǎn)分析后，對每項(xiàng)風(fēng)險(xiǎn)選定一種或者

幾種處理措施，完成最終的風(fēng)險(xiǎn)處理措施列表。

e）編制風(fēng)險(xiǎn)處理方案。依據(jù)組織的使命和相關(guān)規(guī)定，結(jié)合風(fēng)險(xiǎn)處理依據(jù)和目標(biāo)、范圍和方式、處

理措施、成本效益分析、殘余風(fēng)險(xiǎn)分析以及風(fēng)險(xiǎn)處理團(tuán)隊(duì)分工，編制風(fēng)險(xiǎn)處理方案。

f）風(fēng)險(xiǎn)處埋措施測試。風(fēng)險(xiǎn)處理措施測試是在風(fēng)險(xiǎn)處理措施正式實(shí)施前，驗(yàn)證風(fēng)險(xiǎn)處理措施是否

符合風(fēng)險(xiǎn)處理目標(biāo)，判斷措施的實(shí)施是否會(huì)引入新的風(fēng)險(xiǎn)，同時(shí)檢驗(yàn)應(yīng)急計(jì)劃是否有效。

g）實(shí)施風(fēng)險(xiǎn)處理措施。在完成風(fēng)險(xiǎn)處理措施的測試工作后，按照風(fēng)險(xiǎn)處理方案實(shí)施具體的風(fēng)險(xiǎn)處

理措施。在實(shí)施過程中，實(shí)施風(fēng)險(xiǎn)處理的操作人員應(yīng)對具體的操作內(nèi)容進(jìn)行記錄、驗(yàn)證實(shí)施效

果，并簽字確認(rèn)，形成風(fēng)險(xiǎn)處理實(shí)施的記錄，以便后期回溯和責(zé)任認(rèn)定。

h）編制風(fēng)險(xiǎn)處理報(bào)告。記錄風(fēng)險(xiǎn)處理措施的實(shí)施過程利結(jié)果，形成風(fēng)險(xiǎn)處理實(shí)施報(bào)告，在整個(gè)組

織內(nèi)部傳達(dá)風(fēng)險(xiǎn)管理的活動(dòng)和成果，為決策提供信息，改進(jìn)風(fēng)險(xiǎn)管理活動(dòng)，協(xié)助與利益相關(guān)方

的互動(dòng)，包括對風(fēng)險(xiǎn)管理活動(dòng)負(fù)有責(zé)任的相關(guān)方、用戶和主管部門。

14

圖13風(fēng)險(xiǎn)處理實(shí)施階段

7.2.3風(fēng)險(xiǎn)處理效果評價(jià)

如圖14所示，風(fēng)險(xiǎn)處理效果評價(jià)階段的工作過程和內(nèi)容如下：

a）制定評價(jià)原則和方案。評價(jià)原則可包括風(fēng)險(xiǎn)處理目標(biāo)實(shí)現(xiàn)原則、殘余風(fēng)險(xiǎn)可接受準(zhǔn)則、安全投

入合理準(zhǔn)則以及其他效果評價(jià)準(zhǔn)則。評價(jià)方案要包括評價(jià)方法、評價(jià)準(zhǔn)則、評價(jià)目標(biāo)、評價(jià)內(nèi)

容、團(tuán)隊(duì)組成和總體工作計(jì)劃。

b）開展評價(jià)實(shí)施工作。評價(jià)工作可現(xiàn)在評價(jià)結(jié)合整體分析，設(shè)置監(jiān)督員監(jiān)控評價(jià)過程，編制評價(jià)

效果報(bào)告，將評價(jià)結(jié)果與相關(guān)方進(jìn)行溝通。

c）殘余風(fēng)險(xiǎn)接受聲明。對于可接收的殘余風(fēng)險(xiǎn)，要形成殘余風(fēng)險(xiǎn)接受聲明，并經(jīng)風(fēng)險(xiǎn)管理對象和

信息安全風(fēng)險(xiǎn)管理決策層和管理層的認(rèn)可和批準(zhǔn)。

d）編制持續(xù)改進(jìn)方案。根據(jù)風(fēng)險(xiǎn)處理效果評價(jià)報(bào)告，針對需要持續(xù)改進(jìn)的風(fēng)險(xiǎn)編制改建方案，為

風(fēng)險(xiǎn)管理的批準(zhǔn)留存提供重要依據(jù)。

GB/T24364—XXXX

圖14風(fēng)險(xiǎn)處理效果評價(jià)階段

8批洋留存

8.1批準(zhǔn)留存概述

8.1.1批準(zhǔn)留存的概念

批準(zhǔn)留存是信息安全風(fēng)險(xiǎn)管理的第4步驟，包括批準(zhǔn)和文檔留存兩部分：批準(zhǔn)是指組織的決策層依

據(jù)風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理的結(jié)果是否滿足組織的方針目標(biāo)和信息安全要求，做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的

決定；文檔留存是指風(fēng)險(xiǎn)管理所產(chǎn)生的信息的文檔形成和保存。

批準(zhǔn)應(yīng)由組織內(nèi)部或更高層的主管組織的決策層來執(zhí)行。文檔留存由風(fēng)險(xiǎn)管理各個(gè)環(huán)節(jié)的執(zhí)行人員

形成文檔，并保持文檔的完整及對適當(dāng)?shù)娜藛T可用。

8.1.2批準(zhǔn)留存的原則

風(fēng)險(xiǎn)評估結(jié)果和風(fēng)險(xiǎn)處理結(jié)果的批準(zhǔn)原則是：

a）業(yè)務(wù)優(yōu)先：組織的風(fēng)險(xiǎn)關(guān)注的是對組織業(yè)務(wù)可能造成不良影響和帶來機(jī)會(huì)的風(fēng)險(xiǎn)；

b）風(fēng)險(xiǎn)可控：合理利用風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)，是其對組織的發(fā)展帶來良性支持；

c）成本適宜：做到成本效益符合組織相關(guān)方的利益訴求；

d）措施有效：采取的風(fēng)險(xiǎn)控制措施力求實(shí)效。

風(fēng)險(xiǎn)評估結(jié)果和風(fēng)險(xiǎn)處理結(jié)果的批準(zhǔn)依據(jù)是：

e）風(fēng)險(xiǎn)評價(jià)準(zhǔn)則；

f）風(fēng)險(xiǎn)接受準(zhǔn)則；

g）信息安全方針與目標(biāo)；

h）支持風(fēng)險(xiǎn)處理的資源保障能力。

風(fēng)險(xiǎn)管理的文檔留存原則是：

i）保全證據(jù)：風(fēng)險(xiǎn)管理全過程的文檔得到留存；

j）統(tǒng)一規(guī)范：至少做好核心文檔采用統(tǒng)一的模板格式；

k）簡明易讀：文檔描述清晰，語義易于理解；

1）適度使用：采取措施使文檔控制在合適的范圍內(nèi)得到使用，特別是風(fēng)險(xiǎn)評估報(bào)告要嚴(yán)格控制使

用范圍。

16

8.2批準(zhǔn)留存過程

批準(zhǔn)留存過程包括批準(zhǔn)申請、批準(zhǔn)處理和文檔留存3個(gè)階段。在信息安全風(fēng)險(xiǎn)管理過程中，接受風(fēng)

險(xiǎn)處理的輸出后將進(jìn)入風(fēng)險(xiǎn)因素的監(jiān)控，風(fēng)險(xiǎn)管理的監(jiān)控和溝通咨詢貫穿其3個(gè)階段，如圖15所示。

批

準(zhǔn)處

批港

?風(fēng)險(xiǎn)

1申靖

|處理I理

工

工

審

做

文

文

提

接_L

閱

出

檔

檔

交

受

申

批

信

信

批

批

請

準(zhǔn)

息

息

準(zhǔn)

準(zhǔn)

材

決

保

控

申

中

料

定

存

制

請

請

圖15批準(zhǔn)留存過程及其在信息安全風(fēng)險(xiǎn)管理中的位置

8.2.1批準(zhǔn)申請

如圖16所示，批準(zhǔn)申請階段的工作過程和內(nèi)容如下：

a）提交批準(zhǔn)申請。申請者填寫批準(zhǔn)申請書后，連同批準(zhǔn)材料一并提交給批準(zhǔn)機(jī)構(gòu)。批準(zhǔn)材料內(nèi)容

包括風(fēng)險(xiǎn)管理過程中輸出的文檔、軟件和硬件等結(jié)果。批準(zhǔn)申請書內(nèi)容包括批準(zhǔn)的范圍、對象

和期望，以及申請者的基本信息和簽字等。批準(zhǔn)機(jī)構(gòu)由在風(fēng)險(xiǎn)管理對象和信息安全風(fēng)險(xiǎn)管理的

決策層中負(fù)責(zé)重大決定的主管者構(gòu)成。

b）受理批準(zhǔn)申請。批準(zhǔn)機(jī)構(gòu)接收批準(zhǔn)申請書和審核結(jié)論報(bào)告并審查通過后，返回批準(zhǔn)受理回執(zhí)。

批準(zhǔn)受理回執(zhí)內(nèi)容包括同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果需要），以及批準(zhǔn)機(jī)構(gòu)的

名稱和簽章等。

圖16批準(zhǔn)申請階段的過程及其輸入輸出

8.2,2批準(zhǔn)處理

如圖17所示，批準(zhǔn)處理階段的工作過程和內(nèi)容如下：

a）審閱批準(zhǔn)材料。批準(zhǔn)機(jī)構(gòu)依據(jù)機(jī)構(gòu)的使命和風(fēng)險(xiǎn)管理對象的安全要求報(bào)告，按照批準(zhǔn)的原則、

規(guī)定和程序，對批準(zhǔn)材料進(jìn)行審閱，與相關(guān)人員進(jìn)行討論和溝通，為批準(zhǔn)決定做準(zhǔn)備。

GB/T24364—XXXX

b）做出批準(zhǔn)決定。批準(zhǔn)機(jī)構(gòu)按照批準(zhǔn)的原則、規(guī)定和程序，判斷風(fēng)險(xiǎn)管理對象的安全要求是否得

到滿足，機(jī)構(gòu)的信息安全保障級別是否達(dá)到其使命所需要的等級，依此做出批準(zhǔn)決定，形成批

準(zhǔn)決定書，交付申請者。批準(zhǔn)決定書內(nèi)容包括批準(zhǔn)的范圍、對象、意見、結(jié)論（即是否通過）

和有效期，以及批準(zhǔn)機(jī)構(gòu)的名稱和簽章等。如果通過批準(zhǔn)，則進(jìn)入持續(xù)監(jiān)督階段：否則，結(jié)束

本次信息安全風(fēng)險(xiǎn)管理的循環(huán)，啟動(dòng)新一輪循環(huán)進(jìn)行改進(jìn)。

信息系統(tǒng)的安全要

求報(bào)告

批準(zhǔn)的原則、規(guī)定

和程序

圖17批準(zhǔn)處理階段的過程及其輸入輸出

8.2.3