G-T 24364-2023 信息安全技術(shù) 信息安全風險管理實施指南

信息安全技術(shù)

信息安全風險管理實施指南

Informationsecuritytechnology—

Implementationguideforinformationsecurityriskmanagement

2023-05-23發(fā)布2023-12-01實施

GB/124364—2023

目次

1范圍..................................................................................I

2規(guī)范性引用文件.........................................................................1

3術(shù)語和定義、縮略語.......................................................................1

3.1術(shù)語和定義.........................................................................I

3.2縮略語............................................................................2

4信息安全風險管理實施框架..............................................................2

5信息安全風險管理原則..................................................................3

5.1分級管理...........................................................................3

5.2全面管理...........................................................................3

5.3動態(tài)調(diào)整...........................................................................3

5.4科學合理..........................................................................3

6信息安全風險管理保障機制..............................................................4

6.1領(lǐng)導(dǎo)負責制........................................................................4

6.2統(tǒng)籌協(xié)調(diào)機制.......................................................................4

6.3專家咨詢機制......................................................................4

6.4重大風險會商機制..................................................................4

7信息安全風險管理保障措施.............................................................5

7.1人員保障...........................................................................5

7.2制度保障...........................................................................5

7.3經(jīng)費保障...........................................................................5

7.4工具保障...........................................................................5

8信息安全風險管理能力..................................................................6

8.1資產(chǎn)識別能力......................................................................6

8.2威脅識別能力.......................................................................6

8.3脆弱性識別能力.....................................................................6

X.4已有措施有效件評價能力............................................................6

8.5風險分析與評價能力................................................................7

8.6風險處置能力.......................................................................7

8.7風險監(jiān)測預(yù)警能力...................................................................7

8.8風險信息共享能力...................................................................8

9信息安全風險管理過程.................................................................8

I

GB/124364—21）23

9.1概述................................................................................8

9.2語境建立............................................................................10

9.3風險評估............................................................................14

9.4風險處置............................................................................18

9.5批準留存...........................................................................23

9.6監(jiān)視與評審..........................................................................27

9.7溝通與咨詢.........................................................................30

附錄A（資料性）文檔輸出.....................................................................35

A.1語境建立文檔.......................................................................35

A.2風險評估文檔......................................................................35

A.3風險處置文檔.......................................................................36

A.4批準留存文檔.......................................................................37

A.5監(jiān)視與評審文檔.....................................................................37

A.6溝通與咨詢文檔....................................................................37

附錄B（資料性）風險處置實踐示例.........................................................39

B.1示例................................................................................39

B.2風險處置準備.......................................................................40

B.3風險處置實施.......................................................................42

B.4風險處置評價.......................................................................48

II

GB/T24364—2023

信息安全技術(shù)

信息安全風險管理實施指南

1范圍

本文件附立了信息安全風險管埋的實施框架，描述了信息安全風險管理的原則、保障機制、保障措

施、能力和過程，提供了每個管理過程的實施要點和工作形式。

本文件適用于各類組織開展信息安全風險管理工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文

件，僅該口期對應(yīng)的版本適用于本文件：不注口期的引用文件，其最新版本（包括所有的修改單）適用于

本文件。

GB/T20984—2022信息安全技術(shù)信息安全風險評估方法

GB/T24363—2009信息安全技術(shù)信息安全應(yīng)急響應(yīng)計劃規(guī)范

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T31509信息安全技術(shù)信息安全風險評估實施指南

GB/T31722—2015信息技術(shù)安全技術(shù)信息安全風險管理

GB/T38645—2020信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急演練指南

3術(shù)語和定義、縮略語

3.1術(shù)語和定義

GB/T25069—2022、GB/T29246-2017、GB/T31722-2015和GB/T20984-2022中界定的大

語和定義適用于本文件。

3.1.1

信息安全風險informationsecurityrisk

特定威脅利用單個或一組資產(chǎn)脆弱性的可能性以及山此可能給組織帶來的損害。

注：以事態(tài)的可能性及其后果的組合來度量。

[來源：GB/T25069—2022,3.681]

3.1.2

風險管理riskmanagement

指導(dǎo)和控制組織相關(guān)風險的協(xié)調(diào)活動。

[來源：GB/T29246—2017,2.76]

3.1.3

業(yè)務(wù)business

組織為實現(xiàn)某項發(fā)展戰(zhàn)略而開展的運營活動。

GB/T24364—2023

注：該活動具有明確的目標，并延續(xù)一段時間。

［來源：GB/T20984—2022,3.1.4］

3.1.4

語境context

組織尋求實現(xiàn)其目標的內(nèi)外部環(huán)境。

注：內(nèi)部語境可以包括如下方面：

一治理、組織結(jié)構(gòu)、角色和職責；

——策略、目標和要實現(xiàn)它們的戰(zhàn)略：

一在資源和知識方面的能力［如資本、時間、人員、過程、系統(tǒng)和技木］;信息系統(tǒng)、信息流和決策過程(止式的

和非正式的)；

一與內(nèi)部利益相關(guān)方的關(guān)系及其認知和價值觀：

一組織的文化：

—組織采用的標準、指南和模型；

一契約關(guān)系的形式和程度。

外部語境可以包括如下方面：

文化、社會、政治、法律、法規(guī)、金融、技術(shù)、經(jīng)濟、自然和競爭環(huán)境，無論是國際的、國家的、地區(qū)的或地方的：

一-影響組織目標的關(guān)鍵驅(qū)動力和趨勢；

一一與外部利益相美方的關(guān)系及其認知和價值觀.

［來源：GB/T29246—2017,2.27,2.42,有修改］

3.2縮略語

下列縮略語適用于本文件。

APT:高級持續(xù)性威脅(AdvancedPersistentThreat)

MAC地址：物理地址(MediaAccessControl)

IDC:互聯(lián)網(wǎng)數(shù)據(jù)中心(InternetDataCenter)

4信息安全風險管理實施框架

信息安全風險管理的目標是在確保安全合規(guī)的前提卜，平衡組織發(fā)展與信息安全之間的關(guān)系。通

過全面識別風險、科學評價風險、合理處置風險和持續(xù)監(jiān)視風險，將風險控制到可接受程度。促進業(yè)務(wù)

安全、持續(xù)、稔定運行，提升組織數(shù)字化應(yīng)用水平，增強可持續(xù)發(fā)展能力。遵循分級管理、全面管理、動態(tài)

調(diào)整、科學合理等管理原則，建立健全信息安全風險管理保障機制、保障措施，并在資產(chǎn)識別、威脅識別、

脆弱性識別、己有措施有效性評價、風險分析與評價、風險處置.、風險監(jiān)測預(yù)警和風險信息共享等風險管

理能力的基礎(chǔ)上，執(zhí)行語境建立、風險評估、風險處置、批準留存、監(jiān)觀與評審和溝通。咨i旬等風險管理

過程，以實現(xiàn)信息安全風險管理目標。圖1給出r組織開展信息安全風險管理工作的實施框架。

GB/T24364—2023

信息安全風險管理H標

管理

分級管理全面爺理動態(tài)同整科學合理

原則

保障機制保障措施

領(lǐng)導(dǎo)負責制人公保障

，先才的必然.?!制度保降

專家咨詢

機制羥戲保障

南大風險會商工具保障

畫畫

除

風噲

機制管風

成

險

資產(chǎn)

脅

嗨性

風

監(jiān)

測

宜

怡

理識

置

識別

別

處

“

共

能享

力

圖1信息安全風險管理實施框架

5信息安全風險管理原則

5.1分級管理

組織宜根據(jù)風險發(fā)生的可能性，風險發(fā)生后對國家安全、社會秩序、公共利益以及公民、法人和其他

組織的合法權(quán)益等產(chǎn)生的影響程度，依據(jù)風險評價準則對風險進行合理分級。

5.2全面管理

根據(jù)需要對網(wǎng)絡(luò)和系統(tǒng)安全風檢、數(shù)據(jù)安全風險、個人信息安全風險、供應(yīng)鏈安全風險、新技術(shù)新應(yīng)

用安全風險等進行全面識別、控制和監(jiān)視。同時，對信息安全風險管理涉及的過程、方法、人員和工具等

進行全面管理。

5.3動態(tài)調(diào)整

組織通過持續(xù)監(jiān)視風險要素變化和風險管理過程，適應(yīng)相關(guān)法律法規(guī)、政策、主管部門、自身業(yè)務(wù)相

美要求和技術(shù)運行環(huán)境的變化，動態(tài)調(diào)整風險管理的對象、準則、風險處置措施等內(nèi)容，持續(xù)優(yōu)化和提升

風險管理能力。

5.4科學合理

基于組織面臨的信息安全形勢和環(huán)境，綜合考慮信息安全投入和收益、風險可接受程度，以促進業(yè)

務(wù)的安全、持續(xù)、穩(wěn)定運行為視角,平衡安全與發(fā)展之間的關(guān)系，實現(xiàn)信息安全風險管理的科學性和合

理性。

3

GB/T24364—2023

6信息安全風險管理保障機制

6.1領(lǐng)導(dǎo)負責制

組織宜依據(jù)國家和行業(yè)相關(guān)要求，結(jié)合本組織的特點和管理要求，明確高層領(lǐng)導(dǎo)負責信息安全風險

管理工作。具體工作包括但不限于：

a）明確組織的信息安全風險管理主要目標、基本要求、工作任務(wù)和保護措施：

b）建立和落實信息安全風險管理送任制,把信息安全風險管理工作納入市要議事H程,明確工作

機構(gòu)和職責，加大人力、財力、物力的支持和保障力度：

c）領(lǐng)導(dǎo)組織的信息安全保護和重大風險處置工作，牽頭解決重要問題；

d）統(tǒng)籌推動組織信息安全風險管理工作與組織業(yè)務(wù)發(fā)展相融合。

6.2統(tǒng)籌協(xié)調(diào)機制

明確組織信息安全風險管理工作的責任部門和統(tǒng)籌協(xié)調(diào)職責。具體工作包括但不限于：

a）牽頭組織的信息安全風險管理，建立健全風險管理制度體系，擬定年度信息安全風險管理計

劃，協(xié)調(diào)各相關(guān)部門和人員按職責參與風險管理工作：

b）組織推動信息安全風險管理的風險評估、風險處置、批準留存、監(jiān)視與評審、溝通與咨詢等

工作；

c）組織開展信息安全宣傳教育，采取多種方式提升組織人員的信息安全意識和網(wǎng)絡(luò)安全能力：

d）牽頭開展組織的信息安全風險信息通報、報送、共享和報告工作；

e）統(tǒng)籌落實專家咨詢和重大風險會商機制；

f）統(tǒng)籌落實信息安全風險管理資源保障。

6.3專家咨詢機制

組織根據(jù)信息安全風險管理的需要組建風險管理專家?guī)?，為信息安全風險管理工作提供技術(shù)咨詢。

具體工作包括但不限于：

a）對信息安全風險管理制度的合理性和實用性進行論證和審定，對存在的不足和需要改進的管

理制度提出修訂建議；

b）對信息安全風險處置方案、處置措施和應(yīng)急方案等進行評審、論證和審定，并提出改進建議；

c）對信息安全重大風險進行研判，提出應(yīng)對和改進建議.

6.4重大風險會商機制

組織通過明確重大風險會商的參與人員、會商召集、會商決議內(nèi)容、會商決議處置跟蹤、重大風險解

除等相關(guān)工作以建立重大風險會商機制。具體工作包括但不限于：

a）參與會商人員包括風險管理主要責任人、組織內(nèi)各部門的主要負責人，必要時也可邀請利益相

關(guān)方負責人和專家參與會商；若需要向主管、監(jiān)管部門匯報時，可邀請主管、監(jiān)管部門參與

會商：

b）會商活動對?重大風險的類別、預(yù)警級別、預(yù)警范圍、起始時間、可能影響范圍、警示事項、應(yīng)采取

的措施和時限要求，以及該項重大風險處置責任人、處置原則和方案、處置資源配套等做出

決議；

c）會商決議及時發(fā)布到相關(guān)責任人：

GB/T24364—2023

d）重大風險處置結(jié)束后，再次進行會商確定是否解除風險，判斷可以解除的，及時通告相關(guān)人員

解除風險：

e）明確會商活動紀要和結(jié)果存檔保存的時間，以便后續(xù)審計、查閱。

7信息安全風險管理保障措施

7.1人員保障

組織通過配備人員、開展培訓(xùn)等工作，滿足信息安全風險管理工作針對不同崗位、不同能力的相關(guān)

需求，具體人員保障措施主要包括但不限于：

a）根據(jù)信息安全風險管理需求設(shè)置不同的崗位和技能要求，配備足夠的人員開展工作：

b）加強內(nèi)部信息安全風險管理相關(guān)專業(yè)人才隊伍建設(shè)，建立健全人才發(fā)現(xiàn)、培養(yǎng)、選拔和任用

機制：

c）通過不同的培訓(xùn)方式讓組織內(nèi)部全體員工了解并認同組織的信息安全風險管理目標和原

則，提升信息安全風險管理意識：

d）根據(jù)蛆織需求和組織技術(shù)能力現(xiàn)狀，可引入外部服務(wù)單位協(xié)助組織開展日常風險管理活動：

e）組建內(nèi)部和外部相融合的專家?guī)熨Y源。

7.2制度保障

建立符合組織信息安全風險管理需求的制度體系是組織信息安全風險管理活動開展的有效俁

障，主要內(nèi)容包括但不限于：

a）闡明機構(gòu)信息安全風險管理工作的總體目標、范圍、原則、框架和要求等：

b）明確信息安全風險管理活動中各類人員的崗位和職責：

c）明確信息安全風險管理活動所需的操作規(guī)程：

d）形成和保存信息安全風險管理所產(chǎn)生的信息文檔；

e）明確信息安全風險管理工作的績效評價和獎懲。

7.3經(jīng)費保障

組織內(nèi)部為信息安全風險管理活動提供必要的資金保障，各類經(jīng)費主要包括但不限于：

a）風險處置類經(jīng)費，為消減、轉(zhuǎn)移、規(guī)避風險所采取的安全措施需花費的經(jīng)費。如購買網(wǎng)絡(luò)安全

保險、網(wǎng)絡(luò)層安全防護設(shè)備、主機層安全防護設(shè)備、應(yīng)用層安全防護設(shè)備、數(shù)據(jù)層安全防護設(shè)

備等：

b）人員教育培訓(xùn)經(jīng)贄，包括信息安全風險意識培訓(xùn)、風險管理人員技能提升與資格認證、演練競

賽等相關(guān)經(jīng)費等；

c）工具采購類經(jīng)戕，為開展威脅識別、脆弱性識別、風險監(jiān)測預(yù)警等活動所需工具采購經(jīng)費。如

采購?fù){情報、態(tài)勢感知系統(tǒng)、漏洞掃描系統(tǒng)、滲透測試工具等；

d）風險管理相關(guān)的服務(wù)經(jīng)贄，包括但不限于：風險評估、滲透測試、漏洞掃描等服務(wù)的經(jīng)費。

7.4工具保障

組織通過配備信息安全風險管理相關(guān)工具，以保證信息安全風險管理工作的開展，提升風險管理的

效果。主要工具包括但不限于：

a）風險管理類，基于標準的風險評估和管理工具、基于知識的風險評估和管理工具、基于模型的

GB/T24364—2023

風險評估和管理工具等：

b）風險檢查評估類，檢查列表和基線檢查工具、脆弱性掃描工具、滲透性測試工具、代碼審計工

具、移動應(yīng)用安全測試工具、工業(yè)控制系統(tǒng)安全測試工具、機房檢測工具等；

O風險防護類，防火墻、網(wǎng)絡(luò)入侵檢測系統(tǒng)、web應(yīng)用防火墻、腐病毒等；

d）專業(yè)機構(gòu)發(fā)布的漏洞與威脅統(tǒng)計數(shù)據(jù)、評估指標庫、知識庫、漏洞庫、算法庫、模型庫等。

8信息安全風險管理能力

8.1資產(chǎn)識別能力

能針對風險管理范圍內(nèi)的業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)單元和組件3個層次進行資產(chǎn)識別，從識別活

動的操作規(guī)范制定、設(shè)備和工具配備以及人員組建3個方面建立資產(chǎn)識別能力。

a）宜具備指導(dǎo)組織開展資產(chǎn)識別的操作方法、識別指南和相關(guān)表單，明確組織業(yè)務(wù)完整性識別和

關(guān)聯(lián)程度計算、業(yè)務(wù)重要性賦值、資產(chǎn)價值賦值等方法，并供持更新機制，持續(xù)提高資產(chǎn)識別

能力。

b）宜具備資產(chǎn)管理配置庫、資產(chǎn)主動探測和被動掃描類工具等，能識別出設(shè)備類型、設(shè)備品牌、設(shè)

備型號、開放端口和版本等信息，并對資產(chǎn)進行全面管理。

O人員宜了解資產(chǎn)識別相關(guān)標準，熟悉資產(chǎn)識別方法，具備依據(jù)識別結(jié)果輸出資產(chǎn)分類、資產(chǎn)評

價以及重要資產(chǎn)識別的能力。

8.2威脅識別能力

能從威脅的來源、動機、途徑、可能性及影響等方面全面、客觀、準確識別威脅，從流程規(guī)范制定、工

具配備以及人員組建3個方面建立威脅識別能力。

a）宜制定威脅識別方法和操作指南，確定威脅賦值標準，并保持更新機制。

b）宜具備威脅情報收集、態(tài)勢感知、APT攻擊檢測、網(wǎng)絡(luò)安全監(jiān)則等工具，能識別出威脅來源、攻

擊路徑、攻擊強度、發(fā)生頻率等。

c）人員宜了解并掌握威脅監(jiān)測和識別方法，熟悉相關(guān)工具使用知識和技能，具備依據(jù)識別結(jié)果輸

出威脅列表和完成威脅賦值的能力。

8.3脆弱性識別能力

能以業(yè)務(wù)為核心，針對威脅，從技術(shù)和管理兩個方面進行脆弱性識別，梳理資產(chǎn)可能被威脅利用的

脆弱點，從流程規(guī)范制定、工具配備以及人員組建3個方面建立脆弱性識別能力。

a）宜具備脆弱性識別的方法、操作指南和相關(guān)表單，具備脆弱性賦值方法和指南，并保持更新

機制。

b）宜具備配置核查、協(xié)議分析、漏洞掃描、源代碼安全分析等工具，并能識別出物理層、網(wǎng)絡(luò)層、系

統(tǒng)層、應(yīng)用層等層面的安全問題或隱患。

O人員宜了解和掌握脆弱性相關(guān)的標準，熟悉識別方法流程、操作指南、工具使用相關(guān)的知識，具

備跟蹤漏洞最新發(fā)展狀況、依據(jù)識別結(jié)果輸出脆弱性列表、依據(jù)脆弱性被利用難易程度賦值和

影響程度賦值的能力。

8.4已有措施有效性評價能力

能從降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性和（或）減少安全事件發(fā)生后對組織造成的影

6

GB/T24364—2023

響兩個方面對已有措施有效性進行評價。從評價方法、工具配備以及人員3個方面建立已有安全措施

有效性評價能力。

a）宜具備已有安全措施有效性的評價方法、評價模型、操作指南和相關(guān)評價指標，具備從抵御或

震懾威脅-、阻斷攻擊路徑、彌補或消減脆弱性、轉(zhuǎn)移安全事件發(fā)生后的影響等維度對已有安全

措施實施效果進行數(shù)據(jù)采集的方法和有效性評價的算法，產(chǎn)保持持續(xù)更新。

b）宜具備數(shù)據(jù)采集、數(shù)據(jù)分析、安全補丁測試、備份恢復(fù)測試、攻擊攔截測試等工具，可對已有安

全措施實現(xiàn)網(wǎng)絡(luò)攻擊攔截、病毒查殺、威脅震懾、脆弱性消除以及備份文件有效性等的效果進

行判斷。

c）人員宜了解和掌握已有安全措施有效性評價相關(guān)標準，熟悉評價方法和流程、操作指南、工具

使用等相關(guān)知識和技能，了解已有安全措施的防護目的、防護對象和范圍、防護方式、防護效臭

數(shù)據(jù)采集方法、有效性評價模型和評價算法等方面的知識，并能依據(jù)采集的數(shù)據(jù)和評價模型開

展評價工作。

8.5風險分析與評價能力

能根據(jù)風險識別的結(jié)果，通過選用的風險計算模型對系統(tǒng)風險和業(yè)務(wù)風險進行計算、分析，具備依

據(jù)風險評價準則對風險進行等級劃分的能力。從計算和評價方法、工具配備以及人員組建三個方面建

立風險分析與評價能力。

a）宜具備風險計算和分析的方法、計算模型和操作指南，具備合理的、可操作的系統(tǒng)風險和業(yè)務(wù)

風險評價準則，并保持持續(xù)更新。

b）宜具備風險計算和評價工具、評價指標配置庫等，可對風險識別的結(jié)果進行自動計算，并進行

合理的評價和等級劃分。

c）人員宜了解和掌握風險分析與評價相關(guān)標準，熟悉分析與評價的方法流程、操作指南、工具使

用相關(guān)知識和技能，具備風險計算、風險調(diào)整、風險評價結(jié)果合理性判斷等能力。

8.6風險處置能力

能在風險處置.準備、風險處置.實施和風險處置效果評價等階段，從處置措施、處置工具、處置團隊

3個方面建立風險處置能力。

a）宜具備完善的風險處置方法、流程、指南和相關(guān)表單，能持續(xù)跟蹤信息安全攻防技術(shù)發(fā)展現(xiàn)

狀，能及時了解新技術(shù)、新應(yīng)用的安全風險及應(yīng)對措施，能根據(jù)組織的業(yè)務(wù)特點形成可落地且

有效的風險處置措施。

b）宜具有風險處置配置庫，可實現(xiàn)對已知風險處宜措施的查詢和維護，并對配置庫持續(xù)更新。

c）人員宜了解和掌握風險處置常識和專業(yè)知識，持續(xù)跟蹤最新的信息安全相關(guān)法律法規(guī)，了解常

見的信息安全保障模型，具備風險處置成本效益分析知識，具備專項研判專家隊伍和技術(shù)力

量，具備測試、實施風險處置措施和編制風險處置報告的能力。

8.7風險監(jiān)泅預(yù)警能力

能結(jié)合組織自身情況，從監(jiān)測預(yù)警流程、監(jiān)測預(yù)警技術(shù)體系以及監(jiān)測預(yù)警機構(gòu)和人員3個方面建立

監(jiān)測預(yù)警能力。

a）宜制定監(jiān)測預(yù)警流程，結(jié)合監(jiān)測預(yù)警機構(gòu)和人員設(shè)置情況以及監(jiān)測預(yù)警范圍，制定適用本組織

實際情況的監(jiān)測預(yù)警流程，劃分預(yù)警級別，制定包括組織內(nèi)部預(yù)警與組織相關(guān)單位、上級主管

單位或外部監(jiān)管機構(gòu)預(yù)警等??種或多種組合的預(yù)警流程。

GB/T24364—2023

b）宜構(gòu)建覆蓋管理范圍內(nèi)的監(jiān)測偵警技術(shù)體系，具備安全事件監(jiān)測、運行狀態(tài)監(jiān)測、威脅監(jiān)測、策

略與配置監(jiān)測的技術(shù)能力，具備監(jiān)測數(shù)據(jù)采集、匯總、處理、分析能力，及定位網(wǎng)絡(luò)安全事件、賬

響范圍、涉及對象的能力，具備支持定義預(yù)警流程和自動化預(yù)警的能力。

c）宜設(shè)置監(jiān)測預(yù)警機構(gòu)和人員，明確監(jiān)管預(yù)警機構(gòu)的權(quán)利和義務(wù)，明確各級各部門負責監(jiān)測、預(yù)

警和響應(yīng)預(yù)警的責任人，不同人員根據(jù)崗位職責不同，定具備監(jiān)測預(yù)警系統(tǒng)及其相關(guān)設(shè)備的使

用和操作能力，具備日志分析、事件定位、事態(tài)研判、預(yù)警通知等能力。

8.8風險信息共享能力

能基于風險評估、風險監(jiān)控預(yù)警和風險監(jiān)視相關(guān)工作成果，從風險信息共享流程和規(guī)范、風險信息

系統(tǒng)或工具和途徑以及風險信息共享機構(gòu)和人員3個方面建立風險信息共享能力。

a）宜建立風險信息共享流程和規(guī)范。根據(jù)共享場景、參與角色和共享信息的內(nèi)容，確定類別級

別、選擇共享模式、制定共享策略規(guī)程等，如建立共享清單、保護共享信息、監(jiān)督評價、持續(xù)共

享、利用調(diào)整共享以及終止信息共享等。

b）宜具備風險信息共享系統(tǒng)或工具，相關(guān)系統(tǒng)和工具的信息共享接口、共享模式、角色和獲取信

息范圍控制能力應(yīng)符合相關(guān)國家、行業(yè)或區(qū)域標準規(guī)定。

c）宜具有風險信息共享機構(gòu)和人員，明確信息風險共享機構(gòu)的權(quán)利和義務(wù)，信息風險共享相關(guān)人

員具備利用、匯總、關(guān)聯(lián)、分析、驗證、處理、保護和發(fā)布風險信息的能力。

9信息安全風險管理過程

9.1概述

9.1.1信患安全風險管理的內(nèi)容和過程

信息安全風險管理包括語境建立、風險評估、風險處置、批準留存、監(jiān)視與評審和溝通與咨詢6個方

面的內(nèi)容。語境建立、風險評估、風險處置和批準留存是信息安全風險管理的4個基本步驟，監(jiān)視與評

審和溝通與咨詢則貫穿于這4個基本步驟中，見圖2。

圖2信息安全風險管理的內(nèi)容和過程

第一步是語境建立，確定風險管理的對象和范圍，實施風險管理準備，進行相關(guān)信息的調(diào)查和分

析，明確風險管理對象的安全要求。第二步是風險評估，針對確立的風險管理對象所面臨的風險進行識

別、分析和評價。第三步是風險處置，依據(jù)風險評估的結(jié)果，選擇并執(zhí)行合適的安全措施來降低風險的

GB/T24364—2023

過程。第四步是批準留存，機構(gòu)的決策層依據(jù)風險評估和風險處置的結(jié)果是否滿足風險管理對象的安

全要求，做出是否認可風險管理活動的決定，并將結(jié)果留存。當風險管理對象的業(yè)務(wù)目標和特性發(fā)生變

化或面臨新的風險時.，需要再次注入上述4個步驟,形成一次新的循環(huán)。監(jiān)視與評審包括對上述4個主

體步驟的監(jiān)視和評審。監(jiān)視是定期或不定期對風險管理過程的運行情況進行查看，了解風險管理過程

的執(zhí)行情況，持續(xù)監(jiān)測風險的變化，及時進行風險預(yù)警和風險處置，評審是對監(jiān)視的結(jié)果進行分析和評

價，從而確定風險管理過程的有效性，并持續(xù)改進。溝通與咨詢?yōu)樯鲜?個步驟中相關(guān)方提供溝通和咨

詢。溝通與咨詢是通過相關(guān)方之恒交換和/或共享關(guān)于風險的信息，就如何管理風險達成一致的活動，

溝通是在相關(guān)方需要時為其提供學習途徑，以保持參與人員之間的協(xié)調(diào)一致，共同實現(xiàn)安全目標.咨i旬

是為所有相關(guān)方提供學習途徑，以增強風險意識、知識和技能，配合實現(xiàn)安全目標。語境建立、風險評

估、風險處置、批準留存、監(jiān)視叮評審、溝通與咨ifij構(gòu)成了一個螺旋式上升的循環(huán)，使得風險管理對象在

自身和環(huán)境的變化中能不斷應(yīng)對新的安全需求和風險。

9.1.2信息安全風險管理相關(guān)人員的角色和責任

信息安全風險管理是基于風險的信息安全管理。因此，信息安全風險管理涉及人員，既包括信息安

全風險管理的直接參與人員，也包括風險管理對象的相關(guān)人員。表2對信息安全風險管理相關(guān)人員的

的色和責任進行了歸納和分類。

襲2信息安全風險管理相關(guān)人員的角色和責任

風險管理對蒙參與人員■目息安全風險管理參與人員

層面

角色內(nèi)外部責任角色內(nèi)外部責任

負責信息安全風險管理的

負過風險管理對象的重大

決策層決策人員內(nèi)決策人員內(nèi)重大決策、總體規(guī)劃和批準

決策和總體規(guī)范

留存

負責風險管理對象各方面負貢信息安全風險管理各

管理層管理人員內(nèi)管理人員內(nèi)

的管理、組織和協(xié)調(diào)過程中的管理、組織和協(xié)調(diào)

規(guī)劃設(shè)計負由風險管理對象的規(guī)劃

內(nèi)或外

人員和設(shè)計

負希風險管理對象的建設(shè)

建設(shè)人員內(nèi)或外

和實施負責信息安全風險管理的

執(zhí)行人員內(nèi)或外

負我風險管理對象的日常具體規(guī)劃、設(shè)計和實施

執(zhí)行層運行人員內(nèi)或外

運行和操作

負費風險管理對象的口常

維護人員內(nèi)或外

維護，包括維修和升級

負貢風降管理對象的監(jiān)視、負貢信息安全風險管理過程、

監(jiān)視人員內(nèi)監(jiān)視人員內(nèi)

控制、預(yù)警和應(yīng)急處理成本和結(jié)果的監(jiān)視和控制

為信息安全風險管理提供

為風險管理對象提供專業(yè)

專業(yè)技術(shù)支持，包括咨詢、

支持層支持人員外技術(shù)支持，包括咨詢、培訓(xùn)、支持人員外

培訓(xùn)、測評和工具定制等

測評和工具定制等服務(wù)

服務(wù)

9

GB/T24364—2023

表2信息安全風險管理相關(guān)人員的角色和責任（續(xù)）

風險管理對象參與人員信息安全風險管理參與人員

層面

角色內(nèi)外部競?cè)谓巧珒?nèi)外部競?cè)?/p>

遵循信息安全風險管理的

利用風險管理對象完成自原則和過程使用風險管理

用戶層使用人員內(nèi)或外使用人員內(nèi)或外

身的任務(wù)時象，并反饋信息安全風險

管理的效果

9.2語境建立

9.2.1語境建立概述

9.2.1.1語境建立的概念

語境建立是信息安全風險管理的第一步，確定風降管理的對象和范圍，確立實施風險管理的準

備，進行相關(guān)信息的調(diào)查和分析。

9.2.1.2語境建立的目的

語境建立是為了明確信息安全風險管理的范國和對象，以及對象的特性和安全要求，對信息安全風

險管理工作進行規(guī)劃和準備，保障后續(xù)風險管理活動順利進行。

9.2.1.3語境建立的依據(jù)

國家、地區(qū)或行業(yè)的相關(guān)法律、法規(guī)、政策和標準以及風險管理對象的業(yè)務(wù)目標、特性、外部和內(nèi)部

環(huán)境都是語境建立的必要依據(jù)。

9.2.2語境建立過程

9.2.2.1語境建立過程概述

語境建立的過程包括風險管理準備、風險管理對象調(diào)查與分析、信息安全要求分析3個工作階

段，各階段輸出文檔見附錄A中A.1。在信息安全風險管理過程中，語境建立過程是一次信息安全風險

管理主循環(huán)的起始，為風險評估提供輸入，監(jiān)視與評審和溝通與咨詢貫穿其3個階段，見圖3。

10

GB/T24364—2023

-1

溝通與咨詢

J

3二二二工1

痣視與評審

L.J

風險

律估

圖3語境建立過程及其在信息安全風險管理中的位置

9.2.2.2風險管理準備

如圖4所示，風險管理準備階段的工作過程和內(nèi)容如下。

a）確定風險管理范圍和邊界，以確保在風險管理中考慮所有相關(guān)業(yè)務(wù)、資產(chǎn)。此外，需要識別邊

界以解決通過這些邊界可能產(chǎn)生的風險。

收集有關(guān)組織的信息，以確定其所處的環(huán)境及其與信息安全風險管理過程的相關(guān)性。

定義范圍和邊界時，考慮以下信息：

1）組織的業(yè)務(wù)目標、發(fā)展戰(zhàn)略和方針：

2）國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標準的規(guī)定；

3）業(yè)務(wù)流程

4）組織的職能和結(jié)構(gòu)；

5）組織的信息安全方針；

6）組織對風險管理的總體方法；

7）信息資產(chǎn)，包括數(shù)據(jù)、個人信息等；

8）組織的地點及其地理特征：

9）影響組織的制約因素；

10）利益相關(guān)方的期望：

11）社會文化環(huán)境：

12）接口（即與環(huán)境的信息交流）。

b）確定信息安全風險管理的目標。

c）總體規(guī)劃。制定風險管理總體規(guī)劃，包括風險管理的目標、意義、范圍、基本準則、組織結(jié)構(gòu)、經(jīng)

費預(yù)估和實施計劃等。

當制定風險管理實施計劃時，包括以下內(nèi)容：

GB/T24364—2023

1）實施團隊架構(gòu)、各團隊負責人、可能涉及的部門：

2）每個階段的時間、涉及地點、具體包含和除外的內(nèi)容；

3）各階段負責人、入口及出口標準、預(yù)期在每一步流程中取得的成果：

4）需要的資源、責任和記錄；

5）預(yù)算；

6）對過程實施監(jiān)視的監(jiān)視內(nèi)容及規(guī)則；

7）實施過程需要遵守的原則、最終完成標準等。

d）獲得批準。上述所有內(nèi)容確定后，風險管理總體規(guī)劃應(yīng)得到組織最高管理者的支持和批準；由

決策層對管理層和執(zhí)行層進行傳達。

圖4風險管理準備階段的過程及其輸入輸出

9.2.2.3調(diào)查與分析

如圖5所示，風險管理對象調(diào)查階段的工作過程和內(nèi)容如下。

a）調(diào)直機構(gòu)使命及目標。了解機構(gòu)的使命，包括戰(zhàn)略背景和業(yè)務(wù)目標等，從中明確支持機構(gòu)完成

其使命的風險管理對象的業(yè)務(wù)目標。

b）調(diào)查法律法規(guī)及監(jiān)管要求等。了解與企業(yè)業(yè)務(wù)相關(guān)的國家、地區(qū)或行業(yè)的相關(guān)法律、法規(guī)、政

策和標準。

c）調(diào)查業(yè)務(wù)特性。了解機構(gòu)的業(yè)務(wù)，包括業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程等，從中明確支持機構(gòu)業(yè)務(wù)運營的

風險管理對象的業(yè)務(wù)特性、可能涉及的信息資產(chǎn)及載體類別。

d）調(diào)查外部環(huán)境。組織的地點及其地理特征，企業(yè)外部利益相關(guān)方的期望，影響組織業(yè)務(wù)安全的

制約因素。

O調(diào)查內(nèi)部環(huán)境。包括組織風險管理的思路、方法、控制策略、風險偏好等方面的內(nèi)容。

f）匯總上述調(diào)杳結(jié)果，形成描述報告，其中包含機構(gòu)使命及口標，法律、法規(guī)及監(jiān)管要求，業(yè)務(wù)特

性，外部環(huán)境和內(nèi)部環(huán)境等方面的內(nèi)容。

調(diào)查方式包括問卷回答、人員訪談、現(xiàn)場考察、輔助工具等多種形式，根據(jù)實際情況炎活采用和結(jié)合

使用。

GB/T24364—2023

、風險管理準備）

丁

圖5風險管理對象調(diào)查階段的過程及其輸入輸出

9.2.2.4信息安全要求分析

如圖6所示，信息安全要求分析階段的工作過程和內(nèi)容如下。

a）分析風險管理對象的安全環(huán)境。依據(jù)國家、地區(qū)或行業(yè)的相關(guān)法律、法規(guī)、政策和標準，考慮合

作伙伴的合同要求，對風險管理對象的安全保障環(huán)境進行分析，明確環(huán)境因素對風險管理對象

安全方面的影響和要求。

b）分析風險管理對象的安全要求。依據(jù)風險管理對象的描述報告和分析報告，結(jié)合上述安全環(huán)

境的分析結(jié)果，分析和提出對風險管理對象的安全要求，包括保護范圍、保護等級以及與相關(guān)

法律法規(guī)或行業(yè)標準的符合性要求等。

c）確定信息安全風險管理的基本準則?；诘?章的內(nèi)容，先擇或設(shè)置適合當前風險管理對象

的風險管理原則，與風險管理實施框架相一致，并基于風險管理對象的安全環(huán)境和安全要求法

行針對性設(shè)計。具體如下：

1）風險評價準則。在考慮國家信息安全監(jiān)管要求及行業(yè)背景和特點的基礎(chǔ)上，建立風險評

價準則，以實現(xiàn)對?風險的控制與管理。

2）風險可接受準則。根據(jù)被評估對象風險評估結(jié)果，依據(jù)國家相關(guān)信息安全要求，組織收集

相關(guān)方的信息安全訴求，明確風險處置對象應(yīng)達到的最低保護要求，結(jié)合組織的風險可承

受程度，確定風險可接受準則。風險可接受準則的劃分如下：

一一風險等級為很高或高的風險建議進行處置，對于現(xiàn)有處置措施技術(shù)不成熟的，建議加

強監(jiān)視；

—風險等級為中的風險可根據(jù)成本效益分析結(jié)果確定，對于處置成本無法承受或現(xiàn)有

處置措施技術(shù)不成熟的，可持續(xù)跟蹤、逐步解決：

一一風險等級為低或很低的風險可選擇接受，但應(yīng)綜合考慮組織所處的政策環(huán)境、外部相

關(guān)方要求和組織的安全目標等因素。

d）匯總上述分析結(jié)果，形成風險管理對象的安全要求分析報告，其中包含風險管理對象的安全環(huán)

境、安全要求和風險管理基本準則等方面的內(nèi)容。

13

GB/T24364—2023

圖6信息安全要求分析階段的過程及其輸入輸出

9.3風險評估

9.3.1風險評估概述

9.3.1.1風險評估的概念

風險評估是信息安全風險管理的第：步，針對確立的風險管理對象所面臨的風險進行識別、分析和

評價。

本章僅對風險評估作框架性說明，詳細內(nèi)容見GB/T20984-2022和GB/T31509。

9.3.1.2風險評估的目的

信息安全風險管理要依靠風險評估的結(jié)果來確定隨后的風險處置和批準留存活動。風險評估使得

組織能準確定位風險管理的策略、實踐和工具，能將安全活動的重點放在重要的問題上，能選擇成本效

益合理的和適用的安全對策。

9.3.1.3風險評估的作用范圍

風險評估只是為信息安全活動提供一個方向，并不會導(dǎo)致重大的