GB/T 31722-2015信息技術(shù)安全技術(shù)信息安全風(fēng)險管理

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T31722—2015/ISO/IEC270052008

:

信息技術(shù)安全技術(shù)

信息安全風(fēng)險管理

Informationtechnology—Securitytechniques—

Informationsecurityriskmanagement

(ISO/IEC27005:2008,IDT)

2015-06-02發(fā)布2016-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T31722—2015/ISO/IEC270052008

:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

本標(biāo)準(zhǔn)結(jié)構(gòu)

4………………2

背景

5………………………3

信息安全風(fēng)險管理過程概述

6……………3

語境建立

7…………………5

信息安全風(fēng)險評估

8………………………7

信息安全風(fēng)險處置

9………………………13

信息安全風(fēng)險接受

10……………………16

信息安全風(fēng)險溝通

11……………………16

信息安全風(fēng)險監(jiān)視和評審

12……………17

附錄資料性附錄確定信息安全風(fēng)險管理過程的范圍和邊界

A()……19

附錄資料性附錄資產(chǎn)識別和估價以及影響評估

B()…………………22

附錄資料性附錄典型威脅示例

C()……………………28

附錄資料性附錄脆弱性和脆弱性評估方法

D()………31

附錄資料性附錄信息安全評估方法

E()………………35

附錄資料性附錄風(fēng)險降低的約束

F()…………………40

參考文獻

……………………42

GB/T31722—2015/ISO/IEC270052008

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全風(fēng)險管理英

ISO/IEC27005:2008《》(

文版

)。

本標(biāo)準(zhǔn)做了以下修改

:

對引言做了一些編輯性修改

———。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院上海三零衛(wèi)士信息安全有限公司中電長城網(wǎng)際系

:、、

統(tǒng)應(yīng)用有限公司山東省計算中心北京信息安全測評中心

、、。

本標(biāo)準(zhǔn)主要起草人許玉娜閔京華上官曉麗董火民趙章界李剛周鳴樂

:、、、、、、。

Ⅰ

GB/T31722—2015/ISO/IEC270052008

:

引言

信息安全管理體系標(biāo)準(zhǔn)族簡稱標(biāo)準(zhǔn)族是國際

(InformationSecurityManagementSystem,ISMS)

信息安全技術(shù)標(biāo)準(zhǔn)化組織制定的信息安全管理體系系列國際標(biāo)準(zhǔn)標(biāo)準(zhǔn)

(ISO/IECJTC1SC27)。ISMS

族旨在幫助各種類型和規(guī)模的組織開發(fā)和實施管理其信息資產(chǎn)安全的框架并為保護組織信息諸如

,,(,

財務(wù)信息知識產(chǎn)權(quán)員工詳細資料或者受客戶或第三方委托的信息的的獨立評估做準(zhǔn)備

、、,)ISMS。

標(biāo)準(zhǔn)族包括的標(biāo)準(zhǔn)定義了的要求及其認證機構(gòu)的要求提供了對整個規(guī)劃實施檢

ISMS:a)ISMS;b)“--

查處置過程和要求的直接支持詳細指南和或解釋闡述了特定行業(yè)的指南闡

-”(PDCA)、();c)ISMS;d)

述了的一致性評估

ISMS。

目前標(biāo)準(zhǔn)族由下列標(biāo)準(zhǔn)組成

,ISMS:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2012

(ISO/IEC27000:2009)

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2008(ISO/IEC27001:

2005)

信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則

———GB/T22081—2008(ISO/IEC27002:2005)

信息技術(shù)安全技術(shù)信息安全管理體系實施指南

———GB/T31496—2015(ISO/IEC27003:

2010)

信息技術(shù)安全技術(shù)信息安全管理測量

———GB/T31497—2015(ISO/IEC27004:2009)

信息技術(shù)安全技術(shù)信息安全風(fēng)險管理

———GB/T31722—2015(ISO/IEC27005:2008)

信息技術(shù)安全技術(shù)信息安全管理體系審核認證機構(gòu)的要求

———GB/T25067—2010(ISO/

IEC27006:2007)

信息技術(shù)安全技術(shù)信息安全管理體系審核指南

———ISO/IEC27007:2011

信息技術(shù)安全技術(shù)信息安全控制措施審核員指南

———ISO/IECTR27008:2011

信息技術(shù)安全技術(shù)行業(yè)間及組織間通信的信息安全管理

———ISO/IEC27010:2012

信息技術(shù)安全技術(shù)基于的電信行業(yè)組織的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

信息技術(shù)安全技術(shù)和集成實施

———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1

指南

信息技術(shù)安全技術(shù)信息安全治理

———ISO/IEC27014:2013

信息技術(shù)安全技術(shù)金融服務(wù)信息安全管理指南

———ISO/IECTR27015:2012

本標(biāo)準(zhǔn)作為標(biāo)準(zhǔn)族之一為組織內(nèi)的信息安全風(fēng)險管理提供指南特別是支持按照

ISMS,,

的要求然而本標(biāo)準(zhǔn)不提供信息安全風(fēng)險管理的任何特定方法由組織來確定

GB/T22080ISMS。,。

其風(fēng)險管理方法這取決于諸如組織的范圍風(fēng)險管理語境或所處行業(yè)一些現(xiàn)有的方法可在本

,ISMS、。

標(biāo)準(zhǔn)描述的框架下使用以實現(xiàn)的要求

,ISMS。

本標(biāo)準(zhǔn)的相關(guān)方包括關(guān)心組織內(nèi)信息安全風(fēng)險的管理者和員工以及在適當(dāng)情況下支持這種活動

()

的外部方

。

Ⅱ

GB/T31722—2015/ISO/IEC270052008

:

信息技術(shù)安全技術(shù)

信息安全風(fēng)險管理

1范圍

本標(biāo)準(zhǔn)為信息安全風(fēng)險管理提供指南

。

本標(biāo)準(zhǔn)支持所規(guī)約的一般概念旨在為基于風(fēng)險管理方法來符合要求地實現(xiàn)信息安

GB/T22080,

全提供幫助

。

知曉和中所描述的概念模型過程和術(shù)語對于完整地理解本標(biāo)準(zhǔn)是

GB/T22080GB/T22081、、,

重要的

。

本標(biāo)準(zhǔn)適用于各種類型的組織例如商務(wù)企業(yè)政府機構(gòu)非盈利性組織這些組織期望管理可能

(,、、),

危及其信息安全的風(fēng)險

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2008