GB/T 31722-2015信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31722—2015/ISO/IEC270052008

:

信息技術(shù)安全技術(shù)

信息安全風(fēng)險(xiǎn)管理

Informationtechnology—Securitytechniques—

Informationsecurityriskmanagement

(ISO/IEC27005:2008,IDT)

2015-06-02發(fā)布2016-02-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31722—2015/ISO/IEC270052008

:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

本標(biāo)準(zhǔn)結(jié)構(gòu)

4………………2

背景

5………………………3

信息安全風(fēng)險(xiǎn)管理過程概述

6……………3

語境建立

7…………………5

信息安全風(fēng)險(xiǎn)評(píng)估

8………………………7

信息安全風(fēng)險(xiǎn)處置

9………………………13

信息安全風(fēng)險(xiǎn)接受

10……………………16

信息安全風(fēng)險(xiǎn)溝通

11……………………16

信息安全風(fēng)險(xiǎn)監(jiān)視和評(píng)審

12……………17

附錄資料性附錄確定信息安全風(fēng)險(xiǎn)管理過程的范圍和邊界

A()……19

附錄資料性附錄資產(chǎn)識(shí)別和估價(jià)以及影響評(píng)估

B()…………………22

附錄資料性附錄典型威脅示例

C()……………………28

附錄資料性附錄脆弱性和脆弱性評(píng)估方法

D()………31

附錄資料性附錄信息安全評(píng)估方法

E()………………35

附錄資料性附錄風(fēng)險(xiǎn)降低的約束

F()…………………40

參考文獻(xiàn)

……………………42

GB/T31722—2015/ISO/IEC270052008

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理英

ISO/IEC27005:2008《》(

文版

)。

本標(biāo)準(zhǔn)做了以下修改

:

對(duì)引言做了一些編輯性修改

———。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院上海三零衛(wèi)士信息安全有限公司中電長(zhǎng)城網(wǎng)際系

:、、

統(tǒng)應(yīng)用有限公司山東省計(jì)算中心北京信息安全測(cè)評(píng)中心

、、。

本標(biāo)準(zhǔn)主要起草人許玉娜閔京華上官曉麗董火民趙章界李剛周鳴樂

:、、、、、、。

Ⅰ

GB/T31722—2015/ISO/IEC270052008

:

引言

信息安全管理體系標(biāo)準(zhǔn)族簡(jiǎn)稱標(biāo)準(zhǔn)族是國(guó)際

(InformationSecurityManagementSystem,ISMS)

信息安全技術(shù)標(biāo)準(zhǔn)化組織制定的信息安全管理體系系列國(guó)際標(biāo)準(zhǔn)標(biāo)準(zhǔn)

(ISO/IECJTC1SC27)。ISMS

族旨在幫助各種類型和規(guī)模的組織開發(fā)和實(shí)施管理其信息資產(chǎn)安全的框架并為保護(hù)組織信息諸如

,,(,

財(cái)務(wù)信息知識(shí)產(chǎn)權(quán)員工詳細(xì)資料或者受客戶或第三方委托的信息的的獨(dú)立評(píng)估做準(zhǔn)備

、、,)ISMS。

標(biāo)準(zhǔn)族包括的標(biāo)準(zhǔn)定義了的要求及其認(rèn)證機(jī)構(gòu)的要求提供了對(duì)整個(gè)規(guī)劃實(shí)施檢

ISMS:a)ISMS;b)“--

查處置過程和要求的直接支持詳細(xì)指南和或解釋闡述了特定行業(yè)的指南闡

-”(PDCA)、();c)ISMS;d)

述了的一致性評(píng)估

ISMS。

目前標(biāo)準(zhǔn)族由下列標(biāo)準(zhǔn)組成

,ISMS:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2012

(ISO/IEC27000:2009)

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2008(ISO/IEC27001:

2005)

信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則

———GB/T22081—2008(ISO/IEC27002:2005)

信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南

———GB/T31496—2015(ISO/IEC27003:

2010)

信息技術(shù)安全技術(shù)信息安全管理測(cè)量

———GB/T31497—2015(ISO/IEC27004:2009)

信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理

———GB/T31722—2015(ISO/IEC27005:2008)

信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求

———GB/T25067—2010(ISO/

IEC27006:2007)

信息技術(shù)安全技術(shù)信息安全管理體系審核指南

———ISO/IEC27007:2011

信息技術(shù)安全技術(shù)信息安全控制措施審核員指南

———ISO/IECTR27008:2011

信息技術(shù)安全技術(shù)行業(yè)間及組織間通信的信息安全管理

———ISO/IEC27010:2012

信息技術(shù)安全技術(shù)基于的電信行業(yè)組織的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

信息技術(shù)安全技術(shù)和集成實(shí)施

———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1

指南

信息技術(shù)安全技術(shù)信息安全治理

———ISO/IEC27014:2013

信息技術(shù)安全技術(shù)金融服務(wù)信息安全管理指南

———ISO/IECTR27015:2012

本標(biāo)準(zhǔn)作為標(biāo)準(zhǔn)族之一為組織內(nèi)的信息安全風(fēng)險(xiǎn)管理提供指南特別是支持按照

ISMS,,

的要求然而本標(biāo)準(zhǔn)不提供信息安全風(fēng)險(xiǎn)管理的任何特定方法由組織來確定

GB/T22080ISMS。,。

其風(fēng)險(xiǎn)管理方法這取決于諸如組織的范圍風(fēng)險(xiǎn)管理語境或所處行業(yè)一些現(xiàn)有的方法可在本

,ISMS、。

標(biāo)準(zhǔn)描述的框架下使用以實(shí)現(xiàn)的要求

,ISMS。

本標(biāo)準(zhǔn)的相關(guān)方包括關(guān)心組織內(nèi)信息安全風(fēng)險(xiǎn)的管理者和員工以及在適當(dāng)情況下支持這種活動(dòng)

()

的外部方

。

Ⅱ

GB/T31722—2015/ISO/IEC270052008

:

信息技術(shù)安全技術(shù)

信息安全風(fēng)險(xiǎn)管理

1范圍

本標(biāo)準(zhǔn)為信息安全風(fēng)險(xiǎn)管理提供指南

。

本標(biāo)準(zhǔn)支持所規(guī)約的一般概念旨在為基于風(fēng)險(xiǎn)管理方法來符合要求地實(shí)現(xiàn)信息安

GB/T22080,

全提供幫助

。

知曉和中所描述的概念模型過程和術(shù)語對(duì)于完整地理解本標(biāo)準(zhǔn)是

GB/T22080GB/T22081、、,

重要的

。

本標(biāo)準(zhǔn)適用于各種類型的組織例如商務(wù)企業(yè)政府機(jī)構(gòu)非盈利性組織這些組織期望管理可能

(,、、),

危及其信息安全的風(fēng)險(xiǎn)

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2008