GB/T 33132-2016信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T33132—2016

信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理

實(shí)施指南

Informationsecuritytechnology—Guideofimplementationfor

informationsecurityrisktreatment

2016-10-13發(fā)布2017-05-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T33132—2016

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

風(fēng)險(xiǎn)處理實(shí)施概述

4………………………2

風(fēng)險(xiǎn)處理基本原則

4.1…………………2

風(fēng)險(xiǎn)處理的方式

4.2……………………2

風(fēng)險(xiǎn)處理的角色和職責(zé)

4.3……………3

風(fēng)險(xiǎn)處理的基本流程

4.4………………3

風(fēng)險(xiǎn)處理準(zhǔn)備

5……………5

制定風(fēng)險(xiǎn)處理計(jì)劃

5.1…………………5

獲得管理層批準(zhǔn)

5.2……………………6

風(fēng)險(xiǎn)處理實(shí)施

6……………6

風(fēng)險(xiǎn)處理方案制定

6.1…………………6

風(fēng)險(xiǎn)處理方案實(shí)施

6.2…………………8

風(fēng)險(xiǎn)處理效果評(píng)價(jià)

7………………………8

概述

7.1…………………8

評(píng)價(jià)原則

7.2……………8

評(píng)價(jià)方法

7.3……………9

評(píng)價(jià)方案

7.4……………9

評(píng)價(jià)實(shí)施

7.5……………9

持續(xù)改進(jìn)

7.6……………10

附錄資料性附錄風(fēng)險(xiǎn)處理實(shí)踐示例

A()………………11

背景

A.1………………11

風(fēng)險(xiǎn)處理準(zhǔn)備

A.2……………………12

風(fēng)險(xiǎn)處理實(shí)施

A.3……………………14

風(fēng)險(xiǎn)處理評(píng)價(jià)

A.4……………………21

參考文獻(xiàn)

……………………23

GB/T33132—2016

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位國(guó)家信息中心北京信息安全測(cè)評(píng)中心中國(guó)民航大學(xué)東軟集團(tuán)股份有限公司

:、、、、

北京數(shù)字認(rèn)證股份有限公司西安交大捷普網(wǎng)絡(luò)科技有限公司

、。

本標(biāo)準(zhǔn)主要起草人吳亞非祿凱陳永剛趙章界馬勇席斐陳青民何建鋒

:、、、、、、、。

Ⅰ

GB/T33132—2016

引言

信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)重要基礎(chǔ)性工作其核心思想是對(duì)管理對(duì)象面臨

,

的信息安全風(fēng)險(xiǎn)進(jìn)行管控信息安全風(fēng)險(xiǎn)管理工作貫穿于信息系統(tǒng)生命周期規(guī)劃設(shè)計(jì)實(shí)施運(yùn)行維

。(、、、

護(hù)和廢棄的全過(guò)程主要工作過(guò)程包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理兩個(gè)基本步驟風(fēng)險(xiǎn)評(píng)估是對(duì)風(fēng)險(xiǎn)管理對(duì)

),。

象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別分析和評(píng)價(jià)的過(guò)程風(fēng)險(xiǎn)處理是依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果選擇和實(shí)施安全措施

、。,

的過(guò)程

。

為指導(dǎo)各類組織規(guī)范性地開(kāi)展信息安全風(fēng)險(xiǎn)處理在信息安全技術(shù)信息安

,GB/T20984—2007《

全風(fēng)險(xiǎn)評(píng)估規(guī)范信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南和

》、GB/Z24364—2009《》GB/T31509—2015

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南的基礎(chǔ)上本標(biāo)準(zhǔn)針對(duì)風(fēng)險(xiǎn)評(píng)估工作中反映出來(lái)的各類

《》,

信息安全風(fēng)險(xiǎn)從風(fēng)險(xiǎn)處理工作的組織管理流程評(píng)價(jià)等方面給出了相關(guān)描述用于指導(dǎo)組織形成客

,、、、,

觀規(guī)范的風(fēng)險(xiǎn)處理方案促進(jìn)風(fēng)險(xiǎn)管理工作的完善

、,。

Ⅱ

GB/T33132—2016

信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理

實(shí)施指南

1范圍

本標(biāo)準(zhǔn)給出了信息安全風(fēng)險(xiǎn)處理的基本概念處理原則處理方式處理流程以及處理結(jié)束后的效

、、、

果評(píng)價(jià)等管理過(guò)程和方法并對(duì)處理過(guò)程中的角色和職責(zé)進(jìn)行了定義

,。

本標(biāo)準(zhǔn)適用于指導(dǎo)信息系統(tǒng)運(yùn)營(yíng)使用單位和信息安全服務(wù)機(jī)構(gòu)實(shí)施信息安全風(fēng)險(xiǎn)處理活動(dòng)

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T20984—2007

信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南

GB/Z24364—2009

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T20984—2007、GB/Z24364—2009。

31

.

風(fēng)險(xiǎn)處理risktreatment

選擇并且執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程

。

[ISO/IECGuide73:2002]。

注在本標(biāo)準(zhǔn)中術(shù)語(yǔ)控制措施