GB/Z 24364-2009信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南

犐犆犛３５．０４０

犔８０

中華人民共和國國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

犌犅／犣２４３６４—２００９

信息安全技術(shù)

信息安全風(fēng)險(xiǎn)管理指南

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犌狌犻犱犲犾犻狀犲狊犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狉犻狊犽犿犪狀犪犵犲犿犲狀狋

２００９０９３０發(fā)布２００９１２０１實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

書

犌犅／犣２４３６４—２００９

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

４信息安全風(fēng)險(xiǎn)管理概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．１信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．２信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．３信息安全風(fēng)險(xiǎn)管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系!!!!!!!!!!!!!３

４．４信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任!!!!!!!!!!!!!!!!!!!!!!４

５背景建立!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５．１背景建立概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５．２背景建立過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５．３背景建立文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６風(fēng)險(xiǎn)評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．１風(fēng)險(xiǎn)評(píng)估概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．２風(fēng)險(xiǎn)評(píng)估過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

６．３風(fēng)險(xiǎn)評(píng)估文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

７風(fēng)險(xiǎn)處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７．１風(fēng)險(xiǎn)處理概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７．２風(fēng)險(xiǎn)處理過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１４

７．３風(fēng)險(xiǎn)處理文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

８批準(zhǔn)監(jiān)督!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

８．１批準(zhǔn)監(jiān)督概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

８．２批準(zhǔn)監(jiān)督過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

８．３批準(zhǔn)監(jiān)督文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

９監(jiān)控審查!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

９．１監(jiān)控審查概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

９．２監(jiān)控審查過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

９．３監(jiān)控審查文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２３

１０溝通咨詢!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２３

１０．１溝通咨詢概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２３

１０．２溝通咨詢過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２４

１０．３溝通咨詢文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２７

１１信息系統(tǒng)規(guī)劃階段的信息安全風(fēng)險(xiǎn)管理!!!!!!!!!!!!!!!!!!!!!!!２７

１１．１安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２７

１１．２風(fēng)險(xiǎn)管理的過程與活動(dòng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２７

１２信息系統(tǒng)設(shè)計(jì)階段的信息安全風(fēng)險(xiǎn)管理!!!!!!!!!!!!!!!!!!!!!!!２９

Ⅰ

書

犌犅／犣２４３６４—２００９

１２．１安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２９

１２．２風(fēng)險(xiǎn)管理的過程與活動(dòng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２９

１３信息系統(tǒng)實(shí)施階段的信息安全風(fēng)險(xiǎn)管理!!!!!!!!!!!!!!!!!!!!!!!３１

１３．１安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３１

１３．２風(fēng)險(xiǎn)管理的過程與活動(dòng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３１

１４信息系統(tǒng)運(yùn)行維護(hù)階段的信息安全風(fēng)險(xiǎn)管理!!!!!!!!!!!!!!!!!!!!!３２

１４．１安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３２

１４．２風(fēng)險(xiǎn)管理的過程與活動(dòng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３３

１５信息系統(tǒng)廢棄階段的信息安全風(fēng)險(xiǎn)管理!!!!!!!!!!!!!!!!!!!!!!!３４

１５．１安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３４

１５．２風(fēng)險(xiǎn)管理的過程與活動(dòng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３４

附錄Ａ（資料性附錄）風(fēng)險(xiǎn)處理參考模型及其需求和措施!!!!!!!!!!!!!!!!!３６

Ａ．１風(fēng)險(xiǎn)處理參考模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３６

Ａ．２風(fēng)險(xiǎn)處理的需求和措施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３６

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３９

Ⅱ

犌犅／犣２４３６４—２００９

前言

本指導(dǎo)性技術(shù)文件的附錄Ａ為資料性附錄。

本指導(dǎo)性技術(shù)文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。

本指導(dǎo)性技術(shù)文件起草單位：國家信息中心信息安全研究與服務(wù)中心、中國電信股份有限公司北京

研究院。

本指導(dǎo)性技術(shù)文件主要起草人：吳亞非、張鑒、范紅、劉蓓、趙陽。

Ⅲ

犌犅／犣２４３６４—２００９

引言

一個(gè)機(jī)構(gòu)要利用其擁有的資源來完成其使命。在信息時(shí)代，信息成為第一戰(zhàn)略資源，更是起著至關(guān)

重要的作用。因此，信息資產(chǎn)的安全是關(guān)系到該機(jī)構(gòu)能否完成其使命的大事。資產(chǎn)與風(fēng)險(xiǎn)是天生的一

對(duì)矛盾，資產(chǎn)價(jià)值越高，面臨的風(fēng)險(xiǎn)就越大。信息資產(chǎn)有著與傳統(tǒng)資產(chǎn)不同的特性，面臨著新型風(fēng)險(xiǎn)。

信息安全風(fēng)險(xiǎn)管理的目的就是要緩解并平衡這一對(duì)矛盾，將風(fēng)險(xiǎn)控制到可接受的程度，保護(hù)信息及其相

關(guān)資產(chǎn)，最終保證機(jī)構(gòu)能夠完成其使命。

信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作，主要表現(xiàn)在以下幾方面：

信息安全風(fēng)險(xiǎn)管理的思想和措施應(yīng)體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等全方位。由于

在信息安全保障體系的技術(shù)、組織和管理等方面都存在著相關(guān)風(fēng)險(xiǎn)，因此，在信息安全保障體系中，技

術(shù)、組織、管理中均應(yīng)引入風(fēng)險(xiǎn)管理的思想，準(zhǔn)確地評(píng)估風(fēng)險(xiǎn)并合理地處理風(fēng)險(xiǎn)，共同實(shí)現(xiàn)信息安全保障

的目標(biāo)。

信息安全風(fēng)險(xiǎn)管理的思想和措施應(yīng)貫穿于信息系統(tǒng)生命周期的全部過程。信息系統(tǒng)生命周期包括

規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄五個(gè)階段。每個(gè)階段都存在著相關(guān)風(fēng)險(xiǎn)，同樣需要采用信息安全風(fēng)險(xiǎn)管理

的思想加以應(yīng)對(duì)，采用風(fēng)險(xiǎn)管理的措施加以控制。

信息安全風(fēng)險(xiǎn)管理的思想和措施是貫徹信息安全等級(jí)保護(hù)制度的有力支撐。信息安全風(fēng)險(xiǎn)管理依

據(jù)信息安全等級(jí)保護(hù)的思想和原則，區(qū)分主次，平衡成本與效益，合理部署和利用信息安全的保護(hù)機(jī)制、

信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，選擇并確定合適的安全控制措施，從而保證機(jī)構(gòu)具

有完成其使命所需要的信息安全保障能力。

為落實(shí)國家加強(qiáng)信息安全保障工作的要求，為實(shí)施信息安全等級(jí)保護(hù)制度的需要，制定本指導(dǎo)性技

術(shù)文件。本指導(dǎo)性技術(shù)文件可與ＧＢ／Ｔ２０９８４結(jié)合使用，并可作為機(jī)構(gòu)建立信息安全管理體系（ＩＳＭＳ）

的參考。

本指導(dǎo)性技術(shù)文件參考了ＩＳＯ／ＩＥＣ２７００５等國際信息安全風(fēng)險(xiǎn)管理的相關(guān)標(biāo)準(zhǔn)，并經(jīng)過國家有關(guān)

行業(yè)和地區(qū)的試點(diǎn)驗(yàn)證。標(biāo)準(zhǔn)針對(duì)信息安全風(fēng)險(xiǎn)管理所涉及的背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)

督、監(jiān)控審查、溝通咨詢等不同過程進(jìn)行了綜合性描述，對(duì)信息安全風(fēng)險(xiǎn)管理在信息系統(tǒng)生命周期各階

段的應(yīng)用作了系統(tǒng)闡述。

本指導(dǎo)性技術(shù)文件條款中所指的“風(fēng)險(xiǎn)管理”，其含義均為“信息安全風(fēng)險(xiǎn)管理”。

本指導(dǎo)性技術(shù)文件中列出的帶書名號(hào)的文檔是示范性的，其格式和詳細(xì)內(nèi)容未作規(guī)范。

Ⅳ

犌犅／犣２４３６４—２００９

信息安全技術(shù)