GB/T 24364-2023信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理實(shí)施指南

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T24364—2023

代替GB/Z24364—2009

信息安全技術(shù)

信息安全風(fēng)險(xiǎn)管理實(shí)施指南

Informationsecuritytechnology—

Implementationguideforinformationsecurityriskmanagement

2023-05-23發(fā)布2023-12-01實(shí)施

國家市場(chǎng)監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T24364—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義縮略語

3、………………………1

術(shù)語和定義

3.1…………………………1

縮略語

3.2………………2

信息安全風(fēng)險(xiǎn)管理實(shí)施框架

4……………2

信息安全風(fēng)險(xiǎn)管理原則

5…………………3

分級(jí)管理

5.1……………3

全面管理

5.2……………3

動(dòng)態(tài)調(diào)整

5.3……………3

科學(xué)合理

5.4……………3

信息安全風(fēng)險(xiǎn)管理保障機(jī)制

6……………4

領(lǐng)導(dǎo)負(fù)責(zé)制

6.1…………………………4

統(tǒng)籌協(xié)調(diào)機(jī)制

6.2………………………4

專家咨詢機(jī)制

6.3………………………4

重大風(fēng)險(xiǎn)會(huì)商機(jī)制

6.4…………………4

信息安全風(fēng)險(xiǎn)管理保障措施

7……………5

人員保障

7.1……………5

制度保障

7.2……………5

經(jīng)費(fèi)保障

7.3……………5

工具保障

7.4……………5

信息安全風(fēng)險(xiǎn)管理能力

8…………………6

資產(chǎn)識(shí)別能力

8.1………………………6

威脅識(shí)別能力

8.2………………………6

脆弱性識(shí)別能力

8.3……………………6

已有措施有效性評(píng)價(jià)能力

8.4…………6

風(fēng)險(xiǎn)分析與評(píng)價(jià)能力

8.5………………7

風(fēng)險(xiǎn)處置能力

8.6………………………7

風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警能力

8.7…………………7

風(fēng)險(xiǎn)信息共享能力

8.8…………………8

信息安全風(fēng)險(xiǎn)管理過程

9…………………8

Ⅰ

GB/T24364—2023

概述

9.1…………………8

語境建立

9.2……………10

風(fēng)險(xiǎn)評(píng)估

9.3……………14

風(fēng)險(xiǎn)處置

9.4……………18

批準(zhǔn)留存

9.5……………23

監(jiān)視與評(píng)審

9.6…………………………27

溝通與咨詢

9.7…………………………30

附錄資料性文檔輸出

A()………………35

語境建立文檔

A.1……………………35

風(fēng)險(xiǎn)評(píng)估文檔

A.2……………………35

風(fēng)險(xiǎn)處置文檔

A.3……………………36

批準(zhǔn)留存文檔

A.4……………………37

監(jiān)視與評(píng)審文檔

A.5…………………37

溝通與咨詢文檔

A.6…………………37

附錄資料性風(fēng)險(xiǎn)處置實(shí)踐示例

B()……………………39

示例

B.1…………………39

風(fēng)險(xiǎn)處置準(zhǔn)備

B.2………………………40

風(fēng)險(xiǎn)處置實(shí)施

B.3………………………42

風(fēng)險(xiǎn)處置評(píng)價(jià)

B.4………………………48

參考文獻(xiàn)

……………………51

Ⅱ

GB/T24364—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南與

GB/Z24364—2009《》,GB/Z24364—2009

相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

,,:

標(biāo)準(zhǔn)對(duì)象和范圍由面向信息系統(tǒng)修改為風(fēng)險(xiǎn)管理對(duì)象見第章

a)(1);

刪除了可用性保密性完整性風(fēng)險(xiǎn)風(fēng)險(xiǎn)處理的術(shù)語和定義見年版的

b)“”“”“”“”“”(20093.1、3.2、

3.4、3.5、3.7);

增加了信息安全風(fēng)險(xiǎn)管理框架增加了風(fēng)險(xiǎn)管理原則保障機(jī)制保障措施管理能力等內(nèi)容

c),、、、

見第章

(4);

更改了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程見年版的

d)(9.1,20094.2);

更改了語境建立流程引入基本準(zhǔn)則確定內(nèi)容等見年版的第章

e),(9.2,20095);

更改了風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容見年版的第章

f)(9.3,20096);

將監(jiān)控審查改為監(jiān)視與評(píng)審并將相關(guān)內(nèi)容更改見年版的第章

g),(9.6,20099);

更改了溝通與咨詢相關(guān)內(nèi)容見年版的第章

h)(9.7,200910);

刪除了各生命周期階段風(fēng)險(xiǎn)管理內(nèi)容見年版第章第章第章第章第

i)(200911、12、13、14、15

章

);

更改了風(fēng)險(xiǎn)處置相關(guān)內(nèi)容見版的第章

j)(9.2、9.4,20097)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位國家信息中心中國電子科技集團(tuán)公司第十五研究所北京安信天行科技有限公

:、、

司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司中國信息安全測(cè)評(píng)中心中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心深

、、、、

信服科技股份有限公司北京信息安全測(cè)評(píng)中心公安部第一研究所公安部第三研究所北京國信京寧

、、、、

信息安全科技有限公司上海觀安信息技術(shù)股份有限公司鄭州輕工業(yè)大學(xué)河南農(nóng)業(yè)大學(xué)深圳市信息

、、、、

安全管理中心廣州市信息安全測(cè)評(píng)中心深圳市龍華區(qū)政務(wù)服務(wù)數(shù)據(jù)管理局深圳華晟九思科技有限

、、、

公司

。

本文件主要起草人祿凱陳永剛趙增振葛曉囡陳青民楊劍劉潤一杜宇鴿陳楊國劉德林

:、、、、、、、、、、

程瑜琦李媛馬江濤李秋香陳盼陳一博張益劉健劉豐任金強(qiáng)王焱張銳卿董安波劉永杰

、、、、、、、、、、、、、、

朱潤酥高杰湯志強(qiáng)朱建興李尚號(hào)

、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2009GB/Z24364—2009;

本次為第一次修訂

———。

Ⅲ

GB/T24364—2023

引言

目前信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)主要包括

,:

信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南

———GB/T24364—2023《》;

工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范

———GB/T26333—2010《》;

信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理

———GB/T31722—2015《》(ISO/IEC27005:2008,IDT);

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南

———GB/T31509—2015《》;

信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南

———GB/T33132—2016《》;

信息安全技術(shù)供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南

———GB/T36637—2018《ICT》;

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法

———GB/T20984—2022《》;

風(fēng)險(xiǎn)管理指南

———ISO31000:2018《》;

信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理

———ISO/IEC27005:2018《》。

本文件作為信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)之一在修訂過程中依據(jù)國家信息安全風(fēng)險(xiǎn)管理相關(guān)的政策并

,

參考等標(biāo)準(zhǔn)為組織的信息安全風(fēng)險(xiǎn)管理

GB/T31722—2015、ISO31000:2018、ISO/IEC27005:2018,

實(shí)施提供了更加具體的指導(dǎo)包括信息安全風(fēng)險(xiǎn)管理的目標(biāo)原則保障機(jī)制保障措施能力和過程等

,、、、、

內(nèi)容表給出了本文件與標(biāo)準(zhǔn)的風(fēng)險(xiǎn)管

,1ISO31000:2018、GB/T31722—2015、ISO/IEC27005:2018

理過程的對(duì)應(yīng)關(guān)系

。

然而本文件不指定信息安全風(fēng)險(xiǎn)管理的特定實(shí)施細(xì)節(jié)組織可根據(jù)自身風(fēng)險(xiǎn)管理范圍風(fēng)險(xiǎn)管理

,,、

語境或所處行業(yè)來確定其風(fēng)險(xiǎn)管理實(shí)施細(xì)節(jié)其現(xiàn)有的方法也可在本文件描述的框架下使用以滿足

。,

風(fēng)險(xiǎn)管理工作的要求

。

表1風(fēng)險(xiǎn)管理過程對(duì)應(yīng)關(guān)系表

本文件

ISO31000:2018GB/T31722—2015ISO/IEC27005:2018

范圍語境準(zhǔn)則語境建立環(huán)境創(chuàng)建語境建立

、、

風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處置

風(fēng)險(xiǎn)接受批準(zhǔn)留存

——

溝通與咨詢風(fēng)險(xiǎn)溝通溝通與咨詢溝通與咨詢

監(jiān)督與評(píng)審風(fēng)險(xiǎn)監(jiān)視與評(píng)審監(jiān)測(cè)與評(píng)審監(jiān)視與評(píng)審

記錄與報(bào)告批準(zhǔn)留存

——

注在本文件的第章對(duì)信息安全風(fēng)險(xiǎn)管理實(shí)施過程的概念工作內(nèi)容等進(jìn)行了詳細(xì)闡述

:9,、。

Ⅳ

GB/T24364—2023

信息安全技術(shù)

信息安全風(fēng)險(xiǎn)管理實(shí)施指南

1范圍

本文件確立了信息安全風(fēng)險(xiǎn)管理的實(shí)施框架描述了信息安全風(fēng)險(xiǎn)管理的原則保障機(jī)制保障措

,、、

施能力和過程提供了每個(gè)管理過程的實(shí)施要點(diǎn)和工作形式

、,。

本文件適用于各類組織開展信息安全風(fēng)險(xiǎn)管理工作

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,