標準解讀

《GB/T 24364-2023 信息安全技術 信息安全風險管理實施指南》相較于《GB/Z 24364-2009 信息安全技術 信息安全風險管理指南》,在內(nèi)容和結(jié)構(gòu)上進行了更新與優(yōu)化,以適應近年來信息技術的發(fā)展以及信息安全領域的新挑戰(zhàn)。具體變化包括但不限于以下幾個方面:

首先,在標準性質(zhì)上,《GB/T 24364-2023》從指導性技術文件(GB/Z)轉(zhuǎn)變?yōu)橥扑]性國家標準(GB/T),這表明其更加側(cè)重于提供可操作性強、實用性高的指導。

其次,新版標準對信息安全風險管理過程進行了更為詳細的描述,增加了更多關于如何有效執(zhí)行風險管理活動的具體步驟和技術細節(jié),例如風險評估方法的選擇、風險處理措施的制定等方面的內(nèi)容得到了加強。

再次,《GB/T 24364-2023》強調(diào)了持續(xù)監(jiān)控與改進的重要性,提出了一套完整的循環(huán)管理框架,涵蓋了風險識別、分析、評價、應對及監(jiān)督等環(huán)節(jié),并鼓勵組織根據(jù)自身情況靈活調(diào)整風險管理策略。

此外,新版本還引入了一些當前熱門的信息安全概念和技術趨勢,如云計算安全、大數(shù)據(jù)安全等領域的風險管理考慮因素,反映了行業(yè)發(fā)展的最新動態(tài)。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2023-05-23 頒布
  • 2023-12-01 實施
?正版授權
GB/T 24364-2023信息安全技術信息安全風險管理實施指南_第1頁
GB/T 24364-2023信息安全技術信息安全風險管理實施指南_第2頁
GB/T 24364-2023信息安全技術信息安全風險管理實施指南_第3頁
GB/T 24364-2023信息安全技術信息安全風險管理實施指南_第4頁
GB/T 24364-2023信息安全技術信息安全風險管理實施指南_第5頁
已閱讀5頁,還剩55頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 24364-2023信息安全技術信息安全風險管理實施指南-免費下載試讀頁

文檔簡介

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T24364—2023

代替GB/Z24364—2009

信息安全技術

信息安全風險管理實施指南

Informationsecuritytechnology—

Implementationguideforinformationsecurityriskmanagement

2023-05-23發(fā)布2023-12-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T24364—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………2

信息安全風險管理實施框架

4……………2

信息安全風險管理原則

5…………………3

分級管理

5.1……………3

全面管理

5.2……………3

動態(tài)調(diào)整

5.3……………3

科學合理

5.4……………3

信息安全風險管理保障機制

6……………4

領導負責制

6.1…………………………4

統(tǒng)籌協(xié)調(diào)機制

6.2………………………4

專家咨詢機制

6.3………………………4

重大風險會商機制

6.4…………………4

信息安全風險管理保障措施

7……………5

人員保障

7.1……………5

制度保障

7.2……………5

經(jīng)費保障

7.3……………5

工具保障

7.4……………5

信息安全風險管理能力

8…………………6

資產(chǎn)識別能力

8.1………………………6

威脅識別能力

8.2………………………6

脆弱性識別能力

8.3……………………6

已有措施有效性評價能力

8.4…………6

風險分析與評價能力

8.5………………7

風險處置能力

8.6………………………7

風險監(jiān)測預警能力

8.7…………………7

風險信息共享能力

8.8…………………8

信息安全風險管理過程

9…………………8

GB/T24364—2023

概述

9.1…………………8

語境建立

9.2……………10

風險評估

9.3……………14

風險處置

9.4……………18

批準留存

9.5……………23

監(jiān)視與評審

9.6…………………………27

溝通與咨詢

9.7…………………………30

附錄資料性文檔輸出

A()………………35

語境建立文檔

A.1……………………35

風險評估文檔

A.2……………………35

風險處置文檔

A.3……………………36

批準留存文檔

A.4……………………37

監(jiān)視與評審文檔

A.5…………………37

溝通與咨詢文檔

A.6…………………37

附錄資料性風險處置實踐示例

B()……………………39

示例

B.1…………………39

風險處置準備

B.2………………………40

風險處置實施

B.3………………………42

風險處置評價

B.4………………………48

參考文獻

……………………51

GB/T24364—2023

前言

本文件按照標準化工作導則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

本文件代替信息安全技術信息安全風險管理指南與

GB/Z24364—2009《》,GB/Z24364—2009

相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術變化如下

,,:

標準對象和范圍由面向信息系統(tǒng)修改為風險管理對象見第章

a)(1);

刪除了可用性保密性完整性風險風險處理的術語和定義見年版的

b)“”“”“”“”“”(20093.1、3.2、

3.4、3.5、3.7);

增加了信息安全風險管理框架增加了風險管理原則保障機制保障措施管理能力等內(nèi)容

c),、、、

見第章

(4);

更改了信息安全風險管理的內(nèi)容和過程見年版的

d)(9.1,20094.2);

更改了語境建立流程引入基本準則確定內(nèi)容等見年版的第章

e),(9.2,20095);

更改了風險評估相關內(nèi)容見年版的第章

f)(9.3,20096);

將監(jiān)控審查改為監(jiān)視與評審并將相關內(nèi)容更改見年版的第章

g),(9.6,20099);

更改了溝通與咨詢相關內(nèi)容見年版的第章

h)(9.7,200910);

刪除了各生命周期階段風險管理內(nèi)容見年版第章第章第章第章第

i)(200911、12、13、14、15

);

更改了風險處置相關內(nèi)容見版的第章

j)(9.2、9.4,20097)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位國家信息中心中國電子科技集團公司第十五研究所北京安信天行科技有限公

:、、

司北京天融信網(wǎng)絡安全技術有限公司中國信息安全測評中心中國網(wǎng)絡安全審查技術與認證中心深

、、、、

信服科技股份有限公司北京信息安全測評中心公安部第一研究所公安部第三研究所北京國信京寧

、、、、

信息安全科技有限公司上海觀安信息技術股份有限公司鄭州輕工業(yè)大學河南農(nóng)業(yè)大學深圳市信息

、、、、

安全管理中心廣州市信息安全測評中心深圳市龍華區(qū)政務服務數(shù)據(jù)管理局深圳華晟九思科技有限

、、、

公司

。

本文件主要起草人祿凱陳永剛趙增振葛曉囡陳青民楊劍劉潤一杜宇鴿陳楊國劉德林

:、、、、、、、、、、

程瑜琦李媛馬江濤李秋香陳盼陳一博張益劉健劉豐任金強王焱張銳卿董安波劉永杰

、、、、、、、、、、、、、、

朱潤酥高杰湯志強朱建興李尚號

、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2009GB/Z24364—2009;

本次為第一次修訂

———。

GB/T24364—2023

引言

目前信息安全風險管理標準主要包括

,:

信息安全技術信息安全風險管理指南

———GB/T24364—2023《》;

工業(yè)控制網(wǎng)絡安全風險評估規(guī)范

———GB/T26333—2010《》;

信息技術安全技術信息安全風險管理

———GB/T31722—2015《》(ISO/IEC27005:2008,IDT);

信息安全技術信息安全風險評估實施指南

———GB/T31509—2015《》;

信息安全技術信息安全風險處理實施指南

———GB/T33132—2016《》;

信息安全技術供應鏈安全風險管理指南

———GB/T36637—2018《ICT》;

信息安全技術信息安全風險評估方法

———GB/T20984—2022《》;

風險管理指南

———ISO31000:2018《》;

信息技術安全技術信息安全風險管理

———ISO/IEC27005:2018《》。

本文件作為信息安全風險管理標準之一在修訂過程中依據(jù)國家信息安全風險管理相關的政策并

,

參考等標準為組織的信息安全風險管理

GB/T31722—2015、ISO31000:2018、ISO/IEC27005:2018,

實施提供了更加具體的指導包括信息安全風險管理的目標原則保障機制保障措施能力和過程等

,、、、、

內(nèi)容表給出了本文件與標準的風險管

,1ISO31000:2018、GB/T31722—2015、ISO/IEC27005:2018

理過程的對應關系

然而本文件不指定信息安全風險管理的特定實施細節(jié)組織可根據(jù)自身風險管理范圍風險管理

,,、

語境或所處行業(yè)來確定其風險管理實施細節(jié)其現(xiàn)有的方法也可在本文件描述的框架下使用以滿足

。,

風險管理工作的要求

。

表1風險管理過程對應關系表

本文件

ISO31000:2018GB/T31722—2015ISO/IEC27005:2018

范圍語境準則語境建立環(huán)境創(chuàng)建語境建立

、、

風險評估風險評估風險評估風險評估

風險處置風險處置風險處置風險處置

風險接受批準留存

——

溝通與咨詢風險溝通溝通與咨詢溝通與咨詢

監(jiān)督與評審風險監(jiān)視與評審監(jiān)測與評審監(jiān)視與評審

記錄與報告批準留存

——

注在本文件的第章對信息安全風險管理實施過程的概念工作內(nèi)容等進行了詳細闡述

:9,、。

GB/T24364—2023

信息安全技術

信息安全風險管理實施指南

1范圍

本文件確立了信息安全風險管理的實施框架描述了信息安全風險管理的原則保障機制保障措

,、、

施能力和過程提供了每個管理過程的實施要點和工作形式

、,。

本文件適用于各類組織開展信息安全風險管理工作

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論