《信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南》

GB/T24364—XXXX

信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程，為信息安全風(fēng)險(xiǎn)管理過(guò)程中不同階段的實(shí)施提供指

導(dǎo)。

本標(biāo)準(zhǔn)適用于指導(dǎo)組織進(jìn)行信息安全風(fēng)險(xiǎn)管理工作。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069信息安全技術(shù)術(shù)語(yǔ)

GB/T33132信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南

GB/T20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

3術(shù)語(yǔ)和定義

GB/T25069、GB/T33132和GB/T20984中界定的和下列術(shù)語(yǔ)和定義適用于本指導(dǎo)性技術(shù)文件。

3.1

信息安全風(fēng)險(xiǎn)informationsecurityrisk

人為或自然的威脅利用風(fēng)險(xiǎn)管理對(duì)象及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組

織造成的影響。

3.2

風(fēng)險(xiǎn)管理riskmanagement

指導(dǎo)和控制組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。

3.3

業(yè)務(wù)business

組織為實(shí)現(xiàn)某項(xiàng)發(fā)展戰(zhàn)略而開(kāi)展的運(yùn)營(yíng)活動(dòng)。

注：該活動(dòng)具有明確的目標(biāo)，并延續(xù)一段時(shí)間。

3.4

風(fēng)險(xiǎn)處理riskprocess

選擇并且執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程。

4信息安全風(fēng)險(xiǎn)管理概述

1

GB/T24364—XXXX

4.1信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象

信息安全的概念涵蓋了信息、信息載體和信息環(huán)境3個(gè)方面的安全。信息指系統(tǒng)中采集、處理、存

儲(chǔ)的數(shù)據(jù)和文件等內(nèi)容；信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實(shí)體；信

息環(huán)境指信息及信息載體所處的環(huán)境，包括物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)等硬環(huán)境和軟環(huán)

境。

信息安全風(fēng)險(xiǎn)管理是基于風(fēng)險(xiǎn)的信息安全管理，也就是，始終以風(fēng)險(xiǎn)為主線(xiàn)進(jìn)行信息安全的管理。

從概念上講，信息安全風(fēng)險(xiǎn)管理應(yīng)該涉及信息安全上述3個(gè)方面（信息、信息載體和信息環(huán)境）中包含

的所有相關(guān)對(duì)象。然而對(duì)于風(fēng)險(xiǎn)管理對(duì)象，信息安全風(fēng)險(xiǎn)管理可能主要涉及風(fēng)險(xiǎn)管理對(duì)象的關(guān)鍵和敏感

部分。因此，根據(jù)實(shí)際組織的不同，信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn)，即風(fēng)險(xiǎn)管理選擇的范圍和對(duì)象重點(diǎn)應(yīng)

有所不同。

4.2信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程

信息安全風(fēng)險(xiǎn)管理包括背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)留存、監(jiān)視評(píng)審和溝通咨詢(xún)6個(gè)方面

的內(nèi)容。背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和批準(zhǔn)留存是信息安全風(fēng)險(xiǎn)管理的4個(gè)基本步驟，監(jiān)視評(píng)審和

溝通咨詢(xún)則貫穿于這4個(gè)基本步驟中，如圖1所示。

圖1信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程

第一步驟是背景建立，確定風(fēng)險(xiǎn)管理的對(duì)象和范圍，確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)

查和分析。第二步驟是風(fēng)險(xiǎn)評(píng)估，針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)價(jià)。第三

步驟是風(fēng)險(xiǎn)處理，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇并執(zhí)行合適的安全措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程。第四步驟是批

準(zhǔn)留存，機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果是否滿(mǎn)足風(fēng)險(xiǎn)管理對(duì)象的安全要求，做出是否認(rèn)

可風(fēng)險(xiǎn)管理活動(dòng)的決定，并將結(jié)果留存。當(dāng)風(fēng)險(xiǎn)管理對(duì)象的業(yè)務(wù)目標(biāo)和特性發(fā)生變化或面臨新的風(fēng)險(xiǎn)時(shí)，

需要再次進(jìn)入上述4個(gè)步驟，形成新的一次循環(huán)。監(jiān)視評(píng)審包括對(duì)上述４個(gè)主體步驟的監(jiān)視和評(píng)審。監(jiān)

視是定期或不定期對(duì)風(fēng)險(xiǎn)管理過(guò)程的運(yùn)行情況進(jìn)行查看，了解風(fēng)險(xiǎn)管理過(guò)程的執(zhí)行情況，評(píng)審是對(duì)監(jiān)視

的結(jié)果進(jìn)行分析和評(píng)價(jià)，從而確定風(fēng)險(xiǎn)管理過(guò)程的有效性。溝通咨詢(xún)?yōu)樯鲜觯磦€(gè)步驟中相關(guān)方提供溝通

和咨詢(xún)。溝通咨詢(xún)是通過(guò)相關(guān)方之間交換和/或共享關(guān)于風(fēng)險(xiǎn)的信息，就如何管理風(fēng)險(xiǎn)達(dá)成一致的活動(dòng)。

咨詢(xún)是在相關(guān)方需要時(shí)為其提供學(xué)習(xí)途徑，以保持參與人員之間的協(xié)調(diào)一致，共同實(shí)現(xiàn)安全目標(biāo)。咨詢(xún)

是為所有相關(guān)方提供學(xué)習(xí)途徑，以提高風(fēng)險(xiǎn)意識(shí)、知識(shí)和技能，配合實(shí)現(xiàn)安全目標(biāo)。背景建立、風(fēng)險(xiǎn)評(píng)

估、風(fēng)險(xiǎn)處理、批準(zhǔn)留存、監(jiān)視評(píng)審、溝通咨詢(xún)構(gòu)成了一個(gè)螺旋式上升的循環(huán)，使得風(fēng)險(xiǎn)管理對(duì)象在自

身和環(huán)境的變化中能夠不斷應(yīng)對(duì)新的安全需求和風(fēng)險(xiǎn)。

在本標(biāo)準(zhǔn)的第5章到第10章，對(duì)信息安全風(fēng)險(xiǎn)管理實(shí)施過(guò)程上述6個(gè)步驟的概念、過(guò)程、工作內(nèi)容、

輸出文檔等進(jìn)行了闡述。

2

GB/T24364—XXXX

4.3信息安全風(fēng)險(xiǎn)管理目標(biāo)

信息安全風(fēng)險(xiǎn)管理目標(biāo)是通過(guò)信息安全風(fēng)險(xiǎn)管理手段來(lái)實(shí)現(xiàn)風(fēng)險(xiǎn)管理對(duì)象的基本安全屬性（即信息

安全基本屬性），信息安全基本屬性包括保密性、完整性、可用性、真實(shí)性和抗抵賴(lài)性等。

4.4信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任

信息安全風(fēng)險(xiǎn)管理是基于風(fēng)險(xiǎn)的信息安全管理。因此，信息安全風(fēng)險(xiǎn)管理涉及人員，既包括信息安

全風(fēng)險(xiǎn)管理的直接參與人員，也包括風(fēng)險(xiǎn)管理對(duì)象的相關(guān)人員。表１對(duì)信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角

色和責(zé)任進(jìn)行了歸納和分類(lèi)。

表1信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任

風(fēng)險(xiǎn)管理對(duì)象信息安全風(fēng)險(xiǎn)管理

層面

角色內(nèi)外部責(zé)任角色內(nèi)外部責(zé)任

負(fù)責(zé)風(fēng)險(xiǎn)管理對(duì)象的重大決負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的重大

決策層決策人員內(nèi)決策人員內(nèi)

策和總體規(guī)范決策、總體規(guī)劃和批準(zhǔn)留存

負(fù)責(zé)風(fēng)險(xiǎn)管理對(duì)象各方面的負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理各過(guò)程

管理層管理人員內(nèi)管理人員內(nèi)

管理、組織和協(xié)調(diào)中的管理、組織和協(xié)調(diào)

規(guī)劃設(shè)計(jì)負(fù)責(zé)風(fēng)險(xiǎn)管理對(duì)象的規(guī)劃和

內(nèi)或外

人員設(shè)計(jì)

負(fù)責(zé)風(fēng)險(xiǎn)管理對(duì)象的建設(shè)和

建設(shè)人員內(nèi)或外

實(shí)施負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的具體

執(zhí)行人員內(nèi)或外

負(fù)責(zé)風(fēng)險(xiǎn)管理對(duì)象的日常運(yùn)規(guī)劃、設(shè)計(jì)和實(shí)施

執(zhí)行層運(yùn)行人員內(nèi)

行和操作

負(fù)責(zé)風(fēng)險(xiǎn)管理對(duì)象的日常維

維護(hù)人員內(nèi)或外

護(hù)，包括維修和升級(jí)

負(fù)責(zé)風(fēng)險(xiǎn)管理對(duì)象的監(jiān)視和負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理過(guò)程、

監(jiān)控人員內(nèi)監(jiān)控人員內(nèi)

控制成本和結(jié)果的監(jiān)視和控制

為風(fēng)險(xiǎn)管理對(duì)象提供專(zhuān)業(yè)技為信息安全風(fēng)險(xiǎn)管理提供專(zhuān)業(yè)

支持層支持人員外術(shù)支持，包括咨詢(xún)、培訓(xùn)、測(cè)支持人員外技術(shù)支持，包括咨詢(xún)、培訓(xùn)、

評(píng)和工具定制等服務(wù)測(cè)評(píng)和工具定制等服務(wù)

遵循信息安全風(fēng)險(xiǎn)管理的原則

利用風(fēng)險(xiǎn)管理對(duì)象完成自身

用戶(hù)層使用人員內(nèi)或外使用人員內(nèi)或外和過(guò)程使用風(fēng)險(xiǎn)管理對(duì)象，并

的任務(wù)

反饋信息安全風(fēng)險(xiǎn)管理的效果

5背景建立

5.1背景建立概述

5.1.1背景建立的概念

背景建立是信息安全風(fēng)險(xiǎn)管理的第一步驟，確定風(fēng)險(xiǎn)管理的對(duì)象和范圍，確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備，

進(jìn)行相關(guān)信息的調(diào)查和分析。

3

GB/T24364—XXXX

5.1.2背景建立的目的

背景建立是為了明確信息安全風(fēng)險(xiǎn)管理的范圍和對(duì)象，以及對(duì)象的特性和安全要求，對(duì)信息安全風(fēng)

險(xiǎn)管理項(xiàng)目進(jìn)行規(guī)劃和準(zhǔn)備，保障后續(xù)的風(fēng)險(xiǎn)管理活動(dòng)順利進(jìn)行。

5.1.3背景建立的依據(jù)

國(guó)家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)以及風(fēng)險(xiǎn)管理對(duì)象的業(yè)務(wù)目標(biāo)、特性、外部和內(nèi)

部環(huán)境都是背景建立的必要依據(jù)。

5.2背景建立過(guò)程

背景建立的過(guò)程包括風(fēng)險(xiǎn)管理準(zhǔn)備、風(fēng)險(xiǎn)管理對(duì)象調(diào)查與分析、信息安全要求分析、基本原則、實(shí)

施規(guī)劃確立5個(gè)階段。在信息安全風(fēng)險(xiǎn)管理過(guò)程中，背景建立過(guò)程是一次信息安全風(fēng)險(xiǎn)管理主循環(huán)的起

始，為風(fēng)險(xiǎn)評(píng)估提供輸入，監(jiān)視評(píng)審和溝通咨詢(xún)貫穿其5個(gè)階段，如圖2所示。

圖2背景建立過(guò)程及其在信息安全風(fēng)險(xiǎn)管理中的位置

5.2.1風(fēng)險(xiǎn)管理準(zhǔn)備

如圖3所示，風(fēng)險(xiǎn)管理準(zhǔn)備階段的工作過(guò)程和內(nèi)容如下：

a)確定風(fēng)險(xiǎn)管理范圍和邊界，以確保在風(fēng)險(xiǎn)管理中考慮所有相關(guān)業(yè)務(wù)、資產(chǎn)。此外，需要識(shí)別邊

界以解決通過(guò)這些邊界可能產(chǎn)生的風(fēng)險(xiǎn)。

收集有關(guān)組織的信息，以確定其所處的環(huán)境及其與信息安全風(fēng)險(xiǎn)管理過(guò)程的相關(guān)性。

當(dāng)定義范圍和邊界時(shí)，組織宜考慮以下信息：

1)組織的戰(zhàn)略業(yè)務(wù)目標(biāo)、戰(zhàn)略和方針；

2)國(guó)家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)的規(guī)定

4

GB/T24364—XXXX

3)業(yè)務(wù)流程；

4)組織的職能和結(jié)構(gòu)；

5)組織的信息安全方針；

6)組織對(duì)風(fēng)險(xiǎn)管理的總體方法；

7)信息資產(chǎn)；

8)組織的地點(diǎn)及其地理特征；

9)影響組織的制約因素；

10)利益相關(guān)者的期望；

11)社會(huì)文化環(huán)境

12)接口（即與環(huán)境的信息交流）

b)確定信息安全風(fēng)險(xiǎn)管理的目標(biāo),包括：

1)支持信息安全管理；

2)守法和盡職的調(diào)查證據(jù)；

3)制定業(yè)務(wù)連續(xù)性計(jì)劃；

4)制定事故應(yīng)急預(yù)案；

5)描述產(chǎn)品、服務(wù)或機(jī)制的信息安全要求。

c)總體規(guī)劃。制定風(fēng)險(xiǎn)管理總體規(guī)劃，包括風(fēng)險(xiǎn)管理的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、

經(jīng)費(fèi)預(yù)估和初步進(jìn)度安排等。

d)獲得批準(zhǔn)。上述所有內(nèi)容確定后，風(fēng)險(xiǎn)管理總體規(guī)劃應(yīng)得到組織最高管理者的支持和批準(zhǔn)；由

決策層對(duì)管理層和執(zhí)行層進(jìn)行傳達(dá)。

圖3風(fēng)險(xiǎn)管理準(zhǔn)備階段的過(guò)程及其輸入輸出

5.2.2調(diào)查與分析

如圖4所示，風(fēng)險(xiǎn)管理對(duì)象調(diào)查階段的工作過(guò)程和內(nèi)容如下：

a)調(diào)查機(jī)構(gòu)使命及目標(biāo)。了解機(jī)構(gòu)的使命，包括戰(zhàn)略背景和戰(zhàn)略目標(biāo)等，從中明確支持機(jī)構(gòu)完成

其使命的風(fēng)險(xiǎn)管理對(duì)象的業(yè)務(wù)目標(biāo)。

b)調(diào)查法律法規(guī)及監(jiān)管要求等。了解與企業(yè)業(yè)務(wù)相關(guān)的國(guó)家、地區(qū)或行業(yè)的相關(guān)政策、法律、法

規(guī)和標(biāo)準(zhǔn)的規(guī)定。

5

GB/T24364—XXXX

c)調(diào)查業(yè)務(wù)特性。了解機(jī)構(gòu)的業(yè)務(wù)，包括業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程等，從中明確支持機(jī)構(gòu)業(yè)務(wù)運(yùn)營(yíng)的

風(fēng)險(xiǎn)管理對(duì)象的業(yè)務(wù)特性、可能涉及的信息資產(chǎn)及載體類(lèi)別。

d)調(diào)查外部環(huán)境。組織的地點(diǎn)及其地理特征，企業(yè)外部利益相關(guān)者的期望，影響組織的制約因素。

e)匯總上述調(diào)查結(jié)果，形成描述報(bào)告，其中包含機(jī)構(gòu)使命及目標(biāo)、法律法規(guī)監(jiān)管要求、業(yè)務(wù)特性、

外部環(huán)境和內(nèi)部環(huán)境等方面的內(nèi)容。

調(diào)查方式包括問(wèn)卷回答、人員訪(fǎng)談、現(xiàn)場(chǎng)考察、輔助工具等多種形式，可以根據(jù)實(shí)際情況靈活采用

和結(jié)合使用。

圖4風(fēng)險(xiǎn)管理對(duì)象調(diào)查階段的過(guò)程及其輸入輸出

5.2.3信息安全分析

如圖5所示，信息安全分析階段的工作過(guò)程和內(nèi)容如下：

a)分析風(fēng)險(xiǎn)管理對(duì)象的安全環(huán)境。依據(jù)國(guó)家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)，考慮

合作伙伴的合同要求，對(duì)風(fēng)險(xiǎn)管理對(duì)象的安全保障環(huán)境進(jìn)行分析，明確環(huán)境因素對(duì)風(fēng)險(xiǎn)管理對(duì)

象安全方面的影響和要求。

b)分析風(fēng)險(xiǎn)管理對(duì)象的安全要求。依據(jù)風(fēng)險(xiǎn)管理對(duì)象的描述報(bào)告和風(fēng)險(xiǎn)管理對(duì)象的分析報(bào)告，結(jié)

合上述安全環(huán)境的分析結(jié)果，分析和提出對(duì)風(fēng)險(xiǎn)管理對(duì)象的安全要求，包括保護(hù)范圍、保護(hù)等

級(jí)以及與相關(guān)法律法規(guī)或行業(yè)標(biāo)準(zhǔn)的符合性要求等。

c)匯總上述分析結(jié)果，形成風(fēng)險(xiǎn)管理對(duì)象的安全要求分析報(bào)告，其中包含風(fēng)險(xiǎn)管理對(duì)象的安全環(huán)

境和安全要求等方面的內(nèi)容。

6

GB/T24364—XXXX

圖5信息安全分析階段的過(guò)程及其輸入輸出

5.2.4基本原則確立

a)風(fēng)險(xiǎn)管理方法

根據(jù)風(fēng)險(xiǎn)管理的范圍和目標(biāo)，可以采用不同的方法。該方法對(duì)于每次迭代也可以是不同的。

b)風(fēng)險(xiǎn)管理準(zhǔn)則

選擇或設(shè)置適合當(dāng)前風(fēng)險(xiǎn)管理對(duì)象的風(fēng)險(xiǎn)管理準(zhǔn)則，應(yīng)與風(fēng)險(xiǎn)管理框架相一致，并根據(jù)具體活動(dòng)的

目的和范圍進(jìn)行針對(duì)性設(shè)計(jì)。風(fēng)險(xiǎn)準(zhǔn)則還應(yīng)反映組織的價(jià)值觀(guān)、目標(biāo)和資源，并與風(fēng)險(xiǎn)管理的政策和聲

明保持一致。根據(jù)組織的義務(wù)和利益相關(guān)方的考慮來(lái)定義準(zhǔn)則。

5.2.5實(shí)施規(guī)劃

a)組建風(fēng)險(xiǎn)管理團(tuán)隊(duì)。組建風(fēng)險(xiǎn)管理團(tuán)隊(duì)，確定子團(tuán)隊(duì)類(lèi)別、分工、職責(zé)，例如一般分為總體規(guī)

劃組、風(fēng)險(xiǎn)評(píng)估組、風(fēng)險(xiǎn)處理組、監(jiān)視評(píng)審組等，在組織范圍就風(fēng)險(xiǎn)管理相關(guān)內(nèi)容進(jìn)行培訓(xùn)，

以明確各子團(tuán)隊(duì)在風(fēng)險(xiǎn)管理中的任務(wù)。

b)制定詳細(xì)的實(shí)施規(guī)劃，包括：

1)實(shí)施團(tuán)隊(duì)架構(gòu)，各團(tuán)隊(duì)負(fù)責(zé)人，可能涉及的部門(mén)；

2)每個(gè)階段的時(shí)間、涉及地點(diǎn)、具體包含和除外的內(nèi)容；

3)各階段負(fù)責(zé)人、入口及出口標(biāo)準(zhǔn)，預(yù)期在每一步流程中取得的成果；

4)需要的資源、責(zé)任和記錄；

5)預(yù)算；

6)對(duì)過(guò)程實(shí)施監(jiān)控，監(jiān)控內(nèi)容及規(guī)則；

7)實(shí)施過(guò)程需要遵守的原則、最終完成標(biāo)準(zhǔn)等。

6風(fēng)險(xiǎn)評(píng)估

6.1風(fēng)險(xiǎn)評(píng)估概述

6.1.1風(fēng)險(xiǎn)評(píng)估的概念

風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的第二步驟，針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析

和評(píng)價(jià)。

7

GB/T24364—XXXX

本章僅對(duì)風(fēng)險(xiǎn)評(píng)估作框架性說(shuō)明，詳細(xì)內(nèi)容可見(jiàn)GB/T20984。

6.1.2風(fēng)險(xiǎn)評(píng)估的目的

信息安全風(fēng)險(xiǎn)管理要依靠風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)確定隨后的風(fēng)險(xiǎn)處理和批準(zhǔn)留存活動(dòng)。風(fēng)險(xiǎn)評(píng)估使得組

織能夠準(zhǔn)確定位風(fēng)險(xiǎn)管理的策略、實(shí)踐和工具，能夠?qū)踩顒?dòng)的重點(diǎn)放在重要的問(wèn)題上，能夠選擇成

本效益合理的和適用的安全對(duì)策。基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理方法被實(shí)踐證明是有效的和實(shí)用的，已被廣

泛應(yīng)用于各個(gè)領(lǐng)域。

6.1.3風(fēng)險(xiǎn)評(píng)估的作用范圍

風(fēng)險(xiǎn)評(píng)估只是為信息安全活動(dòng)提供一個(gè)方向，并不會(huì)導(dǎo)致重大的信息安全改進(jìn)。不管評(píng)估方法有多

詳細(xì)和多專(zhuān)業(yè)，也只能描述風(fēng)險(xiǎn)狀態(tài)，而不會(huì)改進(jìn)組織的安全狀態(tài)。組織只有利用評(píng)估結(jié)果持續(xù)地進(jìn)行

改進(jìn)活動(dòng)，實(shí)現(xiàn)風(fēng)險(xiǎn)有效管理，才能使組織的安全狀態(tài)得到改善。

6.2風(fēng)險(xiǎn)評(píng)估過(guò)程

風(fēng)險(xiǎn)評(píng)估的過(guò)程包括風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)４個(gè)階段。在信息安全風(fēng)

險(xiǎn)管理過(guò)程中，接受背景建立的輸出，為風(fēng)險(xiǎn)處理提供輸入，監(jiān)視評(píng)審和溝通咨詢(xún)貫穿其４個(gè)階段，如

圖6所示。

圖6風(fēng)險(xiǎn)評(píng)估過(guò)程及其在信息安全風(fēng)險(xiǎn)管理中的位置

6.2.1風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

如圖7所示，風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段的工作過(guò)程和內(nèi)容如下：

8

GB/T24364—XXXX

a)制定風(fēng)險(xiǎn)評(píng)估計(jì)劃。依據(jù)背景建立輸出的文檔，制定風(fēng)險(xiǎn)評(píng)估的實(shí)施計(jì)劃，包括風(fēng)險(xiǎn)評(píng)估的目

的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等，形成風(fēng)險(xiǎn)評(píng)估計(jì)劃書(shū)。風(fēng)險(xiǎn)評(píng)估

計(jì)劃書(shū)需要得到風(fēng)險(xiǎn)管理對(duì)象和信息安全風(fēng)險(xiǎn)管理決策層的認(rèn)可和批準(zhǔn)。

b)選擇風(fēng)險(xiǎn)評(píng)估方法和工具。依據(jù)背景建立輸出的文檔以及風(fēng)險(xiǎn)評(píng)估計(jì)劃，從現(xiàn)有風(fēng)險(xiǎn)評(píng)估方法

和工具庫(kù)中選擇合適的風(fēng)險(xiǎn)評(píng)估方法和工具，形成入選風(fēng)險(xiǎn)評(píng)估方法和工具列表。

c)制定風(fēng)險(xiǎn)評(píng)估方案。依據(jù)背景建立輸出的文檔，整合風(fēng)險(xiǎn)評(píng)估計(jì)劃書(shū)、風(fēng)險(xiǎn)評(píng)估方法和工具列

表，確定風(fēng)險(xiǎn)評(píng)估的實(shí)施方案，包括風(fēng)險(xiǎn)評(píng)估的工作過(guò)程、輸入數(shù)據(jù)和輸出結(jié)果等，形成風(fēng)險(xiǎn)

評(píng)估方案。風(fēng)險(xiǎn)評(píng)估方案需要得到風(fēng)險(xiǎn)管理對(duì)象和信息安全風(fēng)險(xiǎn)管理管理層的認(rèn)可和批準(zhǔn)。

圖7風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段的過(guò)程及其輸入輸出

6.2.2風(fēng)險(xiǎn)要素識(shí)別

如圖8所示，風(fēng)險(xiǎn)識(shí)要素別階段的工作過(guò)程和內(nèi)容如下：

a)識(shí)別業(yè)務(wù)重要性并賦值。依據(jù)背景建立輸出的文檔，選擇適當(dāng)?shù)淖R(shí)別方法，對(duì)風(fēng)險(xiǎn)管理對(duì)象相

關(guān)業(yè)務(wù)的屬性、定位、完整性和關(guān)聯(lián)性識(shí)別，確定業(yè)務(wù)的重要性級(jí)別，形成業(yè)務(wù)重要性清單。

b)識(shí)別需要保護(hù)的資產(chǎn)并賦值。依據(jù)背景建立輸出的文檔，選擇適當(dāng)?shù)馁Y產(chǎn)識(shí)別方法，識(shí)別對(duì)組

織使命具有關(guān)鍵和重要作用的需要評(píng)估的資產(chǎn)，并確定資產(chǎn)的重要性級(jí)別，形成需要保護(hù)的資

產(chǎn)清單。

c)識(shí)別面臨的威脅并賦值。依據(jù)背景建立輸出的文檔，參照威脅庫(kù)，選擇適當(dāng)?shù)耐{識(shí)別方法，

識(shí)別組織的信息資產(chǎn)面臨的威脅，并確定威脅的屬性等級(jí)，可參考的威脅屬性包括威脅的來(lái)源、

種類(lèi)、動(dòng)機(jī)、時(shí)機(jī)和頻率等，形成面臨的威脅列表。威脅庫(kù)是有關(guān)威脅的外部共享數(shù)據(jù)和內(nèi)部

歷史數(shù)據(jù)的匯集。

d)識(shí)別存在的脆弱性并賦值。依據(jù)背景建立輸出的文檔，參照漏洞庫(kù)，選擇適當(dāng)?shù)拇嗳跣宰R(shí)別方

法，識(shí)別組織在資產(chǎn)、應(yīng)用、業(yè)務(wù)上存在的脆弱性，并確定脆弱性的屬性等級(jí)，可參考的脆弱

性屬性包括脆弱性被利用程度、脆弱性嚴(yán)重程度等，形成存在的脆弱性列表。漏洞庫(kù)是有關(guān)脆

弱性／漏洞的外部共享數(shù)據(jù)和內(nèi)部歷史數(shù)據(jù)的匯集。

a)確認(rèn)已有的安全措施。依據(jù)背景建立輸出的文檔，即風(fēng)險(xiǎn)管理對(duì)象的描述報(bào)告、風(fēng)險(xiǎn)管理對(duì)象

的分析報(bào)告和風(fēng)險(xiǎn)管理對(duì)象的安全要求報(bào)告，確認(rèn)已有的安全措施，包括技術(shù)層面（即物理平

9

GB/T24364—XXXX

臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）的安全功能、組織層面（即結(jié)構(gòu)、崗位和人員）的安全

控制和管理層面（即策略、規(guī)章和制度）的安全對(duì)策，形成已有安全措施列表。

風(fēng)險(xiǎn)要素的識(shí)別方式包括文檔審查、人員訪(fǎng)談、現(xiàn)場(chǎng)考察、輔助工具等多種形式，可以根據(jù)實(shí)際情

況靈活采用和結(jié)合使用。

圖8風(fēng)險(xiǎn)要素識(shí)別階段的過(guò)程及其輸入輸出

6.2.3風(fēng)險(xiǎn)分析

如圖9所示，風(fēng)險(xiǎn)程度分析階段的工作過(guò)程和內(nèi)容如下：

a)分析安全事件發(fā)生的可能性。依據(jù)面臨的威脅列表和存在的脆弱性列表，根據(jù)威脅屬性（威脅

發(fā)生頻率、威脅能力程度等）及脆弱性屬性（脆弱性被利用程度等），計(jì)算威脅利用脆弱性導(dǎo)

致安全事件發(fā)生的可能性。

b)分析安全事件造成的損失。依據(jù)存在的脆弱性列表和需要保護(hù)的資產(chǎn)列表，根據(jù)業(yè)務(wù)屬性（業(yè)

務(wù)重要性程度等）、資產(chǎn)屬性（資產(chǎn)重要性程度等）及脆弱性屬性（脆弱性嚴(yán)重程度等），計(jì)

算安全事件一旦發(fā)生后造成的損失。

c)實(shí)施風(fēng)險(xiǎn)計(jì)算。根據(jù)計(jì)算出的安全事件的可能性以及安全事件造成的損失，評(píng)估者可根據(jù)自身

情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法實(shí)施風(fēng)險(xiǎn)計(jì)算，形成資產(chǎn)風(fēng)險(xiǎn)列表。風(fēng)險(xiǎn)評(píng)估算法庫(kù)是各種風(fēng)險(xiǎn)

評(píng)估算法的匯集，包括公認(rèn)算法和自創(chuàng)算法。

10

GB/T24364—XXXX

圖9風(fēng)險(xiǎn)分析階段的過(guò)程及其輸入輸出

6.2.4風(fēng)險(xiǎn)評(píng)價(jià)

如圖10所示，風(fēng)險(xiǎn)評(píng)價(jià)階段的工作過(guò)程和內(nèi)容如下：

a)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則建立。在考慮國(guó)家法律法規(guī)要求及行業(yè)背景和特點(diǎn)的基礎(chǔ)上，建立風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則，

以實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理。

b)評(píng)價(jià)資產(chǎn)風(fēng)險(xiǎn)的等級(jí)。依據(jù)資產(chǎn)風(fēng)險(xiǎn)計(jì)算報(bào)告，根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)

值范圍，并對(duì)所有資產(chǎn)風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理，形成資產(chǎn)風(fēng)險(xiǎn)程度等級(jí)列表。

c)評(píng)價(jià)業(yè)務(wù)風(fēng)險(xiǎn)的等級(jí)。依據(jù)資產(chǎn)風(fēng)險(xiǎn)等級(jí)列表，根據(jù)業(yè)務(wù)所涵蓋的資產(chǎn)風(fēng)險(xiǎn)綜合計(jì)算得出業(yè)務(wù)

風(fēng)險(xiǎn)值，并根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則對(duì)風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理，形成業(yè)務(wù)風(fēng)險(xiǎn)程度等級(jí)列表。

d)綜合評(píng)價(jià)風(fēng)險(xiǎn)狀況。匯總各項(xiàng)輸出文檔和風(fēng)險(xiǎn)程度等級(jí)列表，綜合評(píng)價(jià)風(fēng)險(xiǎn)狀況，形成風(fēng)險(xiǎn)評(píng)

估報(bào)告。

e)形成風(fēng)險(xiǎn)評(píng)估記錄。匯總風(fēng)險(xiǎn)評(píng)估過(guò)程中的各種現(xiàn)場(chǎng)記錄和問(wèn)題，后期可作為復(fù)現(xiàn)評(píng)估過(guò)程，

以作為產(chǎn)生歧義后解決問(wèn)題的依據(jù)。

評(píng)價(jià)等級(jí)級(jí)數(shù)可以根據(jù)評(píng)價(jià)對(duì)象的特性和實(shí)際評(píng)估的需要而定，如〈高、中、低〉３級(jí)，〈很高、

較高、中等、較低、很低〉５級(jí)等。

11

GB/T24364—XXXX

圖10風(fēng)險(xiǎn)評(píng)價(jià)階段的過(guò)程及其輸入輸出

7風(fēng)險(xiǎn)處理

7.1風(fēng)險(xiǎn)處理概述

7.1.1風(fēng)險(xiǎn)處理的概念

風(fēng)險(xiǎn)處理是信息安全風(fēng)險(xiǎn)管理的第３步驟，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇并執(zhí)行合適的安全措施來(lái)更

改風(fēng)險(xiǎn)的過(guò)程。

本章僅對(duì)風(fēng)險(xiǎn)處理作框架性說(shuō)明，詳細(xì)內(nèi)容可見(jiàn)GB/T33132。

7.1.2風(fēng)險(xiǎn)處理的目的

風(fēng)險(xiǎn)處理的目的是依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，針對(duì)不同類(lèi)型、不同規(guī)模、不同概率的風(fēng)險(xiǎn)，采取相應(yīng)的

對(duì)策、措施或方法，使風(fēng)險(xiǎn)損失對(duì)組織、業(yè)務(wù)或風(fēng)險(xiǎn)管理對(duì)象的影響降到最小限度。

7.1.3風(fēng)險(xiǎn)處理的原則

依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，根據(jù)可接受的處置成本，遵循適度接受原則；排列風(fēng)險(xiǎn)優(yōu)先級(jí)列表，選擇并按

計(jì)劃執(zhí)行控制措施，遵循最佳收益原則；結(jié)合風(fēng)險(xiǎn)管理對(duì)象，不斷優(yōu)化風(fēng)險(xiǎn)處理過(guò)程，遵循高效原則；

支撐業(yè)務(wù)流程，持續(xù)監(jiān)控關(guān)注風(fēng)險(xiǎn)動(dòng)態(tài)，遵循可控原則；依據(jù)國(guó)家、行業(yè)主管部門(mén)或組織特殊安全要求

的風(fēng)險(xiǎn)處理，遵循合規(guī)原則。

7.1.4風(fēng)險(xiǎn)處理的方式

風(fēng)險(xiǎn)處理方式主要包括風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)消減和風(fēng)險(xiǎn)接受４種方式。

a)風(fēng)險(xiǎn)規(guī)避：可能的情況下停止有風(fēng)險(xiǎn)的活動(dòng)，消除風(fēng)險(xiǎn)源頭或通過(guò)不使用存在風(fēng)險(xiǎn)的資產(chǎn)避免

風(fēng)險(xiǎn)的發(fā)生。

12

GB/T24364—XXXX

b)風(fēng)險(xiǎn)轉(zhuǎn)移：通過(guò)將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更安全的地方，或者轉(zhuǎn)移給能有效管理特定

風(fēng)險(xiǎn)的另一方，來(lái)改變風(fēng)險(xiǎn)發(fā)生的可能或風(fēng)險(xiǎn)發(fā)生的后果，也可采用購(gòu)買(mǎi)保險(xiǎn)、分包合作的方

式分擔(dān)風(fēng)險(xiǎn)。

c)風(fēng)險(xiǎn)消減：通過(guò)對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來(lái)降低風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)再被評(píng)估時(shí)能達(dá)到可

接受的級(jí)別。可以從構(gòu)成風(fēng)險(xiǎn)的５個(gè)方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）采取

保護(hù)措施來(lái)降低風(fēng)險(xiǎn)。

d)風(fēng)險(xiǎn)接受：在明顯滿(mǎn)足組織發(fā)展戰(zhàn)略和業(yè)務(wù)安全發(fā)展的條件下，有意識(shí)地、客觀(guān)地選擇對(duì)風(fēng)險(xiǎn)

不采取進(jìn)一步的處理措施，接受風(fēng)險(xiǎn)可能帶來(lái)的結(jié)果。

7.2風(fēng)險(xiǎn)處理過(guò)程

風(fēng)險(xiǎn)處理的過(guò)程包括風(fēng)險(xiǎn)處理準(zhǔn)備、風(fēng)險(xiǎn)處理設(shè)施、風(fēng)險(xiǎn)處理效果評(píng)價(jià)三個(gè)階段。

第一個(gè)階段風(fēng)險(xiǎn)處理準(zhǔn)備，可包括確定風(fēng)險(xiǎn)處理范圍目標(biāo)，明確風(fēng)險(xiǎn)處理可接受準(zhǔn)則、選擇風(fēng)險(xiǎn)處

理方式，明確風(fēng)險(xiǎn)處理資源和制定風(fēng)險(xiǎn)處理計(jì)劃并得到管理層批準(zhǔn)等活動(dòng)；第二個(gè)階段風(fēng)險(xiǎn)處理實(shí)施，

可包括準(zhǔn)備風(fēng)險(xiǎn)處理備選措施、成本效益和殘余風(fēng)險(xiǎn)分析、處理措施風(fēng)險(xiǎn)分析及制定應(yīng)急計(jì)劃、確定風(fēng)

險(xiǎn)處理方式和措施、編制風(fēng)險(xiǎn)處理方案、風(fēng)險(xiǎn)處理措施測(cè)試、實(shí)施風(fēng)險(xiǎn)處理措施和編制風(fēng)險(xiǎn)處理報(bào)告等

活動(dòng)；第三個(gè)階段風(fēng)險(xiǎn)處理效果評(píng)價(jià)，可包括制定評(píng)價(jià)原則和方案、開(kāi)展評(píng)價(jià)實(shí)施工作、殘余風(fēng)險(xiǎn)接受

聲明和編制持續(xù)改進(jìn)方案等活動(dòng)。

風(fēng)險(xiǎn)處理工作是持續(xù)性的活動(dòng)，當(dāng)風(fēng)險(xiǎn)處理對(duì)象的政策環(huán)境、業(yè)務(wù)目標(biāo)、安全目標(biāo)和特性發(fā)生變化

時(shí)，需要再次進(jìn)入上述步驟。風(fēng)險(xiǎn)處理在信息安全風(fēng)險(xiǎn)管理過(guò)程中，接受風(fēng)險(xiǎn)評(píng)估的輸出，為批準(zhǔn)留存

提供輸入，監(jiān)視評(píng)審和溝通咨詢(xún)貫穿其各個(gè)階段，如圖11所示。

圖11風(fēng)險(xiǎn)處理過(guò)程及其在信息安全風(fēng)險(xiǎn)管理中的位置

7.2.1風(fēng)險(xiǎn)處理準(zhǔn)備

13

GB/T24364—XXXX

如圖12所示，風(fēng)險(xiǎn)處理準(zhǔn)備的工作過(guò)程和內(nèi)容如下：

a)確定風(fēng)險(xiǎn)處理范圍目標(biāo)。依據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告，確定可處理的風(fēng)險(xiǎn)范圍和目標(biāo)，即把風(fēng)險(xiǎn)評(píng)估得

出的風(fēng)險(xiǎn)等級(jí)劃分為可接受和不可接受兩種，形成風(fēng)險(xiǎn)接受等級(jí)劃分表，例如分成治理層的組

織戰(zhàn)略風(fēng)險(xiǎn)、管理層的業(yè)務(wù)過(guò)程風(fēng)險(xiǎn)、執(zhí)行層的系統(tǒng)風(fēng)險(xiǎn)。

b)明確風(fēng)險(xiǎn)處理可接受準(zhǔn)則。根據(jù)被評(píng)估對(duì)象風(fēng)險(xiǎn)評(píng)估結(jié)果，依據(jù)國(guó)家相關(guān)信息安全要求，組織

收集相關(guān)方的信息安全訴求，明確風(fēng)險(xiǎn)處理對(duì)象應(yīng)達(dá)到的最低保護(hù)要求，結(jié)合組織的風(fēng)險(xiǎn)可承

受程度，確定風(fēng)險(xiǎn)可接受準(zhǔn)則。

c)選擇風(fēng)險(xiǎn)處理方式。根據(jù)風(fēng)險(xiǎn)處理可接受準(zhǔn)則，明確需要處理的風(fēng)險(xiǎn)和可接受的殘余風(fēng)險(xiǎn)，對(duì)

于需要處理的風(fēng)險(xiǎn)，應(yīng)初步確定每種風(fēng)險(xiǎn)擬采取的處理方式，形成風(fēng)險(xiǎn)處理列表。風(fēng)險(xiǎn)處理方

式見(jiàn)7.1節(jié)所述。

d)明確風(fēng)險(xiǎn)處理資源。根據(jù)既定的風(fēng)險(xiǎn)處理目標(biāo)，明確風(fēng)險(xiǎn)處理涉及的部門(mén)、人員和資產(chǎn)以及需

要增加的設(shè)備、軟件、工具等所需資源。

e)制定風(fēng)險(xiǎn)處理計(jì)劃。處理計(jì)劃應(yīng)包含（但不限于）：風(fēng)險(xiǎn)處理范圍、依據(jù)、目標(biāo)、方式、所需

資源等。風(fēng)險(xiǎn)處理計(jì)劃應(yīng)得到組織最高管理者的批準(zhǔn)。

圖12風(fēng)險(xiǎn)處理準(zhǔn)備階段

7.2.2風(fēng)險(xiǎn)處理實(shí)施

如圖13所示，風(fēng)險(xiǎn)處理實(shí)施階段的工作過(guò)程和內(nèi)容如下：

a)準(zhǔn)備風(fēng)險(xiǎn)處理措施。依據(jù)組織的使命，并遵循國(guó)家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)

準(zhǔn)的規(guī)定，依據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告，按照風(fēng)險(xiǎn)處理計(jì)劃，選擇對(duì)應(yīng)的風(fēng)險(xiǎn)處理措施，編制風(fēng)險(xiǎn)處理

措施列表。

b)成本效益和殘余風(fēng)險(xiǎn)分析。針對(duì)風(fēng)險(xiǎn)處理目標(biāo)，結(jié)合組織實(shí)際情況，依據(jù)最佳收益原則選擇適

當(dāng)?shù)奶幚矸桨?。依?jù)組織的風(fēng)險(xiǎn)評(píng)估準(zhǔn)則對(duì)可接受的、不予處理的殘余風(fēng)險(xiǎn)進(jìn)行分析。

14

GB/T24364—XXXX

c)處理措施風(fēng)險(xiǎn)分析及制定應(yīng)急計(jì)劃。對(duì)每項(xiàng)實(shí)施該處理措施可能帶來(lái)的風(fēng)險(xiǎn)進(jìn)行分析，確認(rèn)是

否會(huì)因?yàn)樘幚泶胧┎划?dāng)或其他原因引入新的風(fēng)險(xiǎn)。并制定應(yīng)急計(jì)劃，對(duì)仍將殘留的風(fēng)險(xiǎn)和可能

繼發(fā)的風(fēng)險(xiǎn)，以及那些主動(dòng)接受的風(fēng)險(xiǎn)和不可預(yù)見(jiàn)風(fēng)險(xiǎn)進(jìn)行技術(shù)和人員儲(chǔ)備。

d)確定風(fēng)險(xiǎn)處理方式和措施。在完成成本效益分析和殘余風(fēng)險(xiǎn)分析后，對(duì)每項(xiàng)風(fēng)險(xiǎn)選定一種或者

幾種處理措施，完成最終的風(fēng)險(xiǎn)處理措施列表。

e)編制風(fēng)險(xiǎn)處理方案。依據(jù)組織的使命和相關(guān)規(guī)定，結(jié)合風(fēng)險(xiǎn)處理依據(jù)和目標(biāo)、范圍和方式、處

理措施、成本效益分析、殘余風(fēng)險(xiǎn)分析以及風(fēng)險(xiǎn)處理團(tuán)隊(duì)分工，編制風(fēng)險(xiǎn)處理方案。

f)風(fēng)險(xiǎn)處理措施測(cè)試。風(fēng)險(xiǎn)處理措施測(cè)試是在風(fēng)險(xiǎn)處理措施正式實(shí)施前，驗(yàn)證風(fēng)險(xiǎn)處理措施是否

符合風(fēng)險(xiǎn)處理目標(biāo)，判斷措施的實(shí)施是否會(huì)引入新的風(fēng)險(xiǎn)，同時(shí)檢驗(yàn)應(yīng)急計(jì)劃是否有效。

g)實(shí)施風(fēng)險(xiǎn)處理措施。在完成風(fēng)險(xiǎn)處理措施的測(cè)試工作后，按照風(fēng)險(xiǎn)處理方案實(shí)施具體的風(fēng)險(xiǎn)處

理措施。在實(shí)施過(guò)程中，實(shí)施風(fēng)險(xiǎn)處理的操作人員應(yīng)對(duì)具體的操作內(nèi)容進(jìn)行記錄、驗(yàn)證實(shí)施效

果，并簽字確認(rèn)，形成風(fēng)險(xiǎn)處理實(shí)施的記錄，以便后期回溯和責(zé)任認(rèn)定。

h)編制風(fēng)險(xiǎn)處理報(bào)告。記錄風(fēng)險(xiǎn)處理措施的實(shí)施過(guò)程和結(jié)果，形成風(fēng)險(xiǎn)處理實(shí)施報(bào)告，在整個(gè)組

織內(nèi)部傳達(dá)風(fēng)險(xiǎn)管理的活動(dòng)和成果，為決策提供信息，改進(jìn)風(fēng)險(xiǎn)管理活動(dòng)，協(xié)助與利益相關(guān)方

的互動(dòng)，包括對(duì)風(fēng)險(xiǎn)管理活動(dòng)負(fù)有責(zé)任的相關(guān)方、用戶(hù)和主管部門(mén)。

圖13風(fēng)險(xiǎn)處理實(shí)施階段

7.2.3風(fēng)險(xiǎn)處理效果評(píng)價(jià)

如圖14所示，風(fēng)險(xiǎn)處理效果評(píng)價(jià)階段的工作過(guò)程和內(nèi)容如下：

15

GB/T24364—XXXX

a)制定評(píng)價(jià)原則和方案。評(píng)價(jià)原則可包括風(fēng)險(xiǎn)處理目標(biāo)實(shí)現(xiàn)原則、殘余風(fēng)險(xiǎn)可接受準(zhǔn)則、安全投

入合理準(zhǔn)則以及其他效果評(píng)價(jià)準(zhǔn)則。評(píng)價(jià)方案要包括評(píng)價(jià)方法、評(píng)價(jià)準(zhǔn)則、評(píng)價(jià)目標(biāo)、評(píng)價(jià)內(nèi)

容、團(tuán)隊(duì)組成和總體工作計(jì)劃。

b)開(kāi)展評(píng)價(jià)實(shí)施工作。評(píng)價(jià)工作可現(xiàn)在評(píng)價(jià)結(jié)合整體分析，設(shè)置監(jiān)督員監(jiān)控評(píng)價(jià)過(guò)程，編制評(píng)價(jià)

效果報(bào)告，將評(píng)價(jià)結(jié)果與相關(guān)方進(jìn)行溝通。

c)殘余風(fēng)險(xiǎn)接受聲明。對(duì)于可接收的殘余風(fēng)險(xiǎn)，要形成殘余風(fēng)險(xiǎn)接受聲明，并經(jīng)風(fēng)險(xiǎn)管理對(duì)象和

信息安全風(fēng)險(xiǎn)管理決策層和管理層的認(rèn)可和批準(zhǔn)。

d)編制持續(xù)改進(jìn)方案。根據(jù)風(fēng)險(xiǎn)處理效果評(píng)價(jià)報(bào)告，針對(duì)需要持續(xù)改進(jìn)的風(fēng)險(xiǎn)編制改建方案，為

風(fēng)險(xiǎn)管理的批準(zhǔn)留存提供重要依據(jù)。

圖14風(fēng)險(xiǎn)處理效果評(píng)價(jià)階段

8批準(zhǔn)留存

8.1批準(zhǔn)留存概述

8.1.1批準(zhǔn)留存的概念

批準(zhǔn)留存是信息安全風(fēng)險(xiǎn)管理的第４步驟，包括批準(zhǔn)和文檔留存兩部分：批準(zhǔn)是指組織的決策層依

據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果是否滿(mǎn)足組織的方針目標(biāo)和信息安全要求，做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的

決定；文檔留存是指風(fēng)險(xiǎn)管理所產(chǎn)生的信息的文檔形成和保存。

批準(zhǔn)應(yīng)由組織內(nèi)部或更高層的主管組織的決策層來(lái)執(zhí)行。文檔留存由風(fēng)險(xiǎn)管理各個(gè)環(huán)節(jié)的執(zhí)行人員

形成文檔，并保持文檔的完整及對(duì)適當(dāng)?shù)娜藛T可用。

8.1.2批準(zhǔn)留存的原則

風(fēng)險(xiǎn)評(píng)估結(jié)果和風(fēng)險(xiǎn)處理結(jié)果的批準(zhǔn)原則是：

a)業(yè)務(wù)優(yōu)先：組織的風(fēng)險(xiǎn)關(guān)注的是對(duì)組織業(yè)務(wù)可能造成不良影響和帶來(lái)機(jī)會(huì)的風(fēng)險(xiǎn)；

b)風(fēng)險(xiǎn)可控：合理利用風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)，是其對(duì)組織的發(fā)展帶來(lái)良性支持；

c)成本適宜：做到成本效益符合組織相關(guān)方的利益訴求；

d)措施有效：采取的風(fēng)險(xiǎn)控制措施力求實(shí)效。

風(fēng)險(xiǎn)評(píng)估結(jié)果和風(fēng)險(xiǎn)處理結(jié)果的批準(zhǔn)依據(jù)是：

e)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則；

16

GB/T24364—XXXX

f)風(fēng)險(xiǎn)接受準(zhǔn)則；

g)信息安全方針與目標(biāo)；

h)支持風(fēng)險(xiǎn)處理的資源保障能力。

風(fēng)險(xiǎn)管理的文檔留存原則是：

i)保全證據(jù)：風(fēng)險(xiǎn)管理全過(guò)程的文檔得到留存；

j)統(tǒng)一規(guī)范：至少做好核心文檔采用統(tǒng)一的模板格式；

k)簡(jiǎn)明易讀：文檔描述清晰，語(yǔ)義易于理解；

l)適度使用：采取措施使文檔控制在合適的范圍內(nèi)得到使用，特別是風(fēng)險(xiǎn)評(píng)估報(bào)告要嚴(yán)格控制使

用范圍。

8.2批準(zhǔn)留存過(guò)程

批準(zhǔn)留存過(guò)程包括批準(zhǔn)申請(qǐng)、批準(zhǔn)處理和文檔留存３個(gè)階段。在信息安全風(fēng)險(xiǎn)管理過(guò)程中，接受風(fēng)

險(xiǎn)處理的輸出后將進(jìn)入風(fēng)險(xiǎn)因素的監(jiān)控，風(fēng)險(xiǎn)管理的監(jiān)控和溝通咨詢(xún)貫穿其３個(gè)階段，如圖15所示。

圖15批準(zhǔn)留存過(guò)程及其在信息安全風(fēng)險(xiǎn)管理中的位置

8.2.1批準(zhǔn)申請(qǐng)

如圖16所示，批準(zhǔn)申請(qǐng)階段的工作過(guò)程和內(nèi)容如下：

a)提交批準(zhǔn)申請(qǐng)。申請(qǐng)者填寫(xiě)批準(zhǔn)申請(qǐng)書(shū)后，連同批準(zhǔn)材料一并提交給批準(zhǔn)機(jī)構(gòu)。批準(zhǔn)材料內(nèi)容

包括風(fēng)險(xiǎn)管理過(guò)程中輸出的文檔、軟件和硬件等結(jié)果。批準(zhǔn)申請(qǐng)書(shū)內(nèi)容包括批準(zhǔn)的范圍、對(duì)象

和期望，以及申請(qǐng)者的基本信息和簽字等。批準(zhǔn)機(jī)構(gòu)由在風(fēng)險(xiǎn)管理對(duì)象和信息安全風(fēng)險(xiǎn)管理的

決策層中負(fù)責(zé)重大決定的主管者構(gòu)成。

b)受理批準(zhǔn)申請(qǐng)。批準(zhǔn)機(jī)構(gòu)接收批準(zhǔn)申請(qǐng)書(shū)和審核結(jié)論報(bào)告并審查通過(guò)后，返回批準(zhǔn)受理回執(zhí)。

批準(zhǔn)受理回執(zhí)內(nèi)容包括同意受理、補(bǔ)充材料的要求和提交時(shí)間（如果需要），以及批準(zhǔn)機(jī)構(gòu)的

名稱(chēng)和簽章等。

17

GB/T24364—XXXX

圖16批準(zhǔn)申請(qǐng)階段的過(guò)程及其輸入輸出

8.2.2批準(zhǔn)處理

如圖17所示，批準(zhǔn)處理階段的工作過(guò)程和內(nèi)容如下：

a)審閱批準(zhǔn)材料。批準(zhǔn)機(jī)構(gòu)依據(jù)機(jī)構(gòu)的使命和風(fēng)險(xiǎn)管理對(duì)象的安全要求報(bào)告，按照批準(zhǔn)的原則、

規(guī)定和程序，對(duì)批準(zhǔn)材料進(jìn)行審閱，與相關(guān)人員進(jìn)行討論和溝通，為批準(zhǔn)決定做準(zhǔn)備。

b)做出批準(zhǔn)決定。批準(zhǔn)機(jī)構(gòu)按照批準(zhǔn)的原則、規(guī)定和程序，判斷風(fēng)險(xiǎn)管理對(duì)象的安全要求是否得

到滿(mǎn)足，機(jī)構(gòu)的信息安全保障級(jí)別是否達(dá)到其使命所需要的等級(jí)，依此做出批準(zhǔn)決定，形成批

準(zhǔn)決定書(shū)，交付申請(qǐng)者。批準(zhǔn)決定書(shū)內(nèi)容包括批準(zhǔn)的范圍、對(duì)象、意見(jiàn)、結(jié)論（即是否通過(guò)）

和有效期，以及批準(zhǔn)機(jī)構(gòu)的名稱(chēng)和簽章等。如果通過(guò)批準(zhǔn)，則進(jìn)入持續(xù)監(jiān)督階段；否則，結(jié)束

本次信息安全風(fēng)險(xiǎn)管理的循環(huán)，啟動(dòng)新一輪循環(huán)進(jìn)行改進(jìn)。

圖17批準(zhǔn)處理階段的過(guò)程及其輸入輸出

8.2.3文檔留存

如圖18所示，文檔留存階段的工作過(guò)程和內(nèi)容如下：

a)文檔信息收集。如果風(fēng)險(xiǎn)評(píng)估結(jié)果和風(fēng)險(xiǎn)處理結(jié)果得到批準(zhǔn),文檔管理員應(yīng)發(fā)起文檔信息收集

活動(dòng),各階段的項(xiàng)目責(zé)任人員負(fù)責(zé)按照文檔管理規(guī)范,將所有的文檔信息整理后統(tǒng)一提交給文

檔管理員。提交的文檔信息至少包括各階段的工作成果，如風(fēng)險(xiǎn)管理程序、背景建立溝通記錄、

背景分析報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃、風(fēng)險(xiǎn)控制有效性評(píng)價(jià)記錄、批準(zhǔn)信息等。

18

GB/T24364—XXXX

b)文檔信息控制。所收集的文檔信息應(yīng)妥善保存，確保信息可用，并得到適度控制，具體包括：

1)文檔質(zhì)量評(píng)審：收集文檔后，至少應(yīng)從文檔內(nèi)容的完整性、文檔格式規(guī)范性文檔等方面進(jìn)

行質(zhì)量評(píng)審；

2)歸檔：對(duì)通過(guò)文檔評(píng)審的文檔進(jìn)行統(tǒng)一歸檔，歸檔按照組織的文檔控制過(guò)程執(zhí)行；

3)保存：據(jù)文檔的類(lèi)型采取必要措施進(jìn)行保存，對(duì)電子版的文檔信息必要時(shí)采取加密措施進(jìn)

行保存，確保文檔信息的機(jī)密性和完成性，采取適當(dāng)?shù)膫浞荽胧?，確保文檔的可用性；

4)文檔使用控制：原則上文檔信息在原有工作范圍內(nèi)使用，擴(kuò)大使用范圍應(yīng)得到批準(zhǔn)，特別

是風(fēng)險(xiǎn)評(píng)估報(bào)告和風(fēng)險(xiǎn)處理計(jì)劃應(yīng)嚴(yán)格控制使用范圍；

5)文檔作廢處理：當(dāng)文檔過(guò)程作廢后，應(yīng)根據(jù)文檔的保密級(jí)別采取適當(dāng)?shù)奶幚泶胧ㄤN(xiāo)

毀，發(fā)布作廢公告等。

圖18文檔留存控制圖

9監(jiān)視評(píng)審

9.1監(jiān)視評(píng)審概述

9.1.1監(jiān)視評(píng)審的概念

監(jiān)視評(píng)審包括對(duì)風(fēng)險(xiǎn)因素和信息安全風(fēng)險(xiǎn)管理循環(huán)的４個(gè)主體步驟（即背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)

處理和批準(zhǔn)留存）的監(jiān)視和評(píng)審。監(jiān)視是定期或不定期對(duì)風(fēng)險(xiǎn)管理過(guò)程的運(yùn)行情況進(jìn)行查看，了解風(fēng)險(xiǎn)

管理過(guò)程的執(zhí)行情況，評(píng)審是對(duì)監(jiān)視的結(jié)果進(jìn)行分析和評(píng)價(jià)，從而確定風(fēng)險(xiǎn)管理過(guò)程的有效性，有效性

包括執(zhí)行情況和執(zhí)行效果。

9.1.2監(jiān)視評(píng)審的內(nèi)容

風(fēng)險(xiǎn)因素的監(jiān)視和評(píng)審包括背景建立過(guò)程中關(guān)注的內(nèi)外部環(huán)境以及風(fēng)險(xiǎn)評(píng)估過(guò)程中識(shí)別信息的變

化，包括但不限于以下方面和內(nèi)容：

a)風(fēng)險(xiǎn)管理范圍的變化，包括新的資產(chǎn)、新的部門(mén)等；

b)評(píng)估對(duì)象價(jià)值的變化，比如業(yè)務(wù)的變動(dòng)帶來(lái)的價(jià)值變化；

c)新的或變化的威脅，或之前未評(píng)價(jià)的威脅信息；

d)新發(fā)現(xiàn)的或者是變化的脆弱點(diǎn)；

e)風(fēng)險(xiǎn)發(fā)生帶來(lái)的后果的變化；

f)新發(fā)布的相關(guān)法律法規(guī)、行業(yè)監(jiān)管要求和標(biāo)準(zhǔn)；

19

GB/T24364—XXXX

g)相關(guān)組織架構(gòu)的變化；

h)管理層的變化；

i)相關(guān)方要求的變化。

風(fēng)險(xiǎn)管理的監(jiān)視和評(píng)審包括以下方面和內(nèi)容：

j)風(fēng)險(xiǎn)管理過(guò)程的執(zhí)行情況；

k)風(fēng)險(xiǎn)因素識(shí)別的全面性和合理性；

l)風(fēng)險(xiǎn)管理目標(biāo)的實(shí)現(xiàn)情況；

m)風(fēng)險(xiǎn)處理計(jì)劃的實(shí)施情況

n)風(fēng)險(xiǎn)控制措施的運(yùn)行有效性；

o)風(fēng)險(xiǎn)控制成本效益的合理性；

p)風(fēng)險(xiǎn)評(píng)估原則和風(fēng)險(xiǎn)接受原則的合理性；

q)當(dāng)前風(fēng)險(xiǎn)評(píng)估方法的有效性和產(chǎn)生結(jié)果的一致性，以及新的風(fēng)險(xiǎn)評(píng)估方法。

9.2監(jiān)視評(píng)審過(guò)程

風(fēng)險(xiǎn)因素的監(jiān)視評(píng)審過(guò)程貫穿于信息安全風(fēng)險(xiǎn)管理的整個(gè)過(guò)程中，通過(guò)監(jiān)視和評(píng)審獲得風(fēng)險(xiǎn)因素變

化的結(jié)果，從而啟動(dòng)新的風(fēng)險(xiǎn)管理活動(dòng)。如圖19所示，監(jiān)視評(píng)審記錄內(nèi)容包括風(fēng)險(xiǎn)因素的變化描述和分

析評(píng)價(jià)結(jié)果，包括是否啟動(dòng)新的風(fēng)險(xiǎn)管理活動(dòng)。

圖19風(fēng)險(xiǎn)因素的監(jiān)視評(píng)審過(guò)程及其在信息安全風(fēng)險(xiǎn)管理中的位置

風(fēng)險(xiǎn)管理的監(jiān)視評(píng)審過(guò)程貫穿于信息安全風(fēng)險(xiǎn)管理的背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和批準(zhǔn)留存這

４個(gè)基本步驟，并分別輸出相應(yīng)的監(jiān)視評(píng)審記錄，如圖20在所示。監(jiān)視評(píng)審記錄內(nèi)容包括監(jiān)視和評(píng)審的

范圍、對(duì)象、時(shí)間、過(guò)程、結(jié)果和措施等。

20

GB/T24364—XXXX

圖20風(fēng)險(xiǎn)管理的監(jiān)視評(píng)審過(guò)程及其在信息安全風(fēng)險(xiǎn)管理中的位置

9.2.1背景建立過(guò)程的監(jiān)視評(píng)審

表2匯總了背景建立過(guò)程中各階段的監(jiān)視評(píng)審內(nèi)容。

表2背景建立過(guò)程的監(jiān)視評(píng)審

階段監(jiān)視評(píng)審內(nèi)容

風(fēng)險(xiǎn)管理準(zhǔn)備風(fēng)險(xiǎn)管理計(jì)劃制定的過(guò)程及其相關(guān)文檔

風(fēng)險(xiǎn)管理對(duì)象調(diào)查與分析風(fēng)險(xiǎn)管理對(duì)象調(diào)查與分析的過(guò)程及其相關(guān)文檔

信息安全分析信息安全分析的過(guò)程及其相關(guān)文檔

基本原則確立確立的基本原則

實(shí)施規(guī)劃規(guī)劃的過(guò)程及其相關(guān)文檔

9.2.2風(fēng)險(xiǎn)評(píng)估過(guò)程的監(jiān)視評(píng)審

表3匯總了風(fēng)險(xiǎn)評(píng)估過(guò)程中各階段的監(jiān)視評(píng)審內(nèi)容。

表3風(fēng)險(xiǎn)評(píng)估過(guò)程的監(jiān)視評(píng)審

階段監(jiān)視評(píng)審內(nèi)容

風(fēng)險(xiǎn)評(píng)估的計(jì)劃制定、方案確定以及方法和工具選

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

擇的過(guò)程及其相關(guān)文檔

業(yè)務(wù)、資產(chǎn)、威脅、脆弱性和已有安全措施識(shí)別的

風(fēng)險(xiǎn)要素識(shí)別

過(guò)程及其相關(guān)文檔

安全事件發(fā)生可能性分析、安全事件造成的損失分

風(fēng)險(xiǎn)分析

析、和風(fēng)險(xiǎn)計(jì)算的過(guò)程及其相關(guān)文檔

風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則、資產(chǎn)風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)、業(yè)務(wù)風(fēng)險(xiǎn)等級(jí)

風(fēng)險(xiǎn)評(píng)價(jià)評(píng)價(jià)、風(fēng)險(xiǎn)狀況綜合評(píng)價(jià)以及風(fēng)險(xiǎn)評(píng)估報(bào)告生成的

過(guò)程及其文檔

21

GB/T24364—XXXX

9.2.3風(fēng)險(xiǎn)處理過(guò)程的監(jiān)視評(píng)審

表4匯總了風(fēng)險(xiǎn)處理過(guò)程中各階段的監(jiān)視評(píng)審內(nèi)容。

表4風(fēng)險(xiǎn)處理過(guò)程的監(jiān)視評(píng)審

階段監(jiān)視評(píng)審內(nèi)容

風(fēng)險(xiǎn)處理范圍目標(biāo)確定、風(fēng)險(xiǎn)處理可接受準(zhǔn)則確

風(fēng)險(xiǎn)處理準(zhǔn)備定、風(fēng)險(xiǎn)處理方式選擇、風(fēng)險(xiǎn)處理資源確定和風(fēng)險(xiǎn)

處理計(jì)劃制定的過(guò)程及其相關(guān)文檔

風(fēng)險(xiǎn)處理措施準(zhǔn)備、成本效益和殘余風(fēng)險(xiǎn)分析、處

理措施風(fēng)險(xiǎn)分析及應(yīng)急計(jì)劃制定、風(fēng)險(xiǎn)處理方式和

風(fēng)險(xiǎn)處理實(shí)施措施確定、風(fēng)險(xiǎn)處理方案編制、風(fēng)險(xiǎn)處理措施測(cè)試、

風(fēng)險(xiǎn)處理措施實(shí)施和風(fēng)險(xiǎn)處理報(bào)告編制的過(guò)程及

其相關(guān)文檔

評(píng)價(jià)原則和方案制定、開(kāi)展評(píng)價(jià)實(shí)施工作、殘余風(fēng)

風(fēng)險(xiǎn)處理效果評(píng)價(jià)險(xiǎn)接受聲明和持續(xù)改進(jìn)方案編制的過(guò)程及其相關(guān)

文檔

9.2.4批準(zhǔn)留存過(guò)程的監(jiān)視評(píng)審

表5匯總了批準(zhǔn)留存過(guò)程中各階段的監(jiān)視評(píng)審內(nèi)容。

表5批準(zhǔn)留存過(guò)程的監(jiān)視評(píng)審

階段監(jiān)視評(píng)審內(nèi)容

批準(zhǔn)申請(qǐng)批準(zhǔn)申請(qǐng)和受理的過(guò)程及其相關(guān)文檔

審閱批準(zhǔn)材料和批準(zhǔn)決定做出的過(guò)程及其相關(guān)文

批準(zhǔn)處理

檔

文檔留存收集的文檔及文檔管理的相關(guān)文檔

10溝通咨詢(xún)

10.1溝通咨詢(xún)概述

10.1.1溝通咨詢(xún)的概念

溝通咨詢(xún)?yōu)樾畔踩L(fēng)險(xiǎn)管理主循環(huán)的４個(gè)步驟（即背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和批準(zhǔn)留存）

中相關(guān)方提供溝通和咨詢(xún)。溝通咨詢(xún)是通過(guò)相關(guān)方之間交換和/或共享關(guān)于風(fēng)險(xiǎn)的信息，就如何管理風(fēng)

險(xiǎn)達(dá)成一致的活動(dòng)。溝通是為所有參與人員提供交流途徑，以保持參與人員之間的協(xié)調(diào)一致，共同實(shí)現(xiàn)

安全目標(biāo)。咨詢(xún)是相關(guān)方需要時(shí)為其提供學(xué)習(xí)途徑，以提高風(fēng)險(xiǎn)意識(shí)、知識(shí)和技能，配合實(shí)現(xiàn)安全目標(biāo)。

10.1.2溝通咨詢(xún)的意義

相關(guān)方對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)可能會(huì)有所不同，很可能根據(jù)各自對(duì)風(fēng)險(xiǎn)的感知來(lái)判斷風(fēng)險(xiǎn)的可接受性。為保

證信息安全風(fēng)險(xiǎn)管理活動(dòng)順利和有效地進(jìn)行，相關(guān)方行動(dòng)的協(xié)調(diào)和一致以及相關(guān)知識(shí)和技能的熟練掌握

是十分關(guān)鍵的因素。通過(guò)暢通的交流和充分的溝通，保持行動(dòng)的協(xié)調(diào)和一致；通過(guò)有效的培訓(xùn)和方便的

咨詢(xún)，保證行動(dòng)者具有足夠的知識(shí)和技能，就是溝通咨詢(xún)的意義所在。

22

GB/T24364—XXXX

10.1.3溝通咨詢(xún)的目標(biāo)

溝通咨詢(xún)包括以下方面和目標(biāo)：

1)確保組織風(fēng)險(xiǎn)管理的結(jié)果；

2)收集風(fēng)險(xiǎn)信息；

3)分享風(fēng)險(xiǎn)評(píng)估結(jié)果并提出處理計(jì)劃；

4)避免或減少因相關(guān)方之間缺乏相互了解而導(dǎo)致的信息安全漏洞發(fā)生和后果；

5)支持決策制定；

6)獲取新的信息安全知識(shí)；

7)與其他各方協(xié)調(diào)并計(jì)劃應(yīng)對(duì)措施，以減少任何事件的后果；

8)讓相關(guān)方對(duì)風(fēng)險(xiǎn)有責(zé)任感；

9)提高認(rèn)識(shí)。

10.1.4溝通咨詢(xún)的方式

溝通咨詢(xún)的雙方角色不同，所采取的方式有所不同。有關(guān)信息安全風(fēng)險(xiǎn)管理相關(guān)人員的角色和責(zé)任

的劃分參見(jiàn)表１。表6給出了不同層面人員之間溝通咨詢(xún)的方式。

表6溝通咨詢(xún)的方式

接受方

方式

決策層管理層執(zhí)行層支持層用戶(hù)層

決策層交流指導(dǎo)和檢查指導(dǎo)和檢查表態(tài)表態(tài)

管理層匯報(bào)交流指導(dǎo)和檢查宣傳和介紹宣傳和介紹

發(fā)出

執(zhí)行層匯報(bào)匯報(bào)交流宣傳和介紹培訓(xùn)和咨詢(xún)

方

支持層培訓(xùn)和咨詢(xún)訓(xùn)和咨詢(xún)培訓(xùn)和咨詢(xún)交流培訓(xùn)和咨詢(xún)

用戶(hù)層反饋反饋反饋反饋交流

溝通咨詢(xún)的各種方式說(shuō)明如下：

a)指導(dǎo)和檢查：指機(jī)構(gòu)上級(jí)對(duì)下級(jí)工作的指導(dǎo)和檢查，用以保證工作質(zhì)量和效率，適用于決策層

對(duì)管理層、決策層對(duì)執(zhí)行層和管理層對(duì)執(zhí)行層；

b)表態(tài)：指機(jī)構(gòu)高層支持信息安全風(fēng)險(xiǎn)管理的對(duì)外表態(tài)，用以得到外界認(rèn)同和支持，適用于決策

層對(duì)支持層和決策層對(duì)用戶(hù)層；

c)匯報(bào)：指機(jī)構(gòu)下級(jí)對(duì)上級(jí)做工作匯報(bào)，用以得到上級(jí)認(rèn)可，適用于管理層對(duì)決策層、執(zhí)行層對(duì)

決策層和執(zhí)行層對(duì)管理層；

d)宣傳和介紹：指機(jī)構(gòu)的風(fēng)險(xiǎn)管理對(duì)象和信息安全風(fēng)險(xiǎn)管理的對(duì)外宣傳和介紹，用以得到外界支

持和配合，適用于管理層對(duì)支持層、管理層對(duì)用戶(hù)層和執(zhí)行層對(duì)支持層；

e)培訓(xùn)和咨詢(xún)：指專(zhuān)業(yè)人員對(duì)信息安全風(fēng)險(xiǎn)管理相關(guān)方的培訓(xùn)和咨詢(xún)，用以提高人員的安全意識(shí)、

知識(shí)和技能，適用于執(zhí)行層對(duì)用戶(hù)層、支持層對(duì)決策層、支持層對(duì)管理層和支持層對(duì)執(zhí)行層；

f)反饋：指機(jī)構(gòu)風(fēng)險(xiǎn)管理對(duì)象使用者對(duì)機(jī)構(gòu)信息安全風(fēng)險(xiǎn)管理的意見(jiàn)反饋，用以了解實(shí)施效果和

用戶(hù)需求，適用于用戶(hù)層對(duì)決策層、用戶(hù)層對(duì)管理層、用戶(hù)層對(duì)執(zhí)行層和用戶(hù)層對(duì)支持層；

g)交流：指同級(jí)或同行之間的對(duì)等交流，用以共享信息和協(xié)調(diào)工作，適用于決策層對(duì)決策層、管

理層對(duì)管理層、執(zhí)行層對(duì)執(zhí)行層、支持層對(duì)支持層和用戶(hù)層對(duì)用戶(hù)層。

10.2溝通咨詢(xún)過(guò)程

23

GB/T24364—XXXX

溝通咨詢(xún)的過(guò)程貫穿于信息安全風(fēng)險(xiǎn)管理的背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和批準(zhǔn)留存這４個(gè)基本

步驟，并分別輸出相應(yīng)的溝通咨詢(xún)記錄，如圖21所示。溝通咨詢(xún)記錄內(nèi)容包括溝通和咨詢(xún)的范圍、對(duì)象、

時(shí)間、內(nèi)容和結(jié)果等。

圖21溝通咨詢(xún)過(guò)程及其在信息安全風(fēng)險(xiǎn)管理中的位置

10.2.1背景建立過(guò)程的溝通咨詢(xún)

10.2.1.1面向參與人員的溝通

表7匯總了背景建立過(guò)程中各階段的溝通參與人員和涉及內(nèi)容。

表7背景建立過(guò)程的溝通

參與人員

階段涉及內(nèi)容

風(fēng)險(xiǎn)管理對(duì)象信息安全風(fēng)險(xiǎn)管理

確定風(fēng)險(xiǎn)管理范圍和邊界、確

決策層定信息安全風(fēng)險(xiǎn)管理的目標(biāo)、

風(fēng)險(xiǎn)管理準(zhǔn)備決策層

管理層風(fēng)險(xiǎn)管理總體規(guī)劃并獲得批準(zhǔn)

的過(guò)程及其相關(guān)文檔

調(diào)查機(jī)構(gòu)使命及目標(biāo)、調(diào)查法

管理層律法規(guī)及監(jiān)管要求等、調(diào)查業(yè)

管理層

調(diào)查與分析執(zhí)行層務(wù)特性、調(diào)查外部環(huán)境、形成

執(zhí)行層

支持層調(diào)查分析報(bào)告的過(guò)程及其相關(guān)

文檔

分析風(fēng)險(xiǎn)管理對(duì)象的安全環(huán)

管理層境、分析風(fēng)險(xiǎn)管理對(duì)象的安全

管理層

信息安全分析執(zhí)行層要求、形成風(fēng)險(xiǎn)管理對(duì)象的安

執(zhí)行層

支持層全要求分析報(bào)告的過(guò)程及其相

關(guān)文檔

管理層

管理層風(fēng)險(xiǎn)管理方法、風(fēng)險(xiǎn)管理準(zhǔn)則

基本原則確立執(zhí)行層

執(zhí)行層確立的過(guò)程及其相關(guān)文檔

支持層

24

GB/T24364—XXXX

參與人員

階段涉及內(nèi)容

風(fēng)險(xiǎn)管理對(duì)象信息安全風(fēng)險(xiǎn)管理

管理層組建風(fēng)險(xiǎn)管理團(tuán)隊(duì)、制定詳細(xì)

管理層

實(shí)施規(guī)劃執(zhí)行層的實(shí)施規(guī)劃的過(guò)程及其相關(guān)文

執(zhí)行層

支持層檔

10.2.1.2面向相關(guān)方的咨詢(xún)

在背景建立的整個(gè)過(guò)程中，為所有相關(guān)方提供有關(guān)背景建立的咨詢(xún)和培訓(xùn)等。

10.2.2風(fēng)險(xiǎn)評(píng)估過(guò)程的溝通咨詢(xún)

10.2.2.1面向參與人員的溝通

表8匯總了風(fēng)險(xiǎn)評(píng)估過(guò)程中各階段的溝通參與人員和涉及