《信息安全技術 信息安全風險管理實施指南-編制說明》

國家標準征求意見稿資料

一、工作簡況

1.任務來源

2018年，經國標委批準，全國信息安全標準化技術委員會（SAC/TC260）2018

年第二次全會討論通過，研究修訂《信息安全技術信息安全風險管理指南》國

家標準。該項目由全國信息安全標準化技術委員會提出，全國信息安全標準化技

術委員會歸口。

2.主要起草單位和工作組成員

該標準由國家信息中心牽頭，參與單位包括中國網絡安全審查技術與認證中

心、中國信息安全測評中心、中國電子科技集團公司第十五研究所、北京信息安

全測評中心、北京國信京寧信息安全科技有限公司、北京安信天行科技有限公司、

國際商業(yè)機器（中國）有限公司、京東云計算（北京）有限公司、深信服科技股

份有限公司等。

標準工作組成員中，祿凱負責項目方向把控和整體協(xié)調，任金強、陳永剛、

劉豐、章恒、趙增振負責具體實施和編寫，閔京華、程瑜琦、杜宇鴿、任佩、陳

青民、劉凱俊、陳楊國、宋文娣、劉德林負責標準研究和編制。

3.主要工作過程

標準修訂的主要工作過程如下：

（1）成立編制組，形成標準申報材料

標準于2019年1月開始進行相關調研工作，組建《信息安全技術信息安全

風險管理指南》修訂項目組，對近年來，尤其是中央網絡安全與信息化領導小組

成立以來所發(fā)布的關于網絡安全的一系列政策文件進行研究，充分理解我國網絡

安全的戰(zhàn)略規(guī)劃對信息安全風險管理工作提出的新要求和新挑戰(zhàn)；同時，研究信

息安全風險管理指南對云計算、物聯網、大數據、智慧城市等新技術應用的適用

性；組織人員對ISO/IEC27005:2018、ISO/IEC31000等國際標準和等級保護、

關基保護、個人信息保護等國內標準進行研究，充分了解和掌握國際和國內關于

信息安全風險管理工作的最新研究動態(tài)，為《信息安全技術信息安全風險管理

指南》修訂工作提供借鑒和指導。

通過座談或現場調研等方式，對國內信息安全主管機構（包括但不限于中央

國家標準征求意見稿資料

網信辦、公安部、安全部、國家保密局、工信部、國家認監(jiān)委等），行業(yè)協(xié)會（包

括但不限于網絡空間安全協(xié)會<籌>、中國信息協(xié)會、計算機學會、網絡空間安全

研究院等），國家關鍵信息基礎設施主管機構（包括但不限于金融、電力、能源、

交通、通信、教育、水利、電子政務等），服務和體系認證機構（包括但不限于

中國信息安全認證中心、中國信息安全測評中心、認監(jiān)委認可的信息安全管理體

系第三方認證機構等），風險管理服務提供機構（包括但不限于北京安信天行科

技有限公司，國際商業(yè)機器（中國）有限公司等）等開展廣泛調研，充分了解和

掌握《信息安全技術信息安全風險管理指南》（GB/Z24364-2009）的應用情況

和存在的不足，為修訂工作提供指導。

在充分研究和調研的基礎上，結合國家安全主管部門的意見，形成《信息安

全技術信息安全風險管理指南》的修訂原則、設定修訂重點，重點修訂原標準

中與當前的國家信息安全戰(zhàn)略不相一致的地方，與當前廣泛應用的信息技術不相

適宜的過程和條款，增加最新的信息安全風險管理方法等。在此基礎上，形成標

準修訂方案，并提交全國信安標委申報立項。

（2）形成標準草案

2019年1月信安標委正式立項修訂《信息安全技術信息安全風險管理指

南》；編制組依據修訂原則和修訂方案，編制《信息安全技術信息安全風險管理

指南（修訂版）》草案，邀請國家安全主管部門、重點行業(yè)主管機關、服務資質

認證機構、風險管理服務機構等，組織召開審查會，根據審查意見，調整框架并

編制《信息安全風險管理指南（修訂版）》草案。

2019年10月在信安標委WG7會議審議，并依據征集到的專家意見進行修改

完善。并在本次會議周，形成推進標準征求意見稿的會議決議。

（3）形成標準征求意見稿

2019年10月會議周后，在信安標委的指導下，在專家的幫助下，完成征求

意見稿流程。

二、編制原則和確定主要內容的依據及解決的主要問題

1.標準編制原則

通過對《信息安全技術信息安全風險管理指南》（GB/Z24364-2009）進行

修訂完善,調整標準中與當前國家安全戰(zhàn)略和安全形勢不一致、或在標準應用過

國家標準征求意見稿資料

程中不適宜的方法和內容，優(yōu)化風險管理的實施流程和過程,補充完善標準中缺

失的方法和內容，提升標準的科學性和適宜性，形成能夠與當前信息安全新形勢

和新環(huán)境相適宜的信息安全風險管理標準,為推動《中華人民共和國網絡安全法》

和《國家網絡空間安全戰(zhàn)略》的落實，指導我國的信息安全保障工作開展奠定基

礎。

本項目在《中華人民共和國網絡安全法》、《國家網絡空間安全戰(zhàn)略》和《“十

三五”國家網絡安全規(guī)劃》的指導下，對信息安全風險管理工作在我國的開展現

狀進行調研，對新的網絡空間安全戰(zhàn)略下，信息安全風險管理工作所面臨的新要

求和新挑戰(zhàn)進行充分分析，同時，結合國內外的先進研究成果和實踐經驗，研究

信息安全風險管理的修訂原則、修訂方針和修訂重點，在這些方針和原則的指導

下，對GB/Z24364-2009進行修訂，形成新版的信息安全風險管理指南，指導我

國的信息安全風險管理工作開展。

2.標準解決的問題及主要內容

本次標準修訂的內容主要包括標準面向對象、范圍及術語修訂、流程和方法

修訂、冗余和陳舊內容調整等。

（1）標準面向對象、范圍及術語修訂

標準對面向的對象和范圍進性了修訂，由于原標準所針對的對象主要是信息

系統(tǒng)，結合在當前新的網絡安全形式下，轉變?yōu)槊嫦驑I(yè)務、信息系統(tǒng)、基礎網絡

和平臺、數據資源等。并將其歸納為風險管理對象的術語。

（信息安全）風險管理等重要術語在本標準進行定義。由于原標準中大量定

義與已有標準重復，且存在異同。本標準遵照已有術語標準進行術語調整，除個

別重要術語，在其他標準中已定義的術語，本標準僅作引用，不重復定義。本標

準主要定義了本標準特有的業(yè)務、發(fā)展戰(zhàn)略等術語。

另外，在修訂GB/Z24364-2009時,要充分兼容IDTISO/IEC27005:2018。

（2）實施流程和方法的修訂

根據實際工作情況和需要，對原有風險管理內容和流程進行修訂，將批準監(jiān)

督部分改為批準留存，將監(jiān)控審查改為監(jiān)視評審。計劃調整后的風險管理流程如

下圖所示。

國家標準征求意見稿資料

（3）背景建立的修訂

對風險建立的全過程進行調整，對流程進行了優(yōu)化，并將背景建立的對象與

風險管理對象相結合。增加了基本原則確定環(huán)節(jié)，為后續(xù)過程提供依據。

（4）風險評估的修訂

與GB/T20984《信息安全技術信息安全風險評估規(guī)范》相適應，調整相應

流程和內容，將風險評估過程轉變?yōu)閺慕M織發(fā)展戰(zhàn)略和業(yè)務識別出發(fā)。

（5）風險處理的修訂

與GB/T33132《信息安全技術信息安全風險處理實施指南》相適應，將整

個處理流程改為風險處理準備、風險處理實施和風險處理效果評價三個環(huán)節(jié)。并

對內容進行較大改動。

（6）批準留存的修訂

在整個過程中加入留存的環(huán)節(jié)，對風險管理結果進行留存。將原持續(xù)監(jiān)督過

程在批準留存環(huán)節(jié)中移除。

（7）監(jiān)視評審的修訂

將持續(xù)監(jiān)督過程放入監(jiān)視評審環(huán)節(jié)，并將監(jiān)視評審的內容依據風險管理主流

程的更改調整。

（8）溝通咨詢

將溝通咨詢的內容依據風險管理主流程的更改調整。

（9）信息系統(tǒng)生命周期內容的修訂

將關于信息系統(tǒng)生命周期的內容刪除。

（10）附錄的修訂

國家標準征求意見稿資料

在附錄中增加風險管理全過程的文檔輸出，包括文檔所屬過程、文檔名稱

和文檔內容。

三、主要試驗[或驗證]情況分析

無。

四、知識產權情況說明

本標準不涉及專利。

五、產業(yè)化情況、推廣應用論證和預期達到的經濟效果

無。

六、采用國際標準和國外先進標準情況

標準參考了國際和國外相關標準情況，根據我國國情制定。

七、與現行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調性

本標準嚴格遵循《中華人民共和國網絡安全法》等法律、法規(guī)規(guī)章。本標

準不觸犯國家現行法律法規(guī)，不與其他強制性國標相沖突。

2009年，在原國信辦的直接領導和支持下，在國家安標委的大力推動下，

《信息安全技術信息安全風險管理指南》（GB/Z24364-2009）正式頒布。標準

頒布十年來，GB/Z24364-2009為了解和掌握我國信息安全保障工作的開展現狀，

推動國家信息安全保障體系建設，提升我國信息安全保障水平奠定了良好的基

礎。

該標準作為信息安全風險管理的指導標準，與即將發(fā)布的《信息安全技術

信息安全風險評估規(guī)范》（GB/T20984）、2016年發(fā)布的《信息安全技術信息安

全風險處理實施指南》（GB/T33132-2016）等共同組成了我國信息安全風險管理

標準體系（我國的風險管理標準體系見下圖），對于指導我國的信息安全保障工

作開展奠定了堅實基礎。

國家標準征求意見稿資料

《信息安全技術信息安全風險評估規(guī)范》（GB/T20984）提出了風險評估

的基本概念、風險要素關系、風險分析原理、風險評估實施流程和評估方法，以

及風險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式。適用于監(jiān)管部

門、網絡運營者、信息安全風險評估服務機構等組織開展風險評估工作。

《信息安全技術信息安全風險評估指南》（GB/T31509-2015）定義了風險

評估的基本概念、原理及實施流程，對資產、威脅和脆弱性識別要求進行了詳細

描述，提出了風險評估在信息系統(tǒng)生命周期不同階段的實施要點，以及風險評估

的工作形式。適用于指導各組織針對信息系統(tǒng)及其管理開展的信息風險評估工

作。

《信息安全技術信息安全風險處理指南》（GB/T33132-2016）給出了信息

安全風險處理實施的管理過程和方法，適用于指導信息系統(tǒng)運營使用單位和信息

安全服務機構實施信息安全風險處理活動。

《信息技術安全技術信息安全風險管理》（ISO/IEC27005:2018）是信息

安全風險管理的國際標準，旨在為基于風險管理方法建立信息安全管理體系提供

指導。

《信息安全技術網絡安全等級保護基本要求》（GB/T22239，以下簡稱《等

保要求》），其中明確了五種安全等級中對信息系統(tǒng)最低要求，也就是基本安全要

求，涵蓋了基本技術要求和基本管理要求，用于指導信息系統(tǒng)的安全建設和監(jiān)督

管理。

近年來，國家對網絡安全風險管理和安全保障工作高度重視。2016年頒布

的《中華人民共和國網絡安全法》、2016年底頒布的《國家網絡空間安全戰(zhàn)略》

國家標準征求意見稿資料

中也明確指出，應采取必要措施保障關鍵信息基礎設施安全。2017年初頒布的

《“十三五”國家網絡安全規(guī)劃》中也指出，構建關鍵信息基礎設施安全保障體

系。信息安全風險管理是黨政機關、重點行業(yè)、智慧城市和大型互聯網服務平臺

等的安全保障、安全檢查和風險評估的重要措施。針對新技術、新應用建立互聯

網新技術、新應用網絡安全風險管理，加強對新技術、新應用上線前的風險管控。

八、重大分歧意見的處理經過和依據

本標準編制過程中，如標準編制組內部出現重大意見分歧時，由標準編制

組組長組織召開內部調解會解決。

詳見標準意見匯總處理表。

九、標準性質的建議

建議本標準作為推薦性國家標準發(fā)布實施。

十、貫