《信息技術 安全技術 信息安全風險管理》

ICS35.040

L80

中華人民共和國國家標準

GB/TXXXXX—XXXX/ISO/IEC27005:2008

信息技術安全技術信息安全風險管理

Informationtechnology—Securitytechniques—Informationsecurityrisk

management

（ISO/IEC27005:2008，IDT）

在提交反饋意見時，請將您知道的相關專利與支持性文件一并附上。

（征求意見稿）

2013-01-21

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/TXXXXX—XXXX

前??言

GB/TXXXXX按照GB/T1.1-2009給出的規(guī)則起草。

本標準使用翻譯法等同采用國際標準ISO/IEC27005:2008《信息技術安全技術信息安全風險管

理》（英文版）。根據國情和GB/T1.1的規(guī)定，做了一些編輯性修改。

本標準由全國信息安全標準化技術委員會（SAC/TC260）提出并歸口。

本標準起草單位：中國電子技術標準化研究院、上海三零衛(wèi)士信息安全有限公司、中電長城網際系

統(tǒng)應用有限公司、山東省計算中心、北京信息安全測評中心

本標準主要起草人：許玉娜、閔京華、上官曉麗、董火民、趙章界、李剛、周鳴樂

I

GB/TXXXXX—XXXX

引??言

信息安全管理體系標準族（InformationSecurityManagementSystem，簡稱ISMS標準族）是國際

信息安全技術標準化組織（ISO/IECJTC1SC27）制定的信息安全管理體系系列國際標準。ISMS標準族

旨在幫助各種類型和規(guī)模的組織，開發(fā)和實施管理其信息資產安全的框架，并為保護組織信息（諸如，

財務信息、知識產權、員工詳細資料，或者受客戶或第三方委托的信息）的ISMS的獨立評估做準備。ISMS

標準族包括的標準：a）定義了ISMS的要求及其認證機構的要求；b)提供了對整個“規(guī)劃-實施-檢查-

處置”（PDCA）過程和要求的直接支持、詳細指南和（或）解釋；c)闡述了特定行業(yè)的ISMS指南；d)

闡述了ISMS的一致性評估。

目前，ISMS標準族由下列標準組成：

——GB/TAAAAA—AAAA信息技術安全技術信息安全管理體系概述和詞匯（ISO/IEC

27000:2009）

——GB/T22080—2008信息技術安全技術信息安全管理體系要求（ISO/IEC27001:2005）

——GB/T22081—2008信息技術安全技術信息安全管理實用規(guī)則（ISO/IEC27002:2005）

——GB/TBBBBB—BBBB信息技術安全技術信息安全管理體系實施指南（ISO/IEC27003:2010）

——GB/TCCCCC—CCCC信息技術安全技術信息安全管理測量（ISO/IEC27004:2009）

——（本標準）信息技術安全技術信息安全風險管理（ISO/IEC27005:2008）

——GB/T25067—2010信息技術安全技術信息安全管理體系審核認證機構的要求（ISO/IEC

27006:2007）

——ISO/IEC27007:2011信息技術安全技術信息安全管理體系審核指南

——ISO/IECTR27008:2011信息技術安全技術信息安全控制措施審核員指南

——ISO/IEC27010:2012信息技術安全技術行業(yè)間及組織間通信的信息安全管理

——ISO/IEC27011:2008信息技術安全技術基于ISO/IEC27002的電信行業(yè)組織的信息安全

管理指南

——ISO/IEC27013:2012信息技術安全技術ISO/IEC27001和ISO/IEC20000-1集成實施指南

——ISO/IEC27014:201x信息技術安全技術信息安全治理

——ISO/IECTR27015:2012信息技術安全技術金融服務信息安全管理指南

本標準作為ISMS標準族之一，為組織內的信息安全風險管理提供指南，特別是支持按照GB/T22080

的ISMS要求。然而，本標準不提供信息安全風險管理的任何特定方法。由組織來確定其風險管理方法，

這取決于，例如，組織的ISMS范圍、風險管理語境或所處行業(yè)。一些現有的方法可在本標準描述的框架

下使用，以實現ISMS的要求。

本標準與關心組織內信息安全風險的管理者和員工以及（如果適當的話）支持這種活動的外部方緊

密相關。

II

GB/TXXXXX—XXXX

信息技術安全技術信息安全風險管理

1范圍

本標準為信息安全風險管理提供指南。

本標準支持GB/T22080所規(guī)約的一般概念，旨在有助于基于風險管理方法來滿意地實現信息安全。

知曉GB/T22080和GB/T22081中所描述的概念、模型、過程和術語，對于完整地理解本標準是重要

的。

本標準適用于各種類型的組織（例如，商務企業(yè)、政府機構、非盈利性組織），這些組織期望管理

可能危及其信息安全的風險。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22080-2008信息技術安全技術信息安全管理體系要求（ISO/IEC27001:2005，IDT）

GB/T22081-2008信息技術安全技術信息安全管理實用規(guī)則（ISO/IEC27002:2005，IDT）

3術語和定義

GB/T22080和GB/T22081中界定的以及下列術語和定義適用于本文件。

3.1

影響impact

對已達到的業(yè)務目標水平的不利改變。

3.2

信息安全風險informationsecurityrisk

特定威脅利用單個或一組資產脆弱性的可能性以及由此可能給組織帶來的損害。

注：它以事態(tài)的可能性及其后果的組合來度量。

3.3

風險規(guī)避riskavoidance

不卷入風險處境的決定或撤離風險處境的行動。

[ISO/IECGuide73：2002]

3.4

風險溝通riskcommunication

決策者和其他利益相關者之間關于風險的信息交換或共享。

1

GB/TXXXXX—XXXX

[ISO/IECGuide73:2002]

3.5

風險估算riskestimation

為風險的可能性和后果賦值的活動。

[ISO/IECGuide73:2002]

3.6

風險識別riskidentification

發(fā)現和列出風險要素并描述其特征的活動。

[ISO/IECGuide73:2002]

3.7

風險降低riskreduction

為降低風險的可能性和（或）負面結果所采取的行動。

[ISO/IECGuide73:2002]

3.8

風險保留riskretention

對來自特定風險的損失或收益的接受。

[ISO/IECGuide73:2002]

注：在信息安全風險的語境下，對于風險保留僅考慮負面后果（損失）。

3.9

風險轉移risktransfer

與另一方對風險帶來的損失或收益的共享。

[ISO/IECGuide73:2002]

注：在信息安全風險的語境下，對于風險轉移僅考慮負面結果（損失）。

4本標準結構

本標準描述了信息安全風險管理過程及其活動。

第5章提供了背景信息。

第6章給出了信息安全風險管理過程的總體概述。

第6章提出的所有信息安全風險管理活動在以下章節(jié)中都進行了描述：

第7章語境建立

第8章風險評估

第9章風險處置

第10章風險接受

第11章風險溝通

第12章風險監(jiān)視與評審

2

GB/TXXXXX—XXXX

附錄中給出了信息安全風險管理活動的其他信息。附錄A（確定信息安全風險管理過程的范圍和邊

界）對語境建立提供支持。附錄B（資產示例）、附錄C（典型威脅示例）和附錄D（典型脆弱性示例）

討論了資產識別和估價以及影響評估。

附錄E給出了信息安全風險評估方法的示例。

附錄F給出了風險降低的約束。

第7章至第12章給出的所有風險管理活動的表述結構如下：

輸入：標識執(zhí)行該活動所需的任何信息。

動作：描述活動。

實施指南：為執(zhí)行該動作提供指南。指南中的某些內容可能不適用于所有情況，因此執(zhí)行該動作的

其他方法可能是更合適的。

輸出：標識執(zhí)行該活動后得到的任何信息。

5背景

為識別組織的信息安全需求和創(chuàng)建有效的信息安全管理體系（ISMS），一種系統(tǒng)化的信息安全風險

管理方法是必要的。這種方法宜適用于該組織的環(huán)境，特別是與整個組織風險管理宜保持一致。安全工

作宜以有效和及時的方式在需要的地方和時候處理風險。信息安全風險管理宜是所有信息安全管理活動

中不可分割的一部分，并宜既應用于ISMS的實施，也應用于ISMS的持續(xù)運行。

信息安全風險管理宜是一個持續(xù)的過程。該過程宜建立語境，評估風險以及按風險處置計劃進行風

險處置以實現相關的建議和決策。風險管理為將風險降低至可接受的水平，在決定宜做什么和什么時候

做之前，分析可能發(fā)生什么和可能的后果是什么。

信息安全風險管理將有助于：

識別風險；

以風險造成的業(yè)務后果和發(fā)生的可能性來評估風險；

溝通和理解這些風險的可能性和后果；

建立風險處置的優(yōu)先順序；

建立降低風險發(fā)生的行動優(yōu)先級；

使利益相關方參與風險管理決策并持續(xù)告知風險管理狀態(tài)；

監(jiān)視風險處置的有效性；

監(jiān)視和定期評審風險及風險管理過程；

獲取信息以改進風險管理方法；

教育管理者和員工有關風險以及減輕風險所采取的行動。

信息安全風險管理過程可應用于整個組織、組織的任何獨立部分（例如，一個部門、一處物理位置、

一項服務）、任何信息系統(tǒng)、現有的或計劃的或特定方面的控制措施（例如，業(yè)務持續(xù)性計劃）。

6信息安全風險管理過程概述

信息安全風險管理過程由語境建立（第7章）、風險評估（第8章）、風險處置（第9章）、風險接

受（第10章）、風險溝通（第11章）和風險監(jiān)視與評審（第12章）組成。

3

GB/TXXXXX—XXXX

語境建立

風險評估

風險分析

風險識別風

風險

險風險估算監(jiān)

溝視

通風險評價與

評

否

風險決策點1審

評估是否滿意

是

風險處置

否

風險決策點2

處置是否滿意

是

風險接受

第一次或后續(xù)迭代的終點

圖1信息安全風險管理過程

如圖1所示，信息安全風險管理過程可以迭代地進行風險評估和（或）風險處置活動。迭代方法進

行風險評估可在每次迭代時增加評估的深度和細節(jié)。該迭代方法在最小化識別控制措施所需的時間和精

力與確保高風險得到適當評估之間，提供了一個良好的平衡。

首先建立語境，然后進行風險評估。如果風險評估為有效地確定將風險降低至可接受水平所需行動，

提供了足夠的信息，那么就結束該風險評估，接下來進行風險處置。如果提供的信息不夠充分，那么將

在修訂的語境（例如，風險評價準則、風險接受準則或影響準則）下進行該風險評估的另一次迭代，可

能是在整個范圍的有限部分上（見圖1，風險決策點1）。

風險處置的有效性取決于該風險評估的結果。風險處置后的殘余風險可能不會立即達到一個可接受

的水平。在這種情況下，如果必要的話，可能需要在改變的語境參數（例如，風險評估準則、風險接受

準則或影響準則）下進行該風險評估的另一次迭代，以及隨后的進一步風險處置（見圖1，風險決策點2）。

風險接受活動須確保殘余風險被組織的管理者明確地接受。在例如由于成本而省略或推遲實施控制

措施的情況下，這點尤其重要。

在整個信息安全風險管理過程期間，重要的是將風險及其處置傳達至適當的管理者和運行人員。即

使是風險處置前，已識別的風險信息對管理事件可能是非常有價值的，并可能有助于減少潛在損害。管

4

GB/TXXXXX—XXXX

理者和員工的風險意識、緩解風險的現有控制措施的性質以及組織關注的領域，這些均有助于以最有效

的方式處理事件和意外情況。信息安全風險管理過程的每個活動以及來自兩個風險決策點的詳細結果均

宜記錄在案。

GB/T22080規(guī)定，ISMS的范圍、邊界和語境內所實施的控制措施應基于風險。信息安全風險管理過

程的應用能夠滿足這一要求。有許多方法可以在組織內成功地實施此過程。但無論什么方法，組織宜為

此過程的每一特定應用，選用最適合自身情況的方法。

在ISMS中，語境建立、風險評估、風險處置計劃制定和風險接受是“規(guī)劃”階段的全部。在ISMS

的“實施”階段，依據風險處置計劃，實施將風險降低到可接受水平所需的行動和控制措施。在ISMS

的“檢查”階段，管理者將根據事件和環(huán)境變化來確定風險評估和風險處置修訂的需要。在“處置”階

段，執(zhí)行所需的任何行動，包括風險管理過程的再次應用。

下表總結了與ISMS過程的四個階段相關的信息安全風險管理活動。

表1ISMS和信息安全風險管理過程對照表

ISMS過程信息安全風險管理過程

語境建立

風險評估

規(guī)劃

風險處置計劃制定

風險接受

實施風險處置計劃實施

檢查持續(xù)的風險監(jiān)視與評審

處置信息安全風險管理過程保持與改進

7語境建立

7.1總體考慮

輸入：與信息安全風險管理語境建立相關的所有關于組織的信息。

動作：宜建立信息安全風險管理的語境，包括設定信息安全風險管理所必要的基本準則（7.2），

確定其范圍和邊界（7.3），并建立運行信息安全風險管理的一個適當組織（7.4）。

實施指南：

確定信息安全風險管理的目的是必不可少的，因為這會影響整個過程，尤其是語境建立。目的可以

是：

支持ISMS；

法律符合和盡職調查證據；

準備業(yè)務持續(xù)性計劃；

準備事件響應計劃；

描述產品、服務或機制的信息安全要求。

支持ISMS所需的語境建立要素的實施指南在下面的7.2、7.3和7.4中進一步討論。

注：GB/T22080沒有使用術語“語境”。然而，第7章的所有內容都與GB/T22080中規(guī)定的“確定ISMS的范圍和邊

界”[4.2.1a)]、“確定ISMS方針[4.2.1b)]和“確定風險評估方法”[4.2.1c)]要求有關。

輸出：對信息安全風險管理過程的基本準則、范圍和邊界以及組織的規(guī)定。

5

GB/TXXXXX—XXXX

7.2基本準則

根據風險管理的范圍和目標，可應用不同的方法。對于每次迭代，其方法可能是不同的。

宜選擇或開發(fā)一個適當的風險管理方法來解決基本準則，諸如，風險評價準則、影響準則、風險接

受準則。

另外，組織宜評估下述工作的必要資源是否可用：

執(zhí)行風險評估，建立風險處置計劃；

確定并實施策略和規(guī)程，包括實施所選的控制措施；

監(jiān)視控制措施；

監(jiān)視信息安全風險管理過程。

注：參見GB/T22080（5.2.1）有關實施和運行ISMS的資源提供。

風險評價準則

宜通過考慮如下因素，開發(fā)風險評價準則來評價組織的信息安全風險：

業(yè)務信息過程的戰(zhàn)略價值；

所涉及信息資產的關鍵性；

法律法規(guī)和規(guī)章制度的要求，以及合同義務；

可用性、保密性和完整性對運營和業(yè)務的重要性；

利益相關方的期望和觀點，以及對信譽和和名譽的負面結果。

另外，風險評價準則可被用于規(guī)定風險處置的優(yōu)先級。

影響準則

宜通過考慮如下因素，從信息安全事態(tài)給組織帶來的損害程度或代價的角度來開發(fā)和規(guī)定影響準

則:

受影響的信息資產的級別；

信息安全的違反（例如，保密性、完整性和可用性的喪失）；

受損的運行（內部或第三方的）；

業(yè)務和財務價值的損失；

計劃中斷和最終期限；

名譽損害；

法律法規(guī)、規(guī)章制度或合同要求的違反。

注：參見GB/T22080[4.2.1d)4)]有關識別喪失保密性、完整性和可用性的影響準則。

風險接受準則

宜開發(fā)和規(guī)定風險接受準則。風險接受準則通常取決于組織的方針策略、目標和利益相關方的利益。

組織宜對風險接受水平確定其自身的尺度。在開發(fā)中宜考慮以下因素：

對于一個期望的風險目標水平，風險接受準則可能包括多個閾值，但允許高級管理者在界

定的環(huán)境下接受高于這一水平的風險；

風險接受準則可能表示為估算收益（或其他商業(yè)利益）與估算風險的比率；

不同的風險接受準則可能適用于不同類別的風險，例如，不符合法律法規(guī)或規(guī)章制度的風

險可能不被接受，然而，如果高風險的接受作為一項合同要求有所規(guī)定，則可能允許接受

高風險；

風險接受準則可能包括對將來附加處置的要求，例如，如果批準并承諾在確定的時間內采

取行動將風險降到可接受水平，則此風險可能被接受。

6

GB/TXXXXX—XXXX

根據風險預計存在時間的長短，例如，風險可能與臨時或短期的活動有關，風險接受準則可能不同。

風險接受準則的建立宜考慮以下因素：

業(yè)務準則；

法律法規(guī)和規(guī)章制度方面；

運行；

技術；

財務；

社會和人道主義因素。

注：風險接受準則對應于GB/T220804.2.1c)2)中規(guī)定的“制定接受風險的準則，識別可接受的風險級別”。

更多信息可參見附錄A。

7.3范圍和邊界

組織宜確定信息安全風險管理的范圍和邊界。

信息安全風險管理過程的范圍需要被確定，以確保所有相關的資產在風險評估中都被考慮到。此外，

邊界也需要被識別[見GB/T220804.2.1a)]，以解決通過這些邊界可能引起的風險。

宜收集組織有關的信息，以決定其運營所處環(huán)境及其與信息安全風險管理過程的關聯。

當確定范圍和邊界時，組織宜考慮以下信息：

組織的戰(zhàn)略性業(yè)務目標、戰(zhàn)略和策略；

業(yè)務過程；

組織的功能和結構；

適用于組織的法律法規(guī)和規(guī)章制度以及合同要求；

組織的信息安全方針；

組織的整體風險管理方法；

信息資產；

組織場所及其地理特征；

影響組織的制約因素；

利益相關方的期望；

社會文化環(huán)境；

接口（即與所處環(huán)境的信息交換）。

此外，組織宜對任何從范圍中的排出提供正當理由。

風險管理范圍的例子可能是某個IT應用、IT基礎設施、某個業(yè)務過程或組織的某個界定部分。

注：信息安全風險管理的范圍和邊界與GB/T220804.2.1a)中要求的ISMS范圍和邊界有關。

更多信息可參見附錄A。

7.4信息安全風險管理組織

宜建立并保持信息安全風險管理過程的組織及其職責。這一組織的主要角色和職責如下：

開發(fā)適用于組織的信息安全風險管理過程；

識別和分析利益相關者；

確定組織內部和外部所有相關方的角色和職責；

建立組織和利益相關方之間所需要的聯系，以及與組織高層風險管理功能（例如，運營風

險管理）的接口和與其他相關項目或活動的接口；

確定決策升級路徑；

規(guī)范要保存的記錄。

7

GB/TXXXXX—XXXX

這一組織宜得到適當的組織管理者的批準。

注：GB/T22080要求確定并提供建立、實施、運行、監(jiān)視、評審、保持和改進ISMS所需的資源[5.2.1a)]。風險管

理運行組織可被看作GB/T22080所要求的資源之一。

8信息安全風險評估

8.1信息安全風險評估總體描述

注：在GB/T22080中，風險評估活動被稱為過程。

輸入：為信息安全風險管理過程而建立的基本準則、范圍和邊界以及組織。

動作：宜識別風險，量化或定性地描述風險，并按照風險評價準則和組織相關目標按優(yōu)先順序排列

風險。

實施指南：

風險是有害事態(tài)發(fā)生所帶來的后果與該事態(tài)發(fā)生的可能性的組合。風險評估量化或定性地描述風

險，并使管理者能根據其感知的嚴重性或其他已建立的準則按優(yōu)先順序排序風險。

風險評估由以下活動組成：

風險分析（8.2）包括：

-風險識別（8.2.1）

-風險估算（8.2.2）

風險評價（8.3）

風險評估確定信息資產的價值，識別存在（或可能存在）的適用威脅和脆弱性，識別現有的控制措

施及其對已識別風險的效果，確定潛在的后果，最后，按優(yōu)先順序排列所得出的風險，并按照語境建立

時確定的風險評價準則評定等級。

風險評估通常進行兩次（或多次）迭代。首先，進行高層評估來識別潛在的高風險，作為進一步評

估的根據。下一次迭代可能對初始迭代所揭示的潛在高風險做進一步的深入考慮。如果這還不能提供足

夠的信息來評估風險，那么將會進行更加細致的分析，這可能是針對整個范圍的某些部分，還可能是使

用一種不同的方法。

由組織基于其風險評估的目標和對象，自行選擇其自身的風險評估方法。

有關信息安全風險評估方法的討論可參見附錄E。

輸出：按照風險評價準則，按優(yōu)先順序排列的已評估風險的列表。

8.2風險分析

8.2.1風險識別

風險識別介紹

風險識別的目的是決定可能發(fā)生什么會造成潛在損失，并深入了解損失可能是如何、在何地、為什

么發(fā)生。8.2.1的下列子條款所描述的步驟將會為風險估算活動收集輸入數據。

注：以下條款中描述的活動可能會根據所用方法的不同而按不同順序進行。

資產識別

輸入：要進行風險評估的范圍和邊界，包括責任人、地點、功能等組成部分的清單。

動作：宜識別已確定范圍內的資產（與GB/T220804.2.1d)1)相適應）。

實施指南：

8

GB/TXXXXX—XXXX

資產是對組織有價值任何東西，因此需要保護。資產識別時宜牢記，信息系統(tǒng)包含的不僅僅是硬件

和軟件。

資產識別宜在能為風險評估提供足夠信息的適當詳細程度上展開。資產識別的詳細程度將影響在風

險評估中所收集信息的總量。這種程度可在風險評估的進一步迭代中不斷細化。

宜識別每項資產的責任人，以提供資產的責任和可核查性。資產責任人可能不具有資產的財產所有

權，但適當時對其生產、開發(fā)、維護、使用和安全負有責任。資產責任人通常是最適合決定資產的組織

價值的人選（見中的資產估價）。

評審邊界是規(guī)定為信息安全風險管理過程所管理的組織資產的周邊。

與信息安全有關的資產識別和估價的更多信息可見附錄B。

輸出：要進行風險管理的資產列表、與資產相關的業(yè)務過程及其相關性的列表。

威脅識別

輸入：從事件評審、資產責任人、用戶以及其他來源獲取的有關威脅的信息，包括外部的威脅目錄。

動作：宜識別威脅及其來源（與GB/T220804.2.1d)2)相適應）。

實施指南：

威脅有可能損害資產，諸如信息、過程、系統(tǒng)乃至組織。威脅可能源自自然或人類，可能是意外的

或故意的。意外的和故意的威脅源都宜進行識別。威脅可能起因于組織的內部或外部。宜先一般地按類

型（例如，未授權行為、物理損害、技術故障）識別威脅，然后在必要時，在所識別的一般類型中識別

單個威脅。這就意味著不但沒有威脅被忽略，包括意料之外的，而且所需的工作量也是有限的。

一些威脅可能影響多項資產。在這種情況下，威脅可能導致不同的影響，這取決于受影響的資產。

威脅識別和發(fā)生可能性估算（見）用的輸入可以從資產責任人或使用者、人力資源職員、

設施管理和信息安全專家、物理安全專家、法律部門和包含法律機構的其他組織、氣象權威部門、保險

公司和國家政府機關等獲取。對待威脅須考慮環(huán)境和文化方面。

在當前的評估中，宜考慮來自事件和以往威脅評估的內部經驗。如果相關，或許值得查閱其他威脅

目錄（可能是針對某個組織或業(yè)務的）來完成一般威脅列表。威脅目錄和統(tǒng)計數據可以來自工業(yè)部門、

政府機關、法律機構、保險公司等。

當使用威脅目錄或先前的威脅評估結果時，宜意識到相關威脅是持續(xù)變化的，特別是當業(yè)務環(huán)境或

信息系統(tǒng)發(fā)生變化時。

威脅類型的更多信息可見附錄C。

輸出：識別了威脅類型和來源的威脅列表。

現有控制措施識別

輸入：控制措施說明書、風險處置實施計劃。

動作：宜識別現有的和已計劃的控制措施。

實施指南：

宜識別現有的控制措施以避免不必要的工作或成本，例如，重復的控制措施。此外，識別現有的控

制措施時，宜進行檢查以確?？刂拼胧┰谡_地工作——參照已有的ISMS審核報告將會減少這項任務所

花費的時間。如果控制措施不能按所期望地進行工作，這可能引起脆弱性。宜考慮已選的控制措施（或

戰(zhàn)略）運行失效的情況以及為此需要補充的控制措施以有效處理已識別的風險。根據GB/T22080，在ISMS

中，這由控制措施有效性的測量來支持。估計控制措施有效性的一個途徑就是查看其是否降低了威脅可

能性和利用脆弱性的容易度，或者事件的影響。管理評審和審核報告也提供有關現有控制措施有效性的

信息。

按照風險處置實施計劃將要實施的控制措施宜與已實施的控制措施以同樣的方式來考慮。

9

GB/TXXXXX—XXXX

一個現有的或計劃的控制措施可能被識別為無效的，或不充分的，或不合理的。如果不合理或不充

分，宜檢查該控制措施以確定其是否宜被移除，由另一個更適合的控制措施代替，或者比如出于成本原

因而仍被保留。

以下活動能有助于識別現有的或計劃的控制措施：

評審包含控制措施相關信息的文件（例如，風險處置實施計劃）。如果信息安全管理的過程已

被良好地文件化，那么，所有現有的或計劃的控制措施及其實施狀態(tài)將會是可獲得的；

就考慮到的信息過程或信息系統(tǒng)實際上實施了哪些控制措施，與信息安全負責人（例如，信息

安全官和信息系統(tǒng)安全官，物業(yè)經理或運營經理）和用戶聯系；

現場評審物理控制措施，將已實施的控制措施與宜被實施的控制措施列表進行比較，并就已實

施的控制措施是否在正確和有效地工作進行檢查；

評審內部審核結果。

輸出：所有現有的和計劃的控制措施及其實施和使用狀態(tài)的列表。

脆弱性識別

輸入：已知威脅的列表、資產和現有控制措施的列表。

動作：宜識別可被威脅利用而對資產或組織造成損害的脆弱性（與GB/T220804.2.1d)3)相適應）。

實施指南：

可在以下方面識別脆弱性：

組織；

過程和規(guī)程；

管理流程；

人員；

物理環(huán)境；

信息系統(tǒng)配置；

硬件、軟件或通信設備；

對外部各方的依賴。

脆弱性本身不會產生危害，只有被威脅利用時才會產生危害。沒有相應威脅的脆弱性可能不需要實

施控制措施，但是宜關注和監(jiān)視其變化。宜注意的是，一個沒有被正確實施或有缺陷的控制措施，或者

沒有被正確使用的控制措施，其本身可能就是一個脆弱性。一個控制措施可能是有效的或無效的，這取

決于其運行的環(huán)境。反之，沒有相應脆弱性的威脅不會導致風險。

脆弱性可能與以某種方式或為某種目的而使用的資產特性有關，而不是資產被購買或制造當初的打

算。需要考慮不同來源引起的脆弱性，例如，資產內在或外在的。

脆弱性和脆弱性評估方法的示例可見附錄D。

輸出：與資產、威脅和控制措施有關的脆弱性列表、待評審的與任何已識別的威脅無關的脆弱性列

表。

后果識別

輸入：資產列表、業(yè)務過程列表、與資產相關的威脅和脆弱性以及相關性列表（如果有）

動作：宜識別因資產喪失保密性、完整性和可用性而可能造成的后果（見GB/T220804.2.1d)4)）。

實施指南：

后果可能是喪失有效性、有害運行狀態(tài)、業(yè)務損失、聲譽破壞等。

此活動識別可能由某事件場景對組織造成的損害或后果。一個事件場景是對在一個信息安全事件中

一個威脅利用某個脆弱性或一組脆弱性的描述（見GB/T22081第13章）。事件場景的影響是依據在語境

10

GB/TXXXXX—XXXX

建立活動中所定義的影響準則來確定的。它可能影響到一項或多項資產，或者資產的一部分。因此，可

以按資產的財務成本和資產破壞或損害時的業(yè)務影響，給資產賦值。后果可能是臨時性的，也可能是永

久的（當資產被毀滅時）。

注：GB/T22080把事件場景的發(fā)生描述為“安全失效”。

組織宜從以下方面（但不限于）識別事件場景的運行后果：

調查和修復時間；

（工作）時間損失；

機會喪失；

健康和安全；

修復損傷所需專業(yè)技能的財務成本；

形象和信譽。

技術脆弱性的評估細節(jié)可見B.3影響評估。

輸出：與資產和業(yè)務過程相關的事件場景及其后果的列表。

8.2.2風險估算

風險估算方法

風險分析可在不同詳盡程度下進行，這取決于資產的關鍵性、已知脆弱性的程度和組織內之前發(fā)生

的事件。風險估算方法可以是定性的或定量的，或者是兩者組合，這取決于所處環(huán)境。在實踐中，通常

首先使用定性估算，以獲取風險級別的總體情況，并發(fā)現主要風險。然后，在必要時，對主要風險進行

更詳盡的或定量的分析，因為定性分析通常沒有定量分析那么復雜和昂貴。

分析的構成宜符合建立語境時所制定的風險評價準則。

以下描述估算方法的更多細節(jié)：

a)定性估算：

定性估算使用修飾性的尺度來描述潛在后果的嚴重程度（例如，低、中和高），以及這些后果發(fā)生

的可能性。定性估算的優(yōu)點是易于所有相關人員理解，而缺點是對尺度主觀選擇的依賴。

這些尺度能被調整以適合所處環(huán)境，不同風險可采用不同的尺度描述。定性估算可被用于：

作為一個初步的篩選活動，以識別需要更詳細分析的風險；

當這種分析適于作決策時；

當數值數據或資源不足以做定量估算時。

定性分析宜使用確鑿的可用信息和數據。

b)定量估算

定量估算使用各種來源的數據，采用數值尺度（而不是定性估算中所用的描述性尺度）來描述后果

和可能性。定量分析的質量取決于數值的準確性和完整性，以及所用模式的有效性。大多數情況下，定

量估算使用歷史事件數據，其優(yōu)點是它能直接關聯到組織的信息安全目標和關注點。但缺點是缺乏關于

新的風險或信息安全弱點的這類數據。定量方法的另一個可能缺點是因確鑿的、可審計的數據不可用，

使得風險評估的價值和準確性成為一種幻想。

后果和可能性的表達方式以及兩者結合以表示風險程度的方式，將根據風險的類型以及風險評估輸

出的使用目的不同而不同。后果及可能性的不確定性和可變性宜在分析時加以考慮，并有效溝通。

后果評估

輸入：已識別的相關事件場景列表，包括威脅、脆弱性、受影響的資產、對資產和業(yè)務過程造成后

果的識別。

11

GB/TXXXXX—XXXX

動作：宜評估可能的或實際的信息安全事件可能對組織造成的業(yè)務影響，同時考慮信息安全破壞的

后果，諸如，資產保密性、完整性或可用性的喪失（與GB/T220804.2.1e)1)相適應）。

實施指南：

在識別了評審下的所有資產后，宜在評估后果期間考慮賦予這些資產的價值。

業(yè)務影響值可以用定性和定量的形式表示，而任何賦予貨幣價值的方法通常會為決策提供更多的信

息，從而有助于更加有效的決策過程。

資產估價從按資產關鍵性進行的資產分類開始，資產的關鍵性體現為資產對實現組織業(yè)務目標的重

要性。因此，估價使用兩種計量來確定：

資產的替換價值：徹底恢復和替換信息（如果完全可能）的成本；

資產丟失或損害的業(yè)務后果，諸如，信息和其他信息資產的泄漏、更改、不可用和（或）

破壞對業(yè)務和（或）法律法規(guī)或規(guī)章制度造成的潛在負面后果。

這種估價可從業(yè)務影響分析中來確定。由業(yè)務后果確定的價值通常顯著地高于簡單的替換成本，這

取決于資產對于組織在滿足其業(yè)務目標時的重要性。

資產估價是一個事件場景影響評估的關鍵因素，因為事件影響的可能不只一項資產（例如，相互依

賴的資產），或僅是一項資產的一部分。不同的威脅和脆弱性將對資產產生不同的影響，諸如，保密性、

完整性或可用性的喪失。因此，后果的評估與基于業(yè)務影響分析的資產估價有關。

后果或業(yè)務影響的確定可能是通過模型化一個事態(tài)或一組事態(tài)的輸出，或者通過由實驗性研究或歷

史數據的推斷。

后果可能按貨幣的、技術的或人為的影響準則，或是與組織相關的其他準則來表達。在某些情況下，

需要多個數值為不同的時間、地點、團體或情況來說明后果。

測量時間和財務方面的后果宜采用與用于測量威脅可能性和脆弱性的相同方法。不論是定量還是定

性方法，一致性須得到保持。

有關資產估價和影響評估的更多信息可見附錄B。

輸出：按照資產和影響準則表達的事件場景評估結果列表。

事件可能性評估

輸入：已識別的相關事件場景列表，包括威脅、受影響的資產、被利用的脆弱性、對資產和業(yè)務過

程造成后果的識別。此外，所有現有的和已計劃的控制措施及其有效性、實施和使用狀況的列表。

動作：宜評估事件場景的可能性（與GB/T220804.2.1e)2)相適應）。

實施指南：

識別事件場景后，有必要使用定性或定量估算技術，評估每個場景和影響發(fā)生的可能性。這宜考慮

威脅發(fā)生的頻繁程度和脆弱性被利用的容易程度，并考慮以下因素：

對威脅可能性的經驗和適用的統(tǒng)計數據；

對于蓄意的威脅源：隨時間而變的動機和能力，潛在攻擊者可用的資源，以及潛在攻擊者

對資產吸引力和脆弱性的感知；

對于突發(fā)的威脅源：地理因素（例如，鄰近化工或石油工廠）、極端天氣情況的可能性、

可能導致人為錯誤或設備故障的因素；

單個和聚集的脆弱性；

現有的控制措施及其減少脆弱性的有效性。

舉例來說，一個信息系統(tǒng)可能存在為用戶身份偽裝和資源濫用威脅利用的脆弱性。因缺乏用戶鑒別，

用戶身份偽裝威脅利用此脆弱性的可能性會高。另一方面，盡管缺乏用戶鑒別，因濫用資源的途徑有限，

資源濫用的可能性會較低。

12

GB/TXXXXX—XXXX

根據精確度的需要，可能將資產組合，也可能有必要將資產拆分成要素并將事件場景與要素關聯。

例如，跨越地理位置時，對同類資產威脅的性質可能改變，或者現有控制措施的有效性可能會變化。

輸出：事件場景的可能性（定量的或定性的）。

風險級別估算

輸入：事件場景列表，包括其與資產和業(yè)務過程相關的后果以及其發(fā)生的可能性（定量的或定性的）。

動作：宜估算所有相關事件場景的風險級別（與GB/T220804.2.1e)4)相適應）。

實施指南：

風險估算為風險的可能性和后果賦值。這些值可以是定量的或定性的。風險估算是基于所評估的后

果和可能性。此外，它可能考慮成本效益、利益相關者的關注點和其他適合風險評價的變量。估算出的

風險是事件場景的可能性和其后果的組合。

不同信息安全風險估算方法的示例可見附錄E。

輸出：被賦予級別值的風險列表。

8.3風險評價

輸入：被賦予級別值的風險列表和風險評價準則。

動作：宜將風險級別與風險評價準則和風險接受準則比較（與GB/T220804.2.1e)4)相適應）。

實施指南：

關于風險評價的決策性質和用于做出這些決策的風險評價準則，在建立語境時就已被確定。在本階

段，當了解到更多有關已識別的特定風險時，宜更詳盡地重新審視這些決策及其語境。為評價風險，組

織宜將已估算的風險（使用附錄E討論的被選方法或途徑）與在語境建立時確定的風險評價準則進行比

較。

用于決策的風險評價準則宜與確定的外部和內部信息安全風險管理語境保持一致，并考慮組織的目

標和利益相關者的觀點等。在風險評價活動中做出的決策主要基于風險的可接受級別。但是，風險識別

和分析中得到的后果、可能性和可信度宜一并考慮。多個中低風險的聚合可能導致更高的整體風險，需

要得到相應對待。

宜考慮：

信息安全特性：如果一個準則與組織不相關（例如，保密性喪失），那么影響此準則的所

有風險可能都與組織不相關；

由一個特定資產或一組資產支撐的業(yè)務過程或活動的重要性：如果過程被確定為低重要

性，則與之相關的風險，相對于影響更重要的過程或活動的風險而言，宜給予較少考慮。

風險評價使用風險分析所得的關于風險的理解來對未來的行動做決策。決策宜包括：

是否宜采取活動；

考慮已估算的風險級別而排列風險處置優(yōu)先級。

在風險評價階段，除了被估算的風險外，還宜考慮合同、法律法規(guī)和規(guī)章制度要求等因素。

輸出：與導致這些風險的事件場景相關的，依據風險評價準則按優(yōu)先順序排列的風險列表。

9信息安全風險處置

9.1風險處置總體描述

輸入：與導致這些風險的事件場景相關的，依據風險評價準則按優(yōu)先順序排列的風險列表。

動作：宜選擇控制措施以降低、保留、規(guī)避或轉移風險，并制定一個風險處置計劃。

13

GB/TXXXXX—XXXX

實施指南：

風險處置有四種選項：風險降低（見9.2）、風險保留（見9.3）、風險規(guī)避（見9.4）和風險轉移

（見9.5）。

注：GB/T220804.2.1f)2)使用術語“接受風險”而不是“保留風險”。

圖2顯示了圖1所示的信息安全風險管理過程中的風險處置活動。

風險評估結果

評估

是否滿意

風險決策點1

風險處置

風險處置

風險降低風險保留風險規(guī)避風險轉移

風險評估結果

風險決策點2

處置

是否滿意

圖2風險處置活動

選擇風險處置選項時，宜基于風險評估結果以及實施這些選項的預期成本和收益。

宜實施那些以相對較低的支出就可大量減少風險的選項。進一步改進的選項可能是不經濟的，需要

判斷其是否是合理的。

通常情況下，如果合理可行，宜盡量降低風險的負面后果，無需考慮任何絕對準則。管理者宜考慮

罕見的但嚴重的風險。在這種情況下，可能需要實施嚴格經濟意義上不合理的控制措施（例如，考慮覆

蓋特定高風險的業(yè)務連續(xù)性控制措施）。

風險處置的四個選項不是互相排斥的。有時，組織可以大幅受益于選項的組合，如降低風險的可能

性，減輕其后果，并轉移或保留任何殘余風險。

某些風險處置能有效地解決多個風險（例如，信息安全培訓和意識）。宜制定風險處置計劃，明確

標識出各風險處置的實施優(yōu)先順序和時限。優(yōu)先級可以通過各種技術來確立，包括風險排序、成本效益

分析。組織的管理者有責任決定實施控制措施的成本與預算安排之間的平衡。

14

GB/TXXXXX—XXXX

就成本比較而言，現有控制措施的識別可能得出這些現有控制措施已超出當前需要的結論，包括維

護。如果考慮去除多余的或不必要的控制措施（尤其是如果這些控制措施需要高昂的維護費維護成本），

那么宜考慮信息安全和成本因素。由于控制措施會相互影響相應，去除多余的控制措施可能會降低現有

的整體安全。此外，保留而不是去除多余的或不必要的控制措施可能更便宜。

考慮風險處置選項時，宜考慮到：

受影響方怎樣感知風險；

告知這些受影響方的最適當方式。

語境建立（見7.2中的風險評價準則）提供了有關組織需符合法律法規(guī)和規(guī)章制度要求的信息。組

織面臨違規(guī)的風險，宜實現處置選項以限制這種可能性。在語境建立活動中識別的所有約束（組織的、

技術的、結構的等）宜在風險處置期間予以考慮。

一旦確定了風險處置計劃，就需要確定殘余風險。這需要在考慮到所建議的風險處置的預期效果下，

進行風險評估的更新或再次迭代。如果殘余風險仍不能滿足組織的風險接受準則，則轉入風險接受之前，

可能有必要進行風險處置的進一步迭代。更多信息可見GB/T220810.3。

輸出：組織管理者決定接受的風險處置計劃和殘余風險。

9.2風險降低

動作：宜通過選擇控制措施來降低風險級別，使殘余風險能夠再被評估時達到可接受的級別。

實施指南：

宜選擇適當的和合理的控制措施來滿足風險評估和風險處理所識別的要求。這一選擇宜考慮風險接

受準則以及法律法規(guī)、規(guī)章制度和合同要求。這一選擇也宜考慮實施控制措施的成本和時限，或者技術、

環(huán)境和文化方面。通常可以通過適當選擇的信息安全控制措施來降低系統(tǒng)的總擁有成本。

通常，控制措施可提供下列保護類型中的一種或多種：糾正、消除、預防、影響最小化、威懾、檢

測、恢復、監(jiān)視和意識。在選擇控制措施時，重要的是權衡獲取、實施、管理、運行、監(jiān)視和保持控制

措施的成本與被保護資產的價值。而且，宜考慮某些控制措施在風險降低和開拓新業(yè)務機會的潛力方面

帶來的投資回報。此外，宜考慮到確定和實施新的控制措施或修改現有控制措施時所需的專業(yè)技能。

GB/T22081提供了有關控制措施的詳細信息。

有許多約束會影響控制措施的選擇。技術約束，諸如，性能要求、可管理性（運行支持要求）和兼

容性問題，可能會妨礙某些控制措施的使用，或者導致人為失誤，要么使控制措施無效，產生安全錯覺，

要么比沒有控制措施還甚至增加風險（例如，要求復雜的口令，但沒有適當的培訓，導致用戶將口令寫

下來）。而且，控制措施可能會影響性能。管理者宜設法找出解決方案以保證足夠的信息安全的同時滿

足性能要求。這一步驟的結果是可能的控制措施的列表，包括成本、效益和實施優(yōu)先級。

選擇和實施控制措施時宜考慮各種不同約束。典型地，考慮如下：

時間約束；

財務約束；

技術約束；

運行約束；

文化約束；

道德約束；

環(huán)境約束；

法律約束；

易用性；

人員約束；

整合新的和現有控制措施的約束。

15

GB/TXXXXX—XXXX

關于風險降低約束的更多信息可見附錄F。

9.3風險保留

動作：宜根據風險評價做出的不采取進一步行動的風險保留決策。

注：GB/T220804.2.1f)2)“在明顯滿足組織方針策略和接受風險的準則的條件下，有意識地、客觀地接受風險”

描述同樣的活動。

實施指南：

如果風險級別滿足風險接受準則，那么沒有必要實施額外的控制措施，并且風險可被保留。

9.4風險規(guī)避

動作：宜規(guī)避引起特定風險的活動或狀況。

實施指南：

當所識別的風險被認為過高，或實施其他風險處置選項的花費超過了收益時，可作出從計劃的或現

有的活動或一組活動中的撤出，或者改變活動賴以進行的狀況的決定，來完全地規(guī)避風險。例如，對于

由自然界引起的風險，物理上把信息處理設施移到風險不存在或處于控制下的地方，可能是成本效益最

好的選擇。

9.5風險轉移

動作：宜將風險轉移給能有效管理特定風險的另一方，這取決于風險評價。

實施指南：

風險轉移需做出與外部相關方共擔某些風險的決策。風險轉移能產生新的風險或更改現存的、已識

別的風險。因此，額外的風險處置可能是必要的。

轉移的實現可以是通過保險來補償后果，或者分包給合作伙伴來監(jiān)視信息系統(tǒng)和立即采取行動阻止

攻擊以防造成超過規(guī)定程度的損害。

宜注意的是，轉移管理風險的責任是可能的，但是轉移影響的責任通常是不可能的?？蛻敉ǔ?/p>

負面影響歸于組織的過錯。

10信息安全風險接受

輸入：組織管理者決定接受的風險處置計劃和殘余風險。

動作：宜做出并正式記錄接受風險的決策及相應責任（與GB/T220804.2.1h)相適應）。

實施指南：

風險處置計劃宜描述被評估的風險如何被處置以滿足風險接受準則（見7.2中的風險接受準則）。

對于負有責任的管理者來說，重要的是評審和批準建議的風險處置計劃及其殘余風險，并記錄任何與這

種批準相關的狀況。

風險接受準則可能比只決定殘余風險是否高于或低于某個單一閾值更加復雜。

在某些情況下，由于所用的風險接受準則沒有考慮當前的環(huán)境，殘余風險級別可能不滿足風險接受

準則。例如，由于伴隨風險的利益非常誘人，或者降低風險的成本太高，可能會主張有必要接受風險。

這種情況表明風險接受準則是不充分的，如有可能宜進行修訂。然而，及時修訂風險接受準則不總是可

能的。在這種情況下，決策者可能不得不接受不符合正常接受準則的風險。如果這是必要的，決策者宜

明確地給出對風險的意見，并給出其不按正常風險接受準則做決策的理由。

輸出：被接受風險的列表，以及接受那些不符合組織正常風險接受準則的風險的理由。

16

GB/TXXXXX—XXXX

11信息安全風險溝通

輸入：從風險管理活動（見圖1）中獲得的所有風險信息。

動作：有關風險的信息宜在決策者和其他利益相關方之間進行交換和（或）共享。

實施指南：

風險溝通是一項在決策者和利益相關者之間就如何通過交換和（或）共享有關風險信息來管理風險

而達成一致的活動。風險信息包括但不限于風險的存在、性質、形式、可能性、嚴重程度、處置和可接

受性。

利益相關者之間的有效溝通是重要的，因為它可能對決策有顯著的影響。溝通將確保那些實施風險

管理的負責人和那些既得利益者，理解決策的基礎和所需特定行動的原因。溝通是雙向的。

當利益相關者涉及到面臨的風險或問題時，對風險的感知可能因他們的假設、概念與需求、問題與

關注點的不同而不同。利益相關者很可能基于他們對風險的感知來判斷風險可接受性。尤其重要的是確

保識別和文件化利益相關者對風險和利益的感知，并明確地理解和解決其根本原因。

宜進行風險溝通以達到如下目的：

為組織的風險管理結果提供保證；

收集風險信息；

共享風險評估結果，提出風險處置計劃；

避免或減少由于決策者和利益相關者之間缺少相互理解而造成的信息安全違反及其后果；

支持決策；

獲取新的信息安全知識；

與其他方協作，制定響應計劃以降低任何事件的后果；

使決策者和利益相關者具有風險責任感；

提高意識。

組織宜為正常運行以及突發(fā)情況制定風險溝通計劃。因此，宜持續(xù)執(zhí)行風險溝通活動。

可以通過成立一個委員會來實現主要決策者和利益相關者之間的協作，風險及其優(yōu)先級、適當處置

和接受可在這個委員會上討論。

重要的是與組織內適當的公共關系部門或對外溝通部門進行合作，以協調所有有關風險溝通的任

務。這在危機溝通行動中至關重要，例如，響應特殊的事件。

輸出：對組織的信息安全風險管理過程和結果的持續(xù)理解。

12信息安全風險監(jiān)視和評審

12.1風險因素的監(jiān)視和評審

輸入：從風險管理活動（見圖1）中獲得的所有風險信息。

動作：宜監(jiān)視和評審風險及其因素（例如，資產的價值、影響、威脅、脆弱性、發(fā)生的可能性），

以便在早期階段識別出組織語境中的任何變化，并保持對整個風險狀況的總體了解。

實施指南：

風險不是靜態(tài)的。威脅、脆弱性、可能性或后果可能會在沒有任何跡象的情況下突然改變。因此，

有必要持續(xù)監(jiān)視以發(fā)現這些變化。這可以由提供有關新威脅或脆弱性信息的外部服務來支持。

組織宜確保以下事項得到持續(xù)監(jiān)視：

被包括到風險管理范圍內的新資產；

資產價值