《信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理》編制說(shuō)明

一、工作簡(jiǎn)況

1.1任務(wù)來(lái)源

《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》是國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2010

年下達(dá)的信息安全國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目，國(guó)標(biāo)計(jì)劃號(hào)為：20111634-T-469。由中國(guó)

電子技術(shù)標(biāo)準(zhǔn)化研究院主要負(fù)責(zé)起草。上海三零衛(wèi)士信息安全有限公司、北京信

息安全測(cè)評(píng)中心、山東計(jì)算中心、黑龍江電子信息產(chǎn)品監(jiān)督檢驗(yàn)院等單位共同參

與了該標(biāo)準(zhǔn)的起草工作。

1.2任務(wù)背景

《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》是國(guó)際信息安全管理體系

（ISMS）標(biāo)準(zhǔn)族（即ISO/IEC27000系列標(biāo)準(zhǔn)）中的標(biāo)準(zhǔn)之一。國(guó)際信息安全標(biāo)

準(zhǔn)化組織ISO/IECJTC1SC27/WG1專(zhuān)門(mén)負(fù)責(zé)ISMS標(biāo)準(zhǔn)族的研究和制定。ISMS標(biāo)

準(zhǔn)族作為一套具有一定科學(xué)理論基礎(chǔ)和實(shí)踐價(jià)值的標(biāo)準(zhǔn)，被廣泛用于不同國(guó)家、

不同領(lǐng)域，為不同信息安全管理需求的用戶(hù)提供了參考和指導(dǎo)。信息安全管理是

基于風(fēng)險(xiǎn)的管理，也就是說(shuō)，風(fēng)險(xiǎn)管理是信息安全管理的基本方法，本標(biāo)準(zhǔn)的主

要目的是為信息安全風(fēng)險(xiǎn)管理提供指導(dǎo)，并對(duì)于深入理解和有效、合理實(shí)施ISMS

具有非常重要的意義。

截至目前，我國(guó)在持續(xù)跟蹤研究該系列標(biāo)準(zhǔn)的基礎(chǔ)上，已經(jīng)轉(zhuǎn)化了ISMS中

最為重要和核心的四項(xiàng)標(biāo)準(zhǔn)，分別是：ISO/IEC27001:2005《信息技術(shù)安全技

術(shù)信息安全管理體系要求》（對(duì)應(yīng)國(guó)家標(biāo)準(zhǔn)GB/T22080:2008）、ISO/IEC

27002:2005《信息技術(shù)安全技術(shù)信息安全管理使用規(guī)則》（對(duì)應(yīng)國(guó)家標(biāo)準(zhǔn)GB/T

22081:2008）、ISO/IEC27006:2007《信息技術(shù)安全技術(shù)信息安全管理體系認(rèn)

證機(jī)構(gòu)認(rèn)可要求》（GB/T25067-2010）、ISO/IEC27000:2010《信息技術(shù)安全技

術(shù)信息安全管理體系概述和詞匯》（即將發(fā)布）。其中，ISO/IEC27001和ISO/IEC

27002是建設(shè)組織信息安全管理體系的基礎(chǔ)依據(jù)；ISO/IEC27000則提供了有關(guān)

ISMS系列標(biāo)準(zhǔn)的術(shù)語(yǔ)和定義，并提供了整個(gè)ISMS標(biāo)準(zhǔn)族的概貌，對(duì)于希望了解

和使用ISMS標(biāo)準(zhǔn)族的用戶(hù)具有重要的指導(dǎo)意義；ISO/IEC27006則規(guī)范了信息

安全管理體系的審核和認(rèn)證工作。

1.3主要工作過(guò)程

1、2010年6月至2011年3月，由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭，成立

1

由上海三零衛(wèi)士信息安全有限公司、北京測(cè)評(píng)中心、山東計(jì)算中心、黑龍江電子

信息產(chǎn)品監(jiān)督檢驗(yàn)院等單位共同組成的標(biāo)準(zhǔn)編制組，共同參與編制國(guó)家標(biāo)準(zhǔn)《信

息安全管理體系實(shí)施指南》、《信息安全管理測(cè)量》和《信息安全風(fēng)險(xiǎn)管理》等

工作。對(duì)國(guó)際標(biāo)準(zhǔn)ISO/IEC27003:2010《信息技術(shù)安全技術(shù)信息安全管理體

系實(shí)施指南》、ISO/IEC27004:2009《信息技術(shù)安全技術(shù)信息安全管理測(cè)量》

和ISO/IEC27005:2008《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》等三個(gè)標(biāo)準(zhǔn)

文本，進(jìn)行了等同翻譯，完成了初稿。

2、2011年5月18日至19日，正式召開(kāi)上述三項(xiàng)國(guó)家標(biāo)準(zhǔn)編制工作啟動(dòng)會(huì)

暨第一次標(biāo)準(zhǔn)編制組會(huì)，會(huì)上，主要對(duì)各標(biāo)準(zhǔn)范圍、主要內(nèi)容和框架、理解難

點(diǎn)以及三項(xiàng)標(biāo)準(zhǔn)中相關(guān)術(shù)語(yǔ)概念的協(xié)同處理等進(jìn)行了交流和討論。根據(jù)會(huì)議討

論情況及存在的問(wèn)題，安排對(duì)標(biāo)準(zhǔn)初稿進(jìn)一步完善。

3、2011年6月至10月，各標(biāo)準(zhǔn)具體負(fù)責(zé)人根據(jù)5月會(huì)議討論決定，對(duì)標(biāo)

準(zhǔn)初稿文本進(jìn)行了修改完善，形成了標(biāo)準(zhǔn)草案第一稿。

4、2011年11月24日至25日，標(biāo)準(zhǔn)編制組召開(kāi)第二次標(biāo)準(zhǔn)編制組會(huì)，對(duì)

標(biāo)準(zhǔn)草案第一稿進(jìn)行討論和研究，進(jìn)一步修改完善，形成了標(biāo)準(zhǔn)草案第二稿。

5、2012年3月5日至6日，標(biāo)準(zhǔn)編制組召開(kāi)第三次標(biāo)準(zhǔn)編制組會(huì)，對(duì)標(biāo)準(zhǔn)

草案第二稿進(jìn)行討論和研究，進(jìn)一步修改完善，形成了標(biāo)準(zhǔn)草案第三稿。

6、2012年4月起，就已形成的標(biāo)準(zhǔn)草案小范圍征求相關(guān)專(zhuān)家的意見(jiàn)和建議，

并根據(jù)專(zhuān)家意見(jiàn)和建議，本著對(duì)國(guó)際標(biāo)準(zhǔn)內(nèi)容理解更加準(zhǔn)確、表達(dá)更加通暢等

原則，對(duì)標(biāo)準(zhǔn)草案第三稿進(jìn)行了全面的校對(duì)，形成了目前的標(biāo)準(zhǔn)草案第四稿。

7、2012年8月28日，標(biāo)準(zhǔn)編制組召開(kāi)專(zhuān)家意見(jiàn)征求會(huì)，一方面，提出標(biāo)

準(zhǔn)草案第四稿中的遺留問(wèn)題，咨詢(xún)與會(huì)專(zhuān)家的意見(jiàn)和建議；同時(shí)另一方面，聽(tīng)

取與會(huì)專(zhuān)家對(duì)標(biāo)準(zhǔn)草案第四稿的修改意見(jiàn)和建議。會(huì)后，根據(jù)與會(huì)專(zhuān)家的意見(jiàn)

和建議，對(duì)標(biāo)準(zhǔn)草案第四稿作了進(jìn)一步修改完善，形成了標(biāo)準(zhǔn)草案第五稿。

8、2012年11月27日，標(biāo)準(zhǔn)編制組召開(kāi)專(zhuān)家審查會(huì)，聽(tīng)取了與會(huì)專(zhuān)家對(duì)標(biāo)

準(zhǔn)草案第五稿的修改意見(jiàn)和建議，并通過(guò)了專(zhuān)家審查。會(huì)后，根據(jù)與會(huì)專(zhuān)家的

意見(jiàn)和建議，對(duì)標(biāo)準(zhǔn)草案第五稿作了進(jìn)一步修改完善，形成了標(biāo)準(zhǔn)草案第六稿。

9、2013年1月15日，通過(guò)了WG7組的全體成員投票工作會(huì)議，會(huì)后對(duì)文

本進(jìn)行了修改完善，形成了征求意見(jiàn)稿。

2

二、編制原則和主要內(nèi)容

2.1編制原則

等同采用：基于目前國(guó)內(nèi)對(duì)國(guó)際ISMS標(biāo)準(zhǔn)族相關(guān)標(biāo)準(zhǔn)的研究和轉(zhuǎn)化情況，

以及我國(guó)整體信息安全管理理論和技術(shù)發(fā)展現(xiàn)狀，標(biāo)準(zhǔn)編制組認(rèn)為有必要等同轉(zhuǎn)

化ISO/IEC27005，因此，決定等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27005:2008《信息技

術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》。

準(zhǔn)確理解：在充分理解國(guó)際標(biāo)準(zhǔn)原文的基礎(chǔ)上進(jìn)行等同翻譯，做到準(zhǔn)確表

達(dá)原意。

語(yǔ)言通暢：在等同翻譯時(shí)，盡量符合中文的語(yǔ)言習(xí)慣，做到表述通暢。

2.2主要內(nèi)容

本標(biāo)準(zhǔn)為組織內(nèi)的信息安全風(fēng)險(xiǎn)管理提供指南，特別是支持根據(jù)GB/T

22080的ISMS要求。本標(biāo)準(zhǔn)支持GB/T22080所規(guī)約的一般概念，旨在有助于基

于風(fēng)險(xiǎn)管理方法來(lái)滿(mǎn)意地實(shí)現(xiàn)信息安全。知曉GB/T22080和GB/T22081中所描

述的概念、模型、過(guò)程和術(shù)語(yǔ)，對(duì)于完整地理解本標(biāo)準(zhǔn)是重要的。

本標(biāo)準(zhǔn)適用于各種類(lèi)型的組織（例如，商務(wù)企業(yè)、政府機(jī)構(gòu)、非盈利性組

織），這些組織期望管理可能危及其信息安全的風(fēng)險(xiǎn)。

然而，本標(biāo)準(zhǔn)不提供信息安全風(fēng)險(xiǎn)管理的任何特定方法。由組織來(lái)確定其

風(fēng)險(xiǎn)管理方法，這取決于，例如，組織的ISMS范圍、風(fēng)險(xiǎn)管理語(yǔ)境或所處行業(yè)。

一些現(xiàn)有的方法可在本標(biāo)準(zhǔn)描述的框架下使用，以實(shí)現(xiàn)ISMS的要求。

本標(biāo)準(zhǔn)內(nèi)容框架如下：

引言

1范圍

2規(guī)范性引用文件

3術(shù)語(yǔ)和定義

4本標(biāo)準(zhǔn)結(jié)構(gòu)

5背景

6信息安全風(fēng)險(xiǎn)管理過(guò)程概述

7語(yǔ)境建立

7.1總體考慮

3

7.2基本準(zhǔn)則

7.3范圍和邊界

7.4信息安全風(fēng)險(xiǎn)管理組織

8信息安全風(fēng)險(xiǎn)評(píng)估

8.1信息安全風(fēng)險(xiǎn)評(píng)估總體描述

8.2風(fēng)險(xiǎn)分析

8.3風(fēng)險(xiǎn)評(píng)價(jià)

9信息安全風(fēng)險(xiǎn)處置

9.1風(fēng)險(xiǎn)處置總體描述

9.2風(fēng)險(xiǎn)降低

9.3風(fēng)險(xiǎn)保留

9.4風(fēng)險(xiǎn)規(guī)避

9.5風(fēng)險(xiǎn)轉(zhuǎn)移

10信息安全風(fēng)險(xiǎn)接受

11信息安全風(fēng)險(xiǎn)溝通

12信息安全風(fēng)險(xiǎn)監(jiān)視和評(píng)審

12.1風(fēng)險(xiǎn)因素的監(jiān)視和評(píng)審

12.2風(fēng)險(xiǎn)管理監(jiān)視、評(píng)審和改進(jìn)

附錄A（資料性附錄）確定信息安全風(fēng)險(xiǎn)管理過(guò)程的范圍和邊界

附錄B（資料性附錄）資產(chǎn)識(shí)別和估價(jià)以及影響評(píng)估

附錄C（資料性附錄）典型威脅示例

附錄D（資料性附錄）脆弱性和脆弱性評(píng)估方法

附錄E（資料性附錄）信息安全評(píng)估方法

附錄F（資料性附錄）風(fēng)險(xiǎn)降低的約束

參考文獻(xiàn)

三、主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果

本標(biāo)準(zhǔn)是一種方法指南，用于指導(dǎo)組織內(nèi)的信息安全風(fēng)險(xiǎn)管理，旨在通過(guò)

風(fēng)險(xiǎn)管理方法做到控制措施有效、成本效益合理地實(shí)現(xiàn)組織的信息安全，防止信

4

息安全風(fēng)險(xiǎn)可能給組織業(yè)務(wù)帶來(lái)的負(fù)面影響或利益損害。

四、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國(guó)際、國(guó)外同類(lèi)標(biāo)準(zhǔn)水平的

對(duì)比情況，或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況

本標(biāo)準(zhǔn)等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27005:2008。

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)。本標(biāo)準(zhǔn)與現(xiàn)有國(guó)家標(biāo)準(zhǔn)GB/T22080:2008《信息

技術(shù)安全技術(shù)信息安全管理體系要求》、GB/T22081:2008《信息技術(shù)安全技

術(shù)信息安全管理實(shí)用規(guī)則》以及GB/T25067:2010《信息技術(shù)安全技術(shù)信息

安全管理體系審核認(rèn)證機(jī)構(gòu)的要求》都屬于信息安全管理體系標(biāo)準(zhǔn)族標(biāo)準(zhǔn)。GB/T

22080:2008提供了建立信息安全管理體系的模型及每個(gè)過(guò)程的具體活動(dòng)，可供

用戶(hù)建立和實(shí)施滿(mǎn)足自身業(yè)務(wù)需求和安全需要的信息安全管理體系。GB/T

22081:2008提供了一套通用的安全控制目標(biāo)和最佳實(shí)踐控制措施，可指導(dǎo)用戶(hù)

選擇和實(shí)施控制措施以實(shí)現(xiàn)信息安全。GB/T25067:2010為依據(jù)GB/T22080:2008

從事ISMS審核和認(rèn)證的機(jī)構(gòu)規(guī)定了要求并提供相關(guān)指導(dǎo)。本標(biāo)準(zhǔn)則為組織內(nèi)的

信息安全風(fēng)險(xiǎn)管理提供指導(dǎo)，特別是支持根據(jù)GB/T22080的ISMS要求。本標(biāo)準(zhǔn)

提出了方法性的建議和解釋?zhuān)⑽匆?guī)定任何要求。本標(biāo)準(zhǔn)可與GB/T22080-2008

和GB/T22081-2008一起使用，但并未修改或降低GB/T22080-2008所規(guī)定的要

求或GB/T22081-2008所提出的建議。

六、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)

詳見(jiàn)意見(jiàn)匯總處理表。

七、國(guó)家標(biāo)準(zhǔn)作為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)或推薦性國(guó)家標(biāo)準(zhǔn)的建議

建議本標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。

5

八、貫徹國(guó)家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過(guò)渡辦法等

內(nèi)容）

本標(biāo)準(zhǔn)通過(guò)風(fēng)險(xiǎn)管理方法，為國(guó)家標(biāo)準(zhǔn)GB/T22080:2008《信息技術(shù)安全

技術(shù)信息安全管理體系要求》和GB/T22081:2008《信息技術(shù)安全技術(shù)信息

安全管理實(shí)用規(guī)則》的有效、合理實(shí)施提供支持。因此，本標(biāo)準(zhǔn)貫徹實(shí)施時(shí)，應(yīng)

與上述兩個(gè)標(biāo)準(zhǔn)結(jié)合在一起進(jìn)行。

九、其他事項(xiàng)說(shuō)明

本標(biāo)準(zhǔn)與國(guó)家標(biāo)準(zhǔn)