GB/T 31509-2015信息安全技术信息安全风险评估实施指南

ICS35040

L80.

中华人民共和国国家标准

GB/T31509—2015

信息安全技术信息安全风险评估

实施指南

Informationsecuritytechnology—Guideofimplementationfor

informationsecurityriskassessment

2015-05-15发布2016-01-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T31509—2015

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义和缩略语

3、………………………1

风险评估实施概述

4………………………2

实施的基本原则

4.1……………………2

实施的基本流程

4.2……………………3

风险评估的工作形式

4.3………………3

信息系统生命周期内的风险评估

4.4…………………4

风险评估实施的阶段性工作

5……………4

准备阶段

5.1……………4

识别阶段

5.2……………10

风险分析阶段

5.3………………………21

风险处理建议

5.4………………………24

附录资料性附录调查表

A()……………28

附录资料性附录安全技术脆弱性核查表

B()…………35

附录资料性附录安全管理脆弱性核查表

C()…………45

附录资料性附录风险分析案例

D()……………………52

Ⅰ

GB/T31509—2015

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位国家信息中心国家保密技术研究所北京信息安全测评中心上海市信息安全测

:、、、

评认证中心沈阳东软系统集成工程有限公司国和信诚北京信息安全有限公司

、、()。

本标准主要起草人吴亚非禄凯张志军陈永刚赵章界席斐应力马朝斌倪志强

:、、、、、、、、。

Ⅲ

GB/T31509—2015

引言

信息安全风险评估是信息安全保障工作的重要内容之一与信息系统等级保护信息安全检查信

,、、

息安全建设等工作紧密相关并通过风险发现分析评价为上述相关工作提供支持

,、、。

为指导信息安全风险评估工作的开展本标准依据信息安全技术信息安全风险评估规范

,《》

从风险评估工作开展的组织管理流程文档审核等几个方面提出了相关要

(GB/T20984—2007),、、、、

求是信息安全技术信息安全风险评估规范的操作性指导标准它也是信息

,《》(GB/T20984—2007),

安全风险管理相关标准之一

。

Ⅳ

GB/T31509—2015

信息安全技术信息安全风险评估

实施指南

1范围

本标准规定了信息安全风险评估实施的过程和方法

。

本标准适用于各类安全评估机构或被评估组织对非涉密信息系统的信息安全风险评估项目的管

理指导风险评估项目的组织实施验收等工作

,、、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术信息安全风险评估规范

GB/T20984—2007

信息安全技术信息安全风险管理指南

GB/Z24364—2009

3术语定义和缩略语

、

和中界定的以及下列术语和定义适用于本文件

GB/T20984—2007GB/Z24364—2009。

31术语和定义

.

311

..

实施implementation

将一系列活动付诸实践的过程

。

312

..

信息系统生命周期informationsystemlifecycle

信息系统的各个生命阶段包括规划阶段设计阶段实施阶段运行维护阶段和废弃阶段