标准解读
《GB/T 31722-2015 信息技术 安全技术 信息安全风险管理》是一项国家标准,旨在为企业和个人提供一套系统的方法论和指导原则,以便更好地理解和实施信息安全风险管理。该标准涵盖了风险评估、风险处理以及风险管理过程中的监控与评审等关键环节。
在风险评估部分,标准详细介绍了如何识别资产、威胁及脆弱性,并通过定性和定量分析方法来评价潜在的安全事件对组织可能造成的影响程度。此外,还提供了关于选择合适的风险评估工具和技术方面的指南。
对于风险处理,标准建议根据已确定的风险水平采取相应的控制措施。这些措施可以是避免、减轻、转移或接受风险。同时强调了需要考虑成本效益比,在有限资源条件下做出最优决策。
在整个信息安全风险管理过程中,持续性的监控与定期评审是非常重要的。这有助于确保所采取的控制措施仍然有效,并且能够适应不断变化的安全环境。为此,《GB/T 31722-2015》提出了一系列具体的活动要求,如建立有效的沟通渠道、记录管理过程文档化等。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2015-06-02 颁布
- 2016-02-01 实施
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T31722—2015/ISO/IEC270052008
:
信息技术安全技术
信息安全风险管理
Informationtechnology—Securitytechniques—
Informationsecurityriskmanagement
(ISO/IEC27005:2008,IDT)
2015-06-02发布2016-02-01实施
中华人民共和国国家质量监督检验检疫总局发布
中国国家标准化管理委员会
GB/T31722—2015/ISO/IEC270052008
:
目次
前言
…………………………Ⅰ
引言
…………………………Ⅱ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
本标准结构
4………………2
背景
5………………………3
信息安全风险管理过程概述
6……………3
语境建立
7…………………5
信息安全风险评估
8………………………7
信息安全风险处置
9………………………13
信息安全风险接受
10……………………16
信息安全风险沟通
11……………………16
信息安全风险监视和评审
12……………17
附录资料性附录确定信息安全风险管理过程的范围和边界
A()……19
附录资料性附录资产识别和估价以及影响评估
B()…………………22
附录资料性附录典型威胁示例
C()……………………28
附录资料性附录脆弱性和脆弱性评估方法
D()………31
附录资料性附录信息安全评估方法
E()………………35
附录资料性附录风险降低的约束
F()…………………40
参考文献
……………………42
GB/T31722—2015/ISO/IEC270052008
:
前言
本标准按照给出的规则起草
GB/T1.1—2009。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
。。
本标准使用翻译法等同采用信息技术安全技术信息安全风险管理英
ISO/IEC27005:2008《》(
文版
)。
本标准做了以下修改
:
对引言做了一些编辑性修改
———。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位中国电子技术标准化研究院上海三零卫士信息安全有限公司中电长城网际系
:、、
统应用有限公司山东省计算中心北京信息安全测评中心
、、。
本标准主要起草人许玉娜闵京华上官晓丽董火民赵章界李刚周鸣乐
:、、、、、、。
Ⅰ
GB/T31722—2015/ISO/IEC270052008
:
引言
信息安全管理体系标准族简称标准族是国际
(InformationSecurityManagementSystem,ISMS)
信息安全技术标准化组织制定的信息安全管理体系系列国际标准标准
(ISO/IECJTC1SC27)。ISMS
族旨在帮助各种类型和规模的组织开发和实施管理其信息资产安全的框架并为保护组织信息诸如
,,(,
财务信息知识产权员工详细资料或者受客户或第三方委托的信息的的独立评估做准备
、、,)ISMS。
标准族包括的标准定义了的要求及其认证机构的要求提供了对整个规划实施检
ISMS:a)ISMS;b)“--
查处置过程和要求的直接支持详细指南和或解释阐述了特定行业的指南阐
-”(PDCA)、();c)ISMS;d)
述了的一致性评估
ISMS。
目前标准族由下列标准组成
,ISMS:
信息技术安全技术信息安全管理体系概述和词汇
———GB/T29246—2012
(ISO/IEC27000:2009)
信息技术安全技术信息安全管理体系要求
———GB/T22080—2008(ISO/IEC27001:
2005)
信息技术安全技术信息安全管理实用规则
———GB/T22081—2008(ISO/IEC27002:2005)
信息技术安全技术信息安全管理体系实施指南
———GB/T31496—2015(ISO/IEC27003:
2010)
信息技术安全技术信息安全管理测量
———GB/T31497—2015(ISO/IEC27004:2009)
信息技术安全技术信息安全风险管理
———GB/T31722—2015(ISO/IEC27005:2008)
信息技术安全技术信息安全管理体系审核认证机构的要求
———GB/T25067—2010(ISO/
IEC27006:2007)
信息技术安全技术信息安全管理体系审核指南
———ISO/IEC27007:2011
信息技术安全技术信息安全控制措施审核员指南
———ISO/IECTR27008:2011
信息技术安全技术行业间及组织间通信的信息安全管理
———ISO/IEC27010:2012
信息技术安全技术基于的电信行业组织的信息
———ISO/IEC27011:2008ISO/IEC27002
安全管理指南
信息技术安全技术和集成实施
———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1
指南
信息技术安全技术信息安全治理
———ISO/IEC27014:2013
信息技术安全技术金融服务信息安全管理指南
———ISO/IECTR27015:2012
本标准作为标准族之一为组织内的信息安全风险管理提供指南特别是支持按照
ISMS,,
的要求然而本标准不提供信息安全风险管理的任何特定方法由组织来确定
GB/T22080ISMS。,。
其风险管理方法这取决于诸如组织的范围风险管理语境或所处行业一些现有的方法可在本
,ISMS、。
标准描述的框架下使用以实现的要求
,ISMS。
本标准的相关方包括关心组织内信息安全风险的管理者和员工以及在适当情况下支持这种活动
()
的外部方
。
Ⅱ
GB/T31722—2015/ISO/IEC270052008
:
信息技术安全技术
信息安全风险管理
1范围
本标准为信息安全风险管理提供指南
。
本标准支持所规约的一般概念旨在为基于风险管理方法来符合要求地实现信息安
GB/T22080,
全提供帮助
。
知晓和中所描述的概念模型过程和术语对于完整地理解本标准是
GB/T22080GB/T22081、、,
重要的
。
本标准适用于各种类型的组织例如商务企业政府机构非盈利性组织这些组织期望管理可能
(,、、),
危及其信息安全的风险
。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
信息技术安全技术信息安全管理体系要求
GB/T22080—2008
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 烟叶运输合同范例
- 2024年土地抵押担保合同书-文化创意园区建设3篇
- 搬运工程合同范例
- 厂矿合同范例
- 广东服装厂合同范例
- 甲方与乙方合同范例
- 养货车合作合同范例
- 农民土地合同范例
- 茶园无偿使用合同范例
- 广告展板合同范例
- 2024年下半年教师资格考试高中思想政治学科知识与教学能力测试试卷及答案解析
- LY/T 3371-2024草原生态状况评价技术规范
- 2024年中华全国律师协会招聘5人历年(高频重点复习提升训练)共500题附带答案详解
- 供货能力方案
- 四川2024年四川省公安厅招聘警务辅助人员186人笔试历年典型考题及考点附答案解析
- 艾滋病性病的健康教育与行为干预
- 2023年12月辽宁大连甘井子区招考聘用社区工作者50人 笔试历年典型考题及考点剖析附答案详解
- 2024事业单位聘用合同书封面
- 数据通信与计算机网络智慧树知到期末考试答案章节答案2024年四川铁道职业学院
- 妊娠期贫血课件
- 文学创造的奥妙智慧树知到期末考试答案章节答案2024年山东师范大学
评论
0/150
提交评论