标准解读

《GB/T 31722-2015 信息技术 安全技术 信息安全风险管理》是一项国家标准,旨在为企业和个人提供一套系统的方法论和指导原则,以便更好地理解和实施信息安全风险管理。该标准涵盖了风险评估、风险处理以及风险管理过程中的监控与评审等关键环节。

在风险评估部分,标准详细介绍了如何识别资产、威胁及脆弱性,并通过定性和定量分析方法来评价潜在的安全事件对组织可能造成的影响程度。此外,还提供了关于选择合适的风险评估工具和技术方面的指南。

对于风险处理,标准建议根据已确定的风险水平采取相应的控制措施。这些措施可以是避免、减轻、转移或接受风险。同时强调了需要考虑成本效益比,在有限资源条件下做出最优决策。

在整个信息安全风险管理过程中,持续性的监控与定期评审是非常重要的。这有助于确保所采取的控制措施仍然有效,并且能够适应不断变化的安全环境。为此,《GB/T 31722-2015》提出了一系列具体的活动要求,如建立有效的沟通渠道、记录管理过程文档化等。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2015-06-02 颁布
  • 2016-02-01 实施
©正版授权
GB/T 31722-2015信息技术安全技术信息安全风险管理_第1页
GB/T 31722-2015信息技术安全技术信息安全风险管理_第2页
GB/T 31722-2015信息技术安全技术信息安全风险管理_第3页
GB/T 31722-2015信息技术安全技术信息安全风险管理_第4页
GB/T 31722-2015信息技术安全技术信息安全风险管理_第5页
免费预览已结束,剩余43页可下载查看

下载本文档

GB/T 31722-2015信息技术安全技术信息安全风险管理-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T31722—2015/ISO/IEC270052008

:

信息技术安全技术

信息安全风险管理

Informationtechnology—Securitytechniques—

Informationsecurityriskmanagement

(ISO/IEC27005:2008,IDT)

2015-06-02发布2016-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T31722—2015/ISO/IEC270052008

:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

本标准结构

4………………2

背景

5………………………3

信息安全风险管理过程概述

6……………3

语境建立

7…………………5

信息安全风险评估

8………………………7

信息安全风险处置

9………………………13

信息安全风险接受

10……………………16

信息安全风险沟通

11……………………16

信息安全风险监视和评审

12……………17

附录资料性附录确定信息安全风险管理过程的范围和边界

A()……19

附录资料性附录资产识别和估价以及影响评估

B()…………………22

附录资料性附录典型威胁示例

C()……………………28

附录资料性附录脆弱性和脆弱性评估方法

D()………31

附录资料性附录信息安全评估方法

E()………………35

附录资料性附录风险降低的约束

F()…………………40

参考文献

……………………42

GB/T31722—2015/ISO/IEC270052008

:

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准使用翻译法等同采用信息技术安全技术信息安全风险管理英

ISO/IEC27005:2008《》(

文版

)。

本标准做了以下修改

:

对引言做了一些编辑性修改

———。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国电子技术标准化研究院上海三零卫士信息安全有限公司中电长城网际系

:、、

统应用有限公司山东省计算中心北京信息安全测评中心

、、。

本标准主要起草人许玉娜闵京华上官晓丽董火民赵章界李刚周鸣乐

:、、、、、、。

GB/T31722—2015/ISO/IEC270052008

:

引言

信息安全管理体系标准族简称标准族是国际

(InformationSecurityManagementSystem,ISMS)

信息安全技术标准化组织制定的信息安全管理体系系列国际标准标准

(ISO/IECJTC1SC27)。ISMS

族旨在帮助各种类型和规模的组织开发和实施管理其信息资产安全的框架并为保护组织信息诸如

,,(,

财务信息知识产权员工详细资料或者受客户或第三方委托的信息的的独立评估做准备

、、,)ISMS。

标准族包括的标准定义了的要求及其认证机构的要求提供了对整个规划实施检

ISMS:a)ISMS;b)“--

查处置过程和要求的直接支持详细指南和或解释阐述了特定行业的指南阐

-”(PDCA)、();c)ISMS;d)

述了的一致性评估

ISMS。

目前标准族由下列标准组成

,ISMS:

信息技术安全技术信息安全管理体系概述和词汇

———GB/T29246—2012

(ISO/IEC27000:2009)

信息技术安全技术信息安全管理体系要求

———GB/T22080—2008(ISO/IEC27001:

2005)

信息技术安全技术信息安全管理实用规则

———GB/T22081—2008(ISO/IEC27002:2005)

信息技术安全技术信息安全管理体系实施指南

———GB/T31496—2015(ISO/IEC27003:

2010)

信息技术安全技术信息安全管理测量

———GB/T31497—2015(ISO/IEC27004:2009)

信息技术安全技术信息安全风险管理

———GB/T31722—2015(ISO/IEC27005:2008)

信息技术安全技术信息安全管理体系审核认证机构的要求

———GB/T25067—2010(ISO/

IEC27006:2007)

信息技术安全技术信息安全管理体系审核指南

———ISO/IEC27007:2011

信息技术安全技术信息安全控制措施审核员指南

———ISO/IECTR27008:2011

信息技术安全技术行业间及组织间通信的信息安全管理

———ISO/IEC27010:2012

信息技术安全技术基于的电信行业组织的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

信息技术安全技术和集成实施

———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1

指南

信息技术安全技术信息安全治理

———ISO/IEC27014:2013

信息技术安全技术金融服务信息安全管理指南

———ISO/IECTR27015:2012

本标准作为标准族之一为组织内的信息安全风险管理提供指南特别是支持按照

ISMS,,

的要求然而本标准不提供信息安全风险管理的任何特定方法由组织来确定

GB/T22080ISMS。,。

其风险管理方法这取决于诸如组织的范围风险管理语境或所处行业一些现有的方法可在本

,ISMS、。

标准描述的框架下使用以实现的要求

,ISMS。

本标准的相关方包括关心组织内信息安全风险的管理者和员工以及在适当情况下支持这种活动

()

的外部方

GB/T31722—2015/ISO/IEC270052008

:

信息技术安全技术

信息安全风险管理

1范围

本标准为信息安全风险管理提供指南

本标准支持所规约的一般概念旨在为基于风险管理方法来符合要求地实现信息安

GB/T22080,

全提供帮助

知晓和中所描述的概念模型过程和术语对于完整地理解本标准是

GB/T22080GB/T22081、、,

重要的

本标准适用于各种类型的组织例如商务企业政府机构非盈利性组织这些组织期望管理可能

(,、、),

危及其信息安全的风险

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息安全管理体系要求

GB/T22080—2008

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论