标准解读
《GB/T 33132-2016 信息安全技术 信息安全风险处理实施指南》是一项国家标准,旨在为组织提供一套系统化的方法论来识别、评估以及控制信息安全风险。该标准适用于所有类型和规模的组织,无论是政府机构还是商业实体,都能依据其内容进行有效的风险管理活动。
根据该标准,信息安全风险处理过程被划分为几个主要阶段:风险识别、风险分析、风险评价与风险处置。在风险识别阶段,需要通过各种手段发现可能影响信息系统安全的因素或事件;风险分析则进一步对这些已识别的风险源进行定性或定量的研究,以理解它们对资产潜在威胁的程度;随后,在风险评价过程中,基于分析结果确定哪些风险是可接受的,哪些需要采取行动加以缓解;最后,针对不可接受的风险制定相应的控制措施,并执行这些措施来降低风险水平至可接受范围内。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2016-10-13 颁布
- 2017-05-01 实施
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T33132—2016
信息安全技术信息安全风险处理
实施指南
Informationsecuritytechnology—Guideofimplementationfor
informationsecurityrisktreatment
2016-10-13发布2017-05-01实施
中华人民共和国国家质量监督检验检疫总局发布
中国国家标准化管理委员会
GB/T33132—2016
目次
前言
…………………………Ⅰ
引言
…………………………Ⅱ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
风险处理实施概述
4………………………2
风险处理基本原则
4.1…………………2
风险处理的方式
4.2……………………2
风险处理的角色和职责
4.3……………3
风险处理的基本流程
4.4………………3
风险处理准备
5……………5
制定风险处理计划
5.1…………………5
获得管理层批准
5.2……………………6
风险处理实施
6……………6
风险处理方案制定
6.1…………………6
风险处理方案实施
6.2…………………8
风险处理效果评价
7………………………8
概述
7.1…………………8
评价原则
7.2……………8
评价方法
7.3……………9
评价方案
7.4……………9
评价实施
7.5……………9
持续改进
7.6……………10
附录资料性附录风险处理实践示例
A()………………11
背景
A.1………………11
风险处理准备
A.2……………………12
风险处理实施
A.3……………………14
风险处理评价
A.4……………………21
参考文献
……………………23
GB/T33132—2016
前言
本标准按照给出的规则起草
GB/T1.1—2009。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
。。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位国家信息中心北京信息安全测评中心中国民航大学东软集团股份有限公司
:、、、、
北京数字认证股份有限公司西安交大捷普网络科技有限公司
、。
本标准主要起草人吴亚非禄凯陈永刚赵章界马勇席斐陈青民何建锋
:、、、、、、、。
Ⅰ
GB/T33132—2016
引言
信息安全风险管理是信息安全保障工作中的一项重要基础性工作其核心思想是对管理对象面临
,
的信息安全风险进行管控信息安全风险管理工作贯穿于信息系统生命周期规划设计实施运行维
。(、、、
护和废弃的全过程主要工作过程包括风险评估和风险处理两个基本步骤风险评估是对风险管理对
),。
象所面临的风险进行识别分析和评价的过程风险处理是依据风险评估的结果选择和实施安全措施
、。,
的过程
。
为指导各类组织规范性地开展信息安全风险处理在信息安全技术信息安
,GB/T20984—2007《
全风险评估规范信息安全技术信息安全风险管理指南和
》、GB/Z24364—2009《》GB/T31509—2015
信息安全技术信息安全风险评估实施指南的基础上本标准针对风险评估工作中反映出来的各类
《》,
信息安全风险从风险处理工作的组织管理流程评价等方面给出了相关描述用于指导组织形成客
,、、、,
观规范的风险处理方案促进风险管理工作的完善
、,。
Ⅱ
GB/T33132—2016
信息安全技术信息安全风险处理
实施指南
1范围
本标准给出了信息安全风险处理的基本概念处理原则处理方式处理流程以及处理结束后的效
、、、
果评价等管理过程和方法并对处理过程中的角色和职责进行了定义
,。
本标准适用于指导信息系统运营使用单位和信息安全服务机构实施信息安全风险处理活动
。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
信息安全技术信息安全风险评估规范
GB/T20984—2007
信息安全技术信息安全风险管理指南
GB/Z24364—2009
3术语和定义
界定的以及下列术语和定义适用于本文件
GB/T20984—2007、GB/Z24364—2009。
31
.
风险处理risktreatment
选择并且执行措施来更改风险的过程
。
[ISO/IECGuide73:2002]。
注在本标准中术语控制措施
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 2024年度企业年会表演视频制作合同3篇
- 2024年度电力设施外包工程保险合同范本3篇
- 2024年健身房会员训练合同3篇
- 2024年山林承包权及生态补偿金支付合同3篇
- 2024年版投资合同具体条款
- 2024同安区二手房买卖合同税务筹划建议3篇
- 2024年度班组用工劳动合同范本(智能制造)2篇
- 2024年度国际物流与贸易融资合同3篇
- 2024年度挖掘机租赁带操作工合同6篇
- 2024版北京直播间租赁及互动游戏服务合同3篇
- 2024年江苏省苏州市中考数学试卷含答案
- 软件测试汇报
- 吉林省长春市第一〇八学校2024-2025学年七年级上学期期中历史试题
- 2024年世界职业院校技能大赛高职组“市政管线(道)数字化施工组”赛项考试题库
- 初中《孙中山诞辰纪念日》主题班会
- 5.5 跨学科实践:制作望远镜教学设计八年级物理上册(人教版2024)
- 屠呦呦课件教学课件
- 阿斯伯格综合症自测题汇博教育员工自测题含答案
- 护理肝癌的疑难病例讨论
- 天津市2023-2024学年七年级上学期语文期末试卷(含答案)
- 2024年法律职业资格考试(试卷一)客观题试卷及解答参考
评论
0/150
提交评论