标准解读

《GB/T 33132-2016 信息安全技术 信息安全风险处理实施指南》是一项国家标准,旨在为组织提供一套系统化的方法论来识别、评估以及控制信息安全风险。该标准适用于所有类型和规模的组织,无论是政府机构还是商业实体,都能依据其内容进行有效的风险管理活动。

根据该标准,信息安全风险处理过程被划分为几个主要阶段:风险识别、风险分析、风险评价与风险处置。在风险识别阶段,需要通过各种手段发现可能影响信息系统安全的因素或事件;风险分析则进一步对这些已识别的风险源进行定性或定量的研究,以理解它们对资产潜在威胁的程度;随后,在风险评价过程中,基于分析结果确定哪些风险是可接受的,哪些需要采取行动加以缓解;最后,针对不可接受的风险制定相应的控制措施,并执行这些措施来降低风险水平至可接受范围内。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2016-10-13 颁布
  • 2017-05-01 实施
©正版授权
GB/T 33132-2016信息安全技术信息安全风险处理实施指南_第1页
GB/T 33132-2016信息安全技术信息安全风险处理实施指南_第2页
GB/T 33132-2016信息安全技术信息安全风险处理实施指南_第3页
GB/T 33132-2016信息安全技术信息安全风险处理实施指南_第4页
GB/T 33132-2016信息安全技术信息安全风险处理实施指南_第5页
免费预览已结束,剩余23页可下载查看

下载本文档

GB/T 33132-2016信息安全技术信息安全风险处理实施指南-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T33132—2016

信息安全技术信息安全风险处理

实施指南

Informationsecuritytechnology—Guideofimplementationfor

informationsecurityrisktreatment

2016-10-13发布2017-05-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T33132—2016

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

风险处理实施概述

4………………………2

风险处理基本原则

4.1…………………2

风险处理的方式

4.2……………………2

风险处理的角色和职责

4.3……………3

风险处理的基本流程

4.4………………3

风险处理准备

5……………5

制定风险处理计划

5.1…………………5

获得管理层批准

5.2……………………6

风险处理实施

6……………6

风险处理方案制定

6.1…………………6

风险处理方案实施

6.2…………………8

风险处理效果评价

7………………………8

概述

7.1…………………8

评价原则

7.2……………8

评价方法

7.3……………9

评价方案

7.4……………9

评价实施

7.5……………9

持续改进

7.6……………10

附录资料性附录风险处理实践示例

A()………………11

背景

A.1………………11

风险处理准备

A.2……………………12

风险处理实施

A.3……………………14

风险处理评价

A.4……………………21

参考文献

……………………23

GB/T33132—2016

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位国家信息中心北京信息安全测评中心中国民航大学东软集团股份有限公司

:、、、、

北京数字认证股份有限公司西安交大捷普网络科技有限公司

、。

本标准主要起草人吴亚非禄凯陈永刚赵章界马勇席斐陈青民何建锋

:、、、、、、、。

GB/T33132—2016

引言

信息安全风险管理是信息安全保障工作中的一项重要基础性工作其核心思想是对管理对象面临

,

的信息安全风险进行管控信息安全风险管理工作贯穿于信息系统生命周期规划设计实施运行维

。(、、、

护和废弃的全过程主要工作过程包括风险评估和风险处理两个基本步骤风险评估是对风险管理对

),。

象所面临的风险进行识别分析和评价的过程风险处理是依据风险评估的结果选择和实施安全措施

、。,

的过程

为指导各类组织规范性地开展信息安全风险处理在信息安全技术信息安

,GB/T20984—2007《

全风险评估规范信息安全技术信息安全风险管理指南和

》、GB/Z24364—2009《》GB/T31509—2015

信息安全技术信息安全风险评估实施指南的基础上本标准针对风险评估工作中反映出来的各类

《》,

信息安全风险从风险处理工作的组织管理流程评价等方面给出了相关描述用于指导组织形成客

,、、、,

观规范的风险处理方案促进风险管理工作的完善

、,。

GB/T33132—2016

信息安全技术信息安全风险处理

实施指南

1范围

本标准给出了信息安全风险处理的基本概念处理原则处理方式处理流程以及处理结束后的效

、、、

果评价等管理过程和方法并对处理过程中的角色和职责进行了定义

,。

本标准适用于指导信息系统运营使用单位和信息安全服务机构实施信息安全风险处理活动

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术信息安全风险评估规范

GB/T20984—2007

信息安全技术信息安全风险管理指南

GB/Z24364—2009

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T20984—2007、GB/Z24364—2009。

31

.

风险处理risktreatment

选择并且执行措施来更改风险的过程

[ISO/IECGuide73:2002]。

注在本标准中术语控制措施

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论