GB/T 24364-2023信息安全技术信息安全风险管理实施指南

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T24364—2023

代替GB/Z24364—2009

信息安全技术

信息安全风险管理实施指南

Informationsecuritytechnology—

Implementationguideforinformationsecurityriskmanagement

2023-05-23发布2023-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T24364—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………2

信息安全风险管理实施框架

4……………2

信息安全风险管理原则

5…………………3

分级管理

5.1……………3

全面管理

5.2……………3

动态调整

5.3……………3

科学合理

5.4……………3

信息安全风险管理保障机制

6……………4

领导负责制

6.1…………………………4

统筹协调机制

6.2………………………4

专家咨询机制

6.3………………………4

重大风险会商机制

6.4…………………4

信息安全风险管理保障措施

7……………5

人员保障

7.1……………5

制度保障

7.2……………5

经费保障

7.3……………5

工具保障

7.4……………5

信息安全风险管理能力

8…………………6

资产识别能力

8.1………………………6

威胁识别能力

8.2………………………6

脆弱性识别能力

8.3……………………6

已有措施有效性评价能力

8.4…………6

风险分析与评价能力

8.5………………7

风险处置能力

8.6………………………7

风险监测预警能力

8.7…………………7

风险信息共享能力

8.8…………………8

信息安全风险管理过程

9…………………8

Ⅰ

GB/T24364—2023

概述

9.1…………………8

语境建立

9.2……………10

风险评估

9.3……………14

风险处置

9.4……………18

批准留存

9.5……………23

监视与评审

9.6…………………………27

沟通与咨询

9.7…………………………30

附录资料性文档输出

A()………………35

语境建立文档

A.1……………………35

风险评估文档

A.2……………………35

风险处置文档

A.3……………………36

批准留存文档

A.4……………………37

监视与评审文档

A.5…………………37

沟通与咨询文档

A.6…………………37

附录资料性风险处置实践示例

B()……………………39

示例

B.1…………………39

风险处置准备

B.2………………………40

风险处置实施

B.3………………………42

风险处置评价

B.4………………………48

参考文献

……………………51

Ⅱ

GB/T24364—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技术信息安全风险管理指南与

GB/Z24364—2009《》,GB/Z24364—2009

相比除结构调整和编辑性改动外主要技术变化如下

,,:

标准对象和范围由面向信息系统修改为风险管理对象见第章

a)(1);

删除了可用性保密性完整性风险风险处理的术语和定义见年版的

b)“”“”“”“”“”(20093.1、3.2、

3.4、3.5、3.7);

增加了信息安全风险管理框架增加了风险管理原则保障机制保障措施管理能力等内容

c),、、、

见第章

(4);

更改了信息安全风险管理的内容和过程见年版的

d)(9.1,20094.2);

更改了语境建立流程引入基本准则确定内容等见年版的第章

e),(9.2,20095);

更改了风险评估相关内容见年版的第章

f)(9.3,20096);

将监控审查改为监视与评审并将相关内容更改见年版的第章

g),(9.6,20099);

更改了沟通与咨询相关内容见年版的第章

h)(9.7,200910);

删除了各生命周期阶段风险管理内容见年版第章第章第章第章第

i)(200911、12、13、14、15

章

);

更改了风险处置相关内容见版的第章

j)(9.2、9.4,20097)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位国家信息中心中国电子科技集团公司第十五研究所北京安信天行科技有限公

:、、

司北京天融信网络安全技术有限公司中国信息安全测评中心中国网络安全审查技术与认证中心深

、、、、

信服科技股份有限公司北京信息安全测评中心公安部第一研究所公安部第三研究所北京国信京宁

、、、、

信息安全科技有限公司上海观安信息技术股份有限公司郑州轻工业大学河南农业大学深圳市信息

、、、、

安全管理中心广州市信息安全测评中心深圳市龙华区政务服务数据管理局深圳华晟九思科技有限

、、、

公司

。

本文件主要起草人禄凯陈永刚赵增振葛晓囡陈青民杨剑刘润一杜宇鸽陈杨国刘德林

:、、、、、、、、、、

程瑜琦李媛马江涛李秋香陈盼陈一博张益刘健刘丰任金强王焱张锐卿董安波刘永杰

、、、、、、、、、、、、、、

朱润酥高杰汤志强朱建兴李尚号

、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2009GB/Z24364—2009;

本次为第一次修订

———。

Ⅲ

GB/T24364—2023

引言

目前信息安全风险管理标准主要包括

,:

信息安全技术信息安全风险管理指南

———GB/T24364—2023《》;

工业控制网络安全风险评估规范

———GB/T26333—2010《》;

信息技术安全技术信息安全风险管理

———GB/T31722—2015《》(ISO/IEC27005:2008,IDT);

信息安全技术信息安全风险评估实施指南

———GB/T31509—2015《》;

信息安全技术信息安全风险处理实施指南

———GB/T33132—2016《》;

信息安全技术供应链安全风险管理指南

———GB/T36637—2018《ICT》;

信息安全技术信息安全风险评估方法

———GB/T20984—2022《》;

风险管理指南

———ISO31000:2018《》;

信息技术安全技术信息安全风险管理

———ISO/IEC27005:2018《》。

本文件作为信息安全风险管理标准之一在修订过程中依据国家信息安全风险管理相关的政策并

,

参考等标准为组织的信息安全风险管理

GB/T31722—2015、ISO31000:2018、ISO/IEC27005:2018,

实施提供了更加具体的指导包括信息安全风险管理的目标原则保障机制保障措施能力和过程等

,、、、、

内容表给出了本文件与标准的风险管

,1ISO31000:2018、GB/T31722—2015、ISO/IEC27005:2018

理过程的对应关系

。

然而本文件不指定信息安全风险管理的特定实施细节组织可根据自身风险管理范围风险管理

,,、

语境或所处行业来确定其风险管理实施细节其现有的方法也可在本文件描述的框架下使用以满足

。,

风险管理工作的要求

。

表1风险管理过程对应关系表

本文件

ISO31000:2018GB/T31722—2015ISO/IEC27005:2018

范围语境准则语境建立环境创建语境建立

、、

风险评估风险评估风险评估风险评估

风险处置风险处置风险处置风险处置

风险接受批准留存

——

沟通与咨询风险沟通沟通与咨询沟通与咨询

监督与评审风险监视与评审监测与评审监视与评审

记录与报告批准留存

——

注在本文件的第章对信息安全风险管理实施过程的概念工作内容等进行了详细阐述

:9,、。

Ⅳ

GB/T24364—2023

信息安全技术

信息安全风险管理实施指南

1范围

本文件确立了信息安全风险管理的实施框架描述了信息安全风险管理的原则保障机制保障措

,、、

施能力和过程提供了每个管理过程的实施要点和工作形式

、,。

本文件适用于各类组织开展信息安全风险管理工作

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,