《信息安全技术 信息安全风险管理实施指南-编制说明》

国家标准征求意见稿资料

一、工作简况

1.任务来源

2018年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）2018

年第二次全会讨论通过，研究修订《信息安全技术信息安全风险管理指南》国

家标准。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技

术委员会归口。

2.主要起草单位和工作组成员

该标准由国家信息中心牵头，参与单位包括中国网络安全审查技术与认证中

心、中国信息安全测评中心、中国电子科技集团公司第十五研究所、北京信息安

全测评中心、北京国信京宁信息安全科技有限公司、北京安信天行科技有限公司、

国际商业机器（中国）有限公司、京东云计算（北京）有限公司、深信服科技股

份有限公司等。

标准工作组成员中，禄凯负责项目方向把控和整体协调，任金强、陈永刚、

刘丰、章恒、赵增振负责具体实施和编写，闵京华、程瑜琦、杜宇鸽、任佩、陈

青民、刘凯俊、陈杨国、宋文娣、刘德林负责标准研究和编制。

3.主要工作过程

标准修订的主要工作过程如下：

（1）成立编制组，形成标准申报材料

标准于2019年1月开始进行相关调研工作，组建《信息安全技术信息安全

风险管理指南》修订项目组，对近年来，尤其是中央网络安全与信息化领导小组

成立以来所发布的关于网络安全的一系列政策文件进行研究，充分理解我国网络

安全的战略规划对信息安全风险管理工作提出的新要求和新挑战；同时，研究信

息安全风险管理指南对云计算、物联网、大数据、智慧城市等新技术应用的适用

性；组织人员对ISO/IEC27005:2018、ISO/IEC31000等国际标准和等级保护、

关基保护、个人信息保护等国内标准进行研究，充分了解和掌握国际和国内关于

信息安全风险管理工作的最新研究动态，为《信息安全技术信息安全风险管理

指南》修订工作提供借鉴和指导。

通过座谈或现场调研等方式，对国内信息安全主管机构（包括但不限于中央

国家标准征求意见稿资料

网信办、公安部、安全部、国家保密局、工信部、国家认监委等），行业协会（包

括但不限于网络空间安全协会<筹>、中国信息协会、计算机学会、网络空间安全

研究院等），国家关键信息基础设施主管机构（包括但不限于金融、电力、能源、

交通、通信、教育、水利、电子政务等），服务和体系认证机构（包括但不限于

中国信息安全认证中心、中国信息安全测评中心、认监委认可的信息安全管理体

系第三方认证机构等），风险管理服务提供机构（包括但不限于北京安信天行科

技有限公司，国际商业机器（中国）有限公司等）等开展广泛调研，充分了解和

掌握《信息安全技术信息安全风险管理指南》（GB/Z24364-2009）的应用情况

和存在的不足，为修订工作提供指导。

在充分研究和调研的基础上，结合国家安全主管部门的意见，形成《信息安

全技术信息安全风险管理指南》的修订原则、设定修订重点，重点修订原标准

中与当前的国家信息安全战略不相一致的地方，与当前广泛应用的信息技术不相

适宜的过程和条款，增加最新的信息安全风险管理方法等。在此基础上，形成标

准修订方案，并提交全国信安标委申报立项。

（2）形成标准草案

2019年1月信安标委正式立项修订《信息安全技术信息安全风险管理指

南》；编制组依据修订原则和修订方案，编制《信息安全技术信息安全风险管理

指南（修订版）》草案，邀请国家安全主管部门、重点行业主管机关、服务资质

认证机构、风险管理服务机构等，组织召开审查会，根据审查意见，调整框架并

编制《信息安全风险管理指南（修订版）》草案。

2019年10月在信安标委WG7会议审议，并依据征集到的专家意见进行修改

完善。并在本次会议周，形成推进标准征求意见稿的会议决议。

（3）形成标准征求意见稿

2019年10月会议周后，在信安标委的指导下，在专家的帮助下，完成征求

意见稿流程。

二、编制原则和确定主要内容的依据及解决的主要问题

1.标准编制原则

通过对《信息安全技术信息安全风险管理指南》（GB/Z24364-2009）进行

修订完善,调整标准中与当前国家安全战略和安全形势不一致、或在标准应用过

国家标准征求意见稿资料

程中不适宜的方法和内容，优化风险管理的实施流程和过程,补充完善标准中缺

失的方法和内容，提升标准的科学性和适宜性，形成能够与当前信息安全新形势

和新环境相适宜的信息安全风险管理标准,为推动《中华人民共和国网络安全法》

和《国家网络空间安全战略》的落实，指导我国的信息安全保障工作开展奠定基

础。

本项目在《中华人民共和国网络安全法》、《国家网络空间安全战略》和《“十

三五”国家网络安全规划》的指导下，对信息安全风险管理工作在我国的开展现

状进行调研，对新的网络空间安全战略下，信息安全风险管理工作所面临的新要

求和新挑战进行充分分析，同时，结合国内外的先进研究成果和实践经验，研究

信息安全风险管理的修订原则、修订方针和修订重点，在这些方针和原则的指导

下，对GB/Z24364-2009进行修订，形成新版的信息安全风险管理指南，指导我

国的信息安全风险管理工作开展。

2.标准解决的问题及主要内容

本次标准修订的内容主要包括标准面向对象、范围及术语修订、流程和方法

修订、冗余和陈旧内容调整等。

（1）标准面向对象、范围及术语修订

标准对面向的对象和范围进性了修订，由于原标准所针对的对象主要是信息

系统，结合在当前新的网络安全形式下，转变为面向业务、信息系统、基础网络

和平台、数据资源等。并将其归纳为风险管理对象的术语。

（信息安全）风险管理等重要术语在本标准进行定义。由于原标准中大量定

义与已有标准重复，且存在异同。本标准遵照已有术语标准进行术语调整，除个

别重要术语，在其他标准中已定义的术语，本标准仅作引用，不重复定义。本标

准主要定义了本标准特有的业务、发展战略等术语。

另外，在修订GB/Z24364-2009时,要充分兼容IDTISO/IEC27005:2018。

（2）实施流程和方法的修订

根据实际工作情况和需要，对原有风险管理内容和流程进行修订，将批准监

督部分改为批准留存，将监控审查改为监视评审。计划调整后的风险管理流程如

下图所示。

国家标准征求意见稿资料

（3）背景建立的修订

对风险建立的全过程进行调整，对流程进行了优化，并将背景建立的对象与

风险管理对象相结合。增加了基本原则确定环节，为后续过程提供依据。

（4）风险评估的修订

与GB/T20984《信息安全技术信息安全风险评估规范》相适应，调整相应

流程和内容，将风险评估过程转变为从组织发展战略和业务识别出发。

（5）风险处理的修订

与GB/T33132《信息安全技术信息安全风险处理实施指南》相适应，将整

个处理流程改为风险处理准备、风险处理实施和风险处理效果评价三个环节。并

对内容进行较大改动。

（6）批准留存的修订

在整个过程中加入留存的环节，对风险管理结果进行留存。将原持续监督过

程在批准留存环节中移除。

（7）监视评审的修订

将持续监督过程放入监视评审环节，并将监视评审的内容依据风险管理主流

程的更改调整。

（8）沟通咨询

将沟通咨询的内容依据风险管理主流程的更改调整。

（9）信息系统生命周期内容的修订

将关于信息系统生命周期的内容删除。

（10）附录的修订

国家标准征求意见稿资料

在附录中增加风险管理全过程的文档输出，包括文档所属过程、文档名称

和文档内容。

三、主要试验[或验证]情况分析

无。

四、知识产权情况说明

本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果

无。

六、采用国际标准和国外先进标准情况

标准参考了国际和国外相关标准情况，根据我国国情制定。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准严格遵循《中华人民共和国网络安全法》等法律、法规规章。本标

准不触犯国家现行法律法规，不与其他强制性国标相冲突。

2009年，在原国信办的直接领导和支持下，在国家安标委的大力推动下，

《信息安全技术信息安全风险管理指南》（GB/Z24364-2009）正式颁布。标准

颁布十年来，GB/Z24364-2009为了解和掌握我国信息安全保障工作的开展现状，

推动国家信息安全保障体系建设，提升我国信息安全保障水平奠定了良好的基

础。

该标准作为信息安全风险管理的指导标准，与即将发布的《信息安全技术

信息安全风险评估规范》（GB/T20984）、2016年发布的《信息安全技术信息安

全风险处理实施指南》（GB/T33132-2016）等共同组成了我国信息安全风险管理

标准体系（我国的风险管理标准体系见下图），对于指导我国的信息安全保障工

作开展奠定了坚实基础。

国家标准征求意见稿资料

《信息安全技术信息安全风险评估规范》（GB/T20984）提出了风险评估

的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法，以

及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。适用于监管部

门、网络运营者、信息安全风险评估服务机构等组织开展风险评估工作。

《信息安全技术信息安全风险评估指南》（GB/T31509-2015）定义了风险

评估的基本概念、原理及实施流程，对资产、威胁和脆弱性识别要求进行了详细

描述，提出了风险评估在信息系统生命周期不同阶段的实施要点，以及风险评估

的工作形式。适用于指导各组织针对信息系统及其管理开展的信息风险评估工

作。

《信息安全技术信息安全风险处理指南》（GB/T33132-2016）给出了信息

安全风险处理实施的管理过程和方法，适用于指导信息系统运营使用单位和信息

安全服务机构实施信息安全风险处理活动。

《信息技术安全技术信息安全风险管理》（ISO/IEC27005:2018）是信息

安全风险管理的国际标准，旨在为基于风险管理方法建立信息安全管理体系提供

指导。

《信息安全技术网络安全等级保护基本要求》（GB/T22239，以下简称《等

保要求》），其中明确了五种安全等级中对信息系统最低要求，也就是基本安全要

求，涵盖了基本技术要求和基本管理要求，用于指导信息系统的安全建设和监督

管理。

近年来，国家对网络安全风险管理和安全保障工作高度重视。2016年颁布

的《中华人民共和国网络安全法》、2016年底颁布的《国家网络空间安全战略》

国家标准征求意见稿资料

中也明确指出，应采取必要措施保障关键信息基础设施安全。2017年初颁布的

《“十三五”国家网络安全规划》中也指出，构建关键信息基础设施安全保障体

系。信息安全风险管理是党政机关、重点行业、智慧城市和大型互联网服务平台

等的安全保障、安全检查和风险评估的重要措施。针对新技术、新应用建立互联

网新技术、新应用网络安全风险管理，加强对新技术、新应用上线前的风险管控。

八、重大分歧意见的处理经过和依据

本标准编制过程中，如标准编制组内部出现重大意见分歧时，由标准编制

组组长组织召开内部调解会解决。

详见标准意见汇总处理表。

九、标准性质的建议

建议本标准作为推荐性国家标准发布实施。

十、贯