国家标准《信息安全技术 信息安全风险管理指导》（征求意见稿）编制说明

国家标准编制说明一、工作简况1.1任务来源根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术信息安全风险管理指导》由中国电子技术标准化研究院负责承办，项目编号：2023003198，目前处于计划网上公示阶段。本标准由全国信息安全标准化技术委员会归口管理。1.2修订背景本标准是ISO/IEC27000（ISMS）系列标准的重要标准之一，适用于组织建立和实现自身信息安全管理体系（ISMS），改进自身信息安全风险管理过程。2015年我国将ISO/IEC27005转化为国家标准GB/T31722—2015《信息技术安全技术信息安全风险管理指南》。2022年10月，新版本ISO/IEC27005完成修订并正式发布，新版本引入了风险情景概念、增加了信息安全风险管理循环、变更了信息安全风险评估编写过程等内容，鉴于新版本ISO/IEC27005技术内容变化较大，因此有必要对GB/T31722—2015进行修订。本次修订工作一方面为保证我国国家标准紧跟国际标准变化，维护与其他管理体系标准的兼容性，同时为我国相关风险管理标准的制定提供参考依据；另一方面是帮助相关组织及时了解和使用国际最新的信息安全风险管理方法，支持其开展ISMS相关工作，提升组织自身信息安全保障能力。1.3起草过程中国电子技术标准化研究院负责组织起草，北京安信天行科技有限公司、中国合格评定国家认可中心、中国网络安全审查技术与认证中心、中国信息安全测评中心、黑龙江省网络空间研究中心、中电长城网际系统应用有限公司、山东省标准化研究院、北京天融信网络安全技术有限公司等单位共同参与了本标准的起草工作。具体起草过程如下：2023年3月，标准牵头单位联合原标准起草单位，成立标准编制组，并确定任务分工及翻译注意事项。2023年4-5月，标准牵头单位汇总形成标准草案初稿，标准编制组根据各自分工校对相关内容。2023年6-8月，标准编制组多次组织标准草案研讨会，针对有争议的翻译进行讨论，不断修改完善标准草案。2023年8月25日，信安标委印发《关于上报2023年第一批网络安全国家标准计划项目建议的函》（信安字〔2023〕16号），国家标准《信息安全技术信息安全风险管理指导》修订项目正式立项。2023年9月11日至9月22日，在信安标委网站和微信公众号面向社会公开征集标准参编单位。2023年10月24日，标准牵头单位组织召开项目启动会，研讨确定标准编制思路、工作计划、任务分工等。2023年11月2日，标准牵头单位在信安标委2023年第二次标准周WG7工作组会上对标准修订情况进行了汇报，经过工作组内审议讨论，建议推进至征求意见稿，会后对标准文本进一步修改完善并面向编制组征集试点工作方案。2023年11月23日，讨论标准试点工作方案，确定下一步试点工作安排；2023年12月6日，组织编制工作组正式召开试点启动会，宣贯试点工作方案并交流试点工作计划和想法，提出具体试点要求。2023年12月8日，秘书处组织召开征求意见稿专家审查会，本标准通过评审可以发起公开征求意见，并根据专家意见进行了修改完善。二、标准编制原则、主要内容及其确定依据2.1标准编制原则本标准的研制工作遵循以下原则：（1）目的原则翻译过程中，要符合中文的语言表达习惯。翻译行为所要达到的目的决定整个翻译行为的过程，即结果决定方法。（2）连贯性原则要做到表述通畅，具有可读性和可接受性，使标准读者能够容易理解。（3）忠实性原则本标准与国际标准之间应该存在语际连贯一致，在充分理解国际标准原文的基础上进行翻译，做到准确表达原意。2.2主要内容及其确定依据本标准等同采用ISO/IEC27005:2022《信息安全、网络安全和隐私保护信息安全风险管理指导》，对GB/T31722—2015《信息技术安全技术信息安全风险管理南》。本标准可用于组织实施信息安全风险管理活动，特别是信息安全风险评估和处置，实现ISMS规定的信息安全风险管理要求，有效管理信息安全风险，提升组织信息安全保障能力。本标准共包含10章和1个附录。前4章是标准的通用要素，分别为：范围、规范性引用文件、术语和定义、本标准的结构。从第5章开始是标准的主要技术内容，分别为：信息安全风险管理、环境的建立背景介绍、信息安全风险评估过程、信息安全风险处理过程、运行、相关ISMS过程流程的利用。附录A给出了支持风险评估过程的技术示例。第5章对信息安全风险管理的概念进行了阐述，给出了与ISMS相关的信息安全风险管理过程。第6章详细阐述了确立组织实施风险管理活动所处的内外部环境信息，包括应用风险评估和风险处理、确定利益相关方的基本要求、建立和维护信息安全风险标准等。第7章介绍了信息安全风险评估过程，该过程包括识别信息安全风险、分析信息安全风险、评估信息安全风险。第8章阐述了信息安全风险处理过程，该过程为选择适当的信息安全风险处理方案，确定实施信息安全风险所需的所有控制。第9章是运行，具体包括执行信息安全风险评估程序、执行信息安全风险处理过程。第10章介绍了利用ISMS的相关过程，具体包括领导和承诺、沟通与协商，文件化信息、监视和测量、管理评审、纠正措施和持续改进。2.3修订前后技术内容的对比修订的主要内容除结构调整和编辑性改动外，更改了信息安全风险管理过程中迭代地进行风险评估和/或风险处置的内容，增加了“运行”章节，说明执行风险评估、风险处置的过程。同时，更改了附录的编写，增加了支持风险评估过程的技术示例。三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效益和生态效益3.1试验验证的分析、综述报告本标准的适用对象包括旨在改进自身信息安全风险管理过程的组织、开展风险管理咨询和评估服务的相关机构、开发风险管理相关产品的网络安全企业等。本标准编制组将根据项目管理要求，在标准试点验证与标准实施应用方面制定详细工作方案，选取不同行业领域、不同单位性质的组织机构推广标准实施，暂定选择央企、风险管理咨询机构和网络安全企业等单位进行试点，标准编写单位将作为技术支撑机构协助进行实施。3.2技术经济论证暂无。3.3预期的经济效益、社会效益和生态效益标准发布后，旨在改进自身信息安全风险管理过程的组织（如政府机构、商务企业、非盈利性组织等）可依据标准持续改进和提升组织自身信息安全风险管理能力；风险管理咨询和评估服务的相关机构（如中国信息安全测评中心、黑龙江省网络空间研究中心等）可根据本标准修改完善相关咨询服务和评估依据；网络安全企业（如北京安信天行科技有限公司、中电长城网际系统应用有限公司）既可以依据本标准提升自身信息安全风险管理能力，也可以根据实施经验来改善其信息安全风险管理相关产品功能，为用户提供更加优秀的产品和方案。四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、样机的有关数据对比情况ISO/IECJTC1/SC27于2022年10月发布了新版国际标准ISO/IEC27005:2022《信息安全、网络安全和隐私保护信息安全风险管理指导》（第4版）。ISO/IEC27005是支持组织信息安全风险管理的指导文件，并以ISO/IEC27001国际标准为基础，通过基于事态的方法和基于资产的方法，提出风险评估的原则、过程、处置方法等。在本次ISO/IEC27005修订过程中，标准名称历经多次调整，先是由“信息安全风险管理指导”调整为“信息安全风险及机会管理指导”，最后又回到了“信息安全风险管理指导”。讨论中，国际专家普遍认为信息安全只有“风险”而没有“机会”。其次，在内容的修订上，修订目标聚焦于让组织更容易采用，并确保组织了解和使用国际最新的信息安全风险管理方法。国内组织长期积极关注信息安全管理体系（ISMS）标准的变化，及时将ISMS系列内的ISO/IEC27001、ISO/IEC27002、ISO/IEC27005等国际标准最新版本及时转化为国家标准，保障通用技术领域我国国家标准与国际标准的一致性。五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标准，并说明未采用国际标准的原因本标准等同采用国际标准ISO/IEC27005:2022《信息安全、网络安全和隐私保护信息安全风险管理指导》，做了下列最小限度的编辑性改动：——对引言做了一些编辑性修改。六、与有关法律、行政法规及相关标准的关系本标准为实现GB/T22080《信息技术安全技术信息安全管理体系要求》中规定的信息安全风险要求和信息安全相关风险的措施提供指导，同时对GB/T31496《信息技术安全技术信息安全管理体系实施指南》进行了补充。七、重大分歧意见的处理经过和依据本标准编制过程中未出现重大分歧。八、涉及专利的有关说明本标准不涉及专利。九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期的建议等措施建议建议本标准作为推荐性国家标准发布实施。标准发布后，将在标准起草单位内率先开展应用，并通过标准宣贯、标准应用指