《信息安全技术 信息安全风险处理实施指南》编制说明

一、任务来源

根据全国信息安全标准化技术委员会2011年下达的国家信息安全战略研究

与标准制定工作专项项目任务（计划号：20120535-T-469），国家标准《信息安

全技术信息安全风险处理实施指南》由中国信息协会信息安全专业委员会（秘

书处设在国家信息中心）负责主办。

二、任务背景

为落实与发展原国务院信息办《关于开展信息安全风险评估工作的意见》（国

信办[2006]5号）的文件精神，在国家基本完成对我国基础信息网络和重要信息

系统普遍进行信息安全风险评估工作后，规范性指导各被评估单位开展信息安全

风险管理，科学控制信息安全风险，提升其信息安全技术与信息安全管理的安全

保障能力，全面提高被评估单位信息安全的信息安全风险管理水平。

本标准将在国家标准GB/T20984-2007《信息技术信息安全风险评估规范》、

GB/T24364-2009《信息技术信息安全风险管理指南》及国标《信息安全风险评

估实施指南》（GB/TXXXXX-XXXX）的基础上，针对风险评估工作中反映出来

的各类信息安全风险，形成客观、规范的风险处理方案，用于指导信息安全风险

处理工作，促进风险管理工作的完善。

三、编制原则

本标准属于信息安全标准，以自主编写的方式完成。国家标准《信息安全技

术信息安全风险处理实施指南》根据我国信息安全风险管理工作的发展，针对

风险评估工作中反映出来的各类信息安全风险，形成客观、规范的风险处理方案，

用于指导信息安全风险处理工作，促进风险管理工作的完善。

四、主要工作过程

1、2012年3月至5月，由国家信息中心牵头，成立了由北京信息安全测评

中心、北京数字认证股份有限公司、中国民航大学、东软集团股份有限公司、西

安交大捷普网络科技有限公司等单位共同组成的标准编制组，进行课题调研，并

形成了《信息安全风险处理指南》标准的基本框架和编制思路。

2、2012年5月17日，标准编制组正式召开国家标准《信息安全技术信息

安全风险处理实施指南》编制工作启动会暨第一次标准编制组会。解放军信息安

全测评认证中心崔书昆研究员、中国科学院研究生院赵战生教授、中国信息安全

认证中心曹雅斌处长、电监会信息中心胡红升副主任、国家税务总局李建彬研究

员等专家出席启动会。启动会上，各专家主要对本标准的范围、基本框架、指导

思想以及标准中相关术语概念等提出了宝贵的意见和建议。根据专家意见及存在

的问题，安排对标准的基本框架进一步完善。

3、2012年5月至6月，标准编制组根据启动会专家的意见，确定了标准的

基本框架，并对编制任务分工进行了安排。

4、2012年6月至8月，标准编制组按照各自的任务分工，完成了相应部分

的初稿，形成了本标准草案第一稿。

5、2012年9月17日，召开第二次标准编制组会，对本标准草案第一稿进

行讨论和研究，调整了部分章节的结构和内容顺序，并提出了一些修改意见。

6、2012年9月至11月，标准编制组根据第二次标准编制组会的要求，对

标准草案第一稿进一步修改完善，形成了本标准草案第二稿。

7、2012年11月8日，召开第三次标准编制组会，对本标准草案第二稿进

行讨论和研究，统一正文和附录的编写体例，并再次对部分内容提出了一些调整

和修改意见。

8、2012年11月至12月，标准编制组根据第三次标准编制组会的要求，对

标准草案第二稿进一步修改完善，形成了本标准草案第三稿。

9、2012年12月27日，召开第四次标准编制组会，对本标准草案第三稿进

行讨论和梳理，对附录部分的风险处理措施的编写方式进行了统一，并再次对部

分内容提出一些调整和修改意见。

10、2012年12月至2013年3月，标准编制组根据第四次标准编制组会的

要求，对标准草案第三稿进一步修改完善，形成了本标准草案第四稿。

11、2013年3月21日和27日，标准编制组召开了第五次和第六次标准编

制组会，分别对标准草案第四稿的正文和附录部分进行梳理与修改，形成了本标

准草案第五稿。

12、2013年3月至6月，标准编制组对标准草案第五稿的内容进一步修改

完善，形成了本标准草案第六稿。

13、2013年7月4日，标准编制组召开国家标准《信息安全技术信息安全

风险处理实施指南》编制工作专家研讨会暨第七次标准编制组会。全国信息安全

标准化技术委员会崔书昆研究员、北京大学王立福教授、解放军信息安全测评认

证中心肖京华高工、教育部考试中心鲁欣正副研究员、中国华能集团公司信息中

心郭森处长、中国信息安全测评中心班晓芳副研究员出席了研讨会。会上，专家

主要对本标准附录部分的信息安全风险分类方法和依据提出了疑问，并对标准中

的其他内容提出了一些意见和建议。根据专家意见及存在的问题，安排对标准草

案第六稿进行修改，并拟与中国信息安全认证中心联合对各信息安全风险评估服

务单位（主要是一级和二级资质）开展信息安全风险分类调研，重新对信息安全

风险进行梳理和分类，对标准附录部分重新编写。

14、2013年8月1日，标准编制组召开了第八次标准编制组会，对专家意

见进行了深入讨论，并形成相关处理意见。

15、2013年9月4日，标准编制组召开了第九次标准编制组会，对信息安

全风险分类调研方案进行了讨论。

16、2013年7月至9月，标准编制组对标准草案第六稿的内容进一步修改

完善，形成了本标准草案第七稿。

17、2013年9月23日，全国信息安全标准化技术委员会在北京应物会议中

心召开评审会，对《信息安全技术信息安全风险处理实施指南》（草案）进行了

评审。

18、2013年10月24日，标准编制组召开第十次标准编制组会议，对专家

意见进行了讨论，并形成相关处理意见。

19、2014年3月19日，标准编制组召开第十一次标准编制组会议，对第十

次会议部署的工作成果进行了讨论，并形成相关修改意见。

20、2014年5月12日，标准编制组召开第十二次标准编制组会议，对第十

一次会议部署的工作成果进行确认，形成了本标准草案第八稿。

21、2014年5月18日，全国信息安全标准化技术委员会在北京应物会议中

心召开评审会，对《信息安全技术信息安全风险处理实施指南》（草案）进行了

评审，崔书昆老师、冯惠老师、宿忠民老师、贾颖禾老师、曲成义老师、赵战生

老师、王立福老师分别对标准提供了建议和意见。

22、2014年6月9日，标准编制组召开第十三次标准编制组会议，对专家

意见进行了讨论，并形成相关处理意见。

23、2014年11月10日，标准编制组召开第十四次标准编制组会议，对第

十三次会议部署的工作成果进行确认，并形成了本标准草案第九稿。

24、2014年12月10日，全国信息安全标准化技术委员会在北京召开专家

审查会，对《信息安全技术信息安全风险处理实施指南》（草案）进行了评审。

崔书昆老师、贾颖禾老师、王立福老师、陈冠直老师、吴源俊老师、曲成义老师、

闵京华老师分别对标准提供了建议和意见。

25、2014年12月16日，标准编制组召开第十五次标准编制组会议，对专

家意见进行了讨论，并形成相关处理意见。

26、2014年12月30日，标准编制组召开第十六次标准编制组会议，对第

十五次会议部署的工作成果进行确认，并形成了本标准草案第十稿。

五、主要内容

本标准给出了信息安全风险处理实施的管理过程和方法。

本标准适用于指导信息系统运营使用单位和信息安全服务机构实施信息安

全风险处理活动。

本标准主要框架如下：

前言

引言

1范围

2规范性引用文件

3术语和定义

4风险处理实施概述

4.1风险处理基本原则

4.2风险处理的方式

4.3风险处理的角色和职责

4.4风险处理的基本流程

5风险处理准备

5.1制定风险处理计划

5.2获得管理层批准

6风险处理实施

6.1风险处理方案制定

6.2风险处理方案实施

7风险处理效果评价

7.1评价原则

7.2评价方法

7.3评价方案

7.4评价实施

7.5持续改进

附录A（资料性附录）风险处理实践示例

A.1示例

A.2风险处理准备

A.3风险处理实施

A.3.1成本效益分析报告

A.3.2残余风险分析报告

A.3.3风险处理方案

A.3.4风险处理实施报告

A.4风险处理评价

六、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

本标准是一种方法指南，用于指导组织的信息安全风险处理工作，为组织在

信息安全风险评估工作完成后实施信息安全风险处理工作提供规范性指导，科学

控制信息安全风险，从而降低或减轻信息安全风险可能给组织业务带来的负面影

响或利益损害。

七、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的

对比情况，或与测试的国外样品、样机的有关数据对比情况

无。

八、与有关的现行法律、法规和强制性国家标准的关系

本标准符合现有法律法规。本标准与现有国家标准《信息安全技术信息安

全风险评估规范》（GB/T20984-2007）、《信息安全技术信息安全风险评估实施

指南》（GB/TXXXXX-XXXX）和《信息安全技术信息安全风险管理指南》（GB/Z

24364-2009）都属于信息安全风险管理体系标准族标准，本标准针对风险评估工

作中反映出来的各类信息安全风险，从风险处理工作的组织、管理、流程、评价

等方面提出了相关要求，用于指导组织形成客观、规范的风险处理方案，促进风

险管理工作的完善。

九、重大分歧意见的处理经过和依据

详见意见汇总处理表。

十、国家标准作为强制性国家标准或推荐性国家标准的建议

建议本标准作为推荐性国家标准发布实施。

十一、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法

等内容）

本标准通过风险管理方法，为国家标准《信息安全技术信息安全风险评