版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
一、任务来源
根据全国信息安全标准化技术委员会2011年下达的国家信息安全战略研究
与标准制定工作专项项目任务(计划号:20120535-T-469),国家标准《信息安
全技术信息安全风险处理实施指南》由中国信息协会信息安全专业委员会(秘
书处设在国家信息中心)负责主办。
二、任务背景
为落实与发展原国务院信息办《关于开展信息安全风险评估工作的意见》(国
信办[2006]5号)的文件精神,在国家基本完成对我国基础信息网络和重要信息
系统普遍进行信息安全风险评估工作后,规范性指导各被评估单位开展信息安全
风险管理,科学控制信息安全风险,提升其信息安全技术与信息安全管理的安全
保障能力,全面提高被评估单位信息安全的信息安全风险管理水平。
本标准将在国家标准GB/T20984-2007《信息技术信息安全风险评估规范》、
GB/T24364-2009《信息技术信息安全风险管理指南》及国标《信息安全风险评
估实施指南》(GB/TXXXXX-XXXX)的基础上,针对风险评估工作中反映出来
的各类信息安全风险,形成客观、规范的风险处理方案,用于指导信息安全风险
处理工作,促进风险管理工作的完善。
三、编制原则
本标准属于信息安全标准,以自主编写的方式完成。国家标准《信息安全技
术信息安全风险处理实施指南》根据我国信息安全风险管理工作的发展,针对
风险评估工作中反映出来的各类信息安全风险,形成客观、规范的风险处理方案,
用于指导信息安全风险处理工作,促进风险管理工作的完善。
四、主要工作过程
1、2012年3月至5月,由国家信息中心牵头,成立了由北京信息安全测评
中心、北京数字认证股份有限公司、中国民航大学、东软集团股份有限公司、西
安交大捷普网络科技有限公司等单位共同组成的标准编制组,进行课题调研,并
形成了《信息安全风险处理指南》标准的基本框架和编制思路。
2、2012年5月17日,标准编制组正式召开国家标准《信息安全技术信息
安全风险处理实施指南》编制工作启动会暨第一次标准编制组会。解放军信息安
全测评认证中心崔书昆研究员、中国科学院研究生院赵战生教授、中国信息安全
认证中心曹雅斌处长、电监会信息中心胡红升副主任、国家税务总局李建彬研究
员等专家出席启动会。启动会上,各专家主要对本标准的范围、基本框架、指导
思想以及标准中相关术语概念等提出了宝贵的意见和建议。根据专家意见及存在
的问题,安排对标准的基本框架进一步完善。
3、2012年5月至6月,标准编制组根据启动会专家的意见,确定了标准的
基本框架,并对编制任务分工进行了安排。
4、2012年6月至8月,标准编制组按照各自的任务分工,完成了相应部分
的初稿,形成了本标准草案第一稿。
5、2012年9月17日,召开第二次标准编制组会,对本标准草案第一稿进
行讨论和研究,调整了部分章节的结构和内容顺序,并提出了一些修改意见。
6、2012年9月至11月,标准编制组根据第二次标准编制组会的要求,对
标准草案第一稿进一步修改完善,形成了本标准草案第二稿。
7、2012年11月8日,召开第三次标准编制组会,对本标准草案第二稿进
行讨论和研究,统一正文和附录的编写体例,并再次对部分内容提出了一些调整
和修改意见。
8、2012年11月至12月,标准编制组根据第三次标准编制组会的要求,对
标准草案第二稿进一步修改完善,形成了本标准草案第三稿。
9、2012年12月27日,召开第四次标准编制组会,对本标准草案第三稿进
行讨论和梳理,对附录部分的风险处理措施的编写方式进行了统一,并再次对部
分内容提出一些调整和修改意见。
10、2012年12月至2013年3月,标准编制组根据第四次标准编制组会的
要求,对标准草案第三稿进一步修改完善,形成了本标准草案第四稿。
11、2013年3月21日和27日,标准编制组召开了第五次和第六次标准编
制组会,分别对标准草案第四稿的正文和附录部分进行梳理与修改,形成了本标
准草案第五稿。
12、2013年3月至6月,标准编制组对标准草案第五稿的内容进一步修改
完善,形成了本标准草案第六稿。
13、2013年7月4日,标准编制组召开国家标准《信息安全技术信息安全
风险处理实施指南》编制工作专家研讨会暨第七次标准编制组会。全国信息安全
标准化技术委员会崔书昆研究员、北京大学王立福教授、解放军信息安全测评认
证中心肖京华高工、教育部考试中心鲁欣正副研究员、中国华能集团公司信息中
心郭森处长、中国信息安全测评中心班晓芳副研究员出席了研讨会。会上,专家
主要对本标准附录部分的信息安全风险分类方法和依据提出了疑问,并对标准中
的其他内容提出了一些意见和建议。根据专家意见及存在的问题,安排对标准草
案第六稿进行修改,并拟与中国信息安全认证中心联合对各信息安全风险评估服
务单位(主要是一级和二级资质)开展信息安全风险分类调研,重新对信息安全
风险进行梳理和分类,对标准附录部分重新编写。
14、2013年8月1日,标准编制组召开了第八次标准编制组会,对专家意
见进行了深入讨论,并形成相关处理意见。
15、2013年9月4日,标准编制组召开了第九次标准编制组会,对信息安
全风险分类调研方案进行了讨论。
16、2013年7月至9月,标准编制组对标准草案第六稿的内容进一步修改
完善,形成了本标准草案第七稿。
17、2013年9月23日,全国信息安全标准化技术委员会在北京应物会议中
心召开评审会,对《信息安全技术信息安全风险处理实施指南》(草案)进行了
评审。
18、2013年10月24日,标准编制组召开第十次标准编制组会议,对专家
意见进行了讨论,并形成相关处理意见。
19、2014年3月19日,标准编制组召开第十一次标准编制组会议,对第十
次会议部署的工作成果进行了讨论,并形成相关修改意见。
20、2014年5月12日,标准编制组召开第十二次标准编制组会议,对第十
一次会议部署的工作成果进行确认,形成了本标准草案第八稿。
21、2014年5月18日,全国信息安全标准化技术委员会在北京应物会议中
心召开评审会,对《信息安全技术信息安全风险处理实施指南》(草案)进行了
评审,崔书昆老师、冯惠老师、宿忠民老师、贾颖禾老师、曲成义老师、赵战生
老师、王立福老师分别对标准提供了建议和意见。
22、2014年6月9日,标准编制组召开第十三次标准编制组会议,对专家
意见进行了讨论,并形成相关处理意见。
23、2014年11月10日,标准编制组召开第十四次标准编制组会议,对第
十三次会议部署的工作成果进行确认,并形成了本标准草案第九稿。
24、2014年12月10日,全国信息安全标准化技术委员会在北京召开专家
审查会,对《信息安全技术信息安全风险处理实施指南》(草案)进行了评审。
崔书昆老师、贾颖禾老师、王立福老师、陈冠直老师、吴源俊老师、曲成义老师、
闵京华老师分别对标准提供了建议和意见。
25、2014年12月16日,标准编制组召开第十五次标准编制组会议,对专
家意见进行了讨论,并形成相关处理意见。
26、2014年12月30日,标准编制组召开第十六次标准编制组会议,对第
十五次会议部署的工作成果进行确认,并形成了本标准草案第十稿。
五、主要内容
本标准给出了信息安全风险处理实施的管理过程和方法。
本标准适用于指导信息系统运营使用单位和信息安全服务机构实施信息安
全风险处理活动。
本标准主要框架如下:
前言
引言
1范围
2规范性引用文件
3术语和定义
4风险处理实施概述
4.1风险处理基本原则
4.2风险处理的方式
4.3风险处理的角色和职责
4.4风险处理的基本流程
5风险处理准备
5.1制定风险处理计划
5.2获得管理层批准
6风险处理实施
6.1风险处理方案制定
6.2风险处理方案实施
7风险处理效果评价
7.1评价原则
7.2评价方法
7.3评价方案
7.4评价实施
7.5持续改进
附录A(资料性附录)风险处理实践示例
A.1示例
A.2风险处理准备
A.3风险处理实施
A.3.1成本效益分析报告
A.3.2残余风险分析报告
A.3.3风险处理方案
A.3.4风险处理实施报告
A.4风险处理评价
六、主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果
本标准是一种方法指南,用于指导组织的信息安全风险处理工作,为组织在
信息安全风险评估工作完成后实施信息安全风险处理工作提供规范性指导,科学
控制信息安全风险,从而降低或减轻信息安全风险可能给组织业务带来的负面影
响或利益损害。
七、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的
对比情况,或与测试的国外样品、样机的有关数据对比情况
无。
八、与有关的现行法律、法规和强制性国家标准的关系
本标准符合现有法律法规。本标准与现有国家标准《信息安全技术信息安
全风险评估规范》(GB/T20984-2007)、《信息安全技术信息安全风险评估实施
指南》(GB/TXXXXX-XXXX)和《信息安全技术信息安全风险管理指南》(GB/Z
24364-2009)都属于信息安全风险管理体系标准族标准,本标准针对风险评估工
作中反映出来的各类信息安全风险,从风险处理工作的组织、管理、流程、评价
等方面提出了相关要求,用于指导组织形成客观、规范的风险处理方案,促进风
险管理工作的完善。
九、重大分歧意见的处理经过和依据
详见意见汇总处理表。
十、国家标准作为强制性国家标准或推荐性国家标准的建议
建议本标准作为推荐性国家标准发布实施。
十一、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法
等内容)
本标准通过风险管理方法,为国家标准《信息安全技术信息安全风险评
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度年福建省高校教师资格证之高等教育心理学能力测试试卷A卷附答案
- 2024年度山西省高校教师资格证之高等教育法规每日一练试卷A卷含答案
- 四川省网约配送员职业技能竞赛理论考试题及答案
- 三年级数学计算题专项练习汇编及答案集锦
- 2024建筑施工协议代理业务规范稿
- 2024投标专用协议样本解析
- 基于网络空间安全的个人信息保护研究
- 2024年复婚二次离婚协议规范样本
- 2024专业红娘服务会员协议
- 2024年度高品质防盗门供应协议范例
- 消防安全-情系你我他
- 短视频的拍摄与剪辑
- 产品设计-浅谈智能蓝牙音响的外观创新设计
- 江苏省南京江宁联合体2023-2024学年八年级上学期期中考试英语试卷
- 快速康复外科(ERAS)护理
- 医疗机构安全检查表
- 第六章-巷道支护01
- 应急管理法律法规及国标行标清单
- 监理规划、监理细则审批表
- 香菇种植示范基地项目可行性策划实施方案
- 施工现场材料使用明细表
评论
0/150
提交评论