《信息技术 安全技术 信息安全风险管理》编制说明

一、工作简况

1.1任务来源

《信息技术安全技术信息安全风险管理》是国家标准化管理委员会2010

年下达的信息安全国家标准制定项目，国标计划号为：20111634-T-469。由中国

电子技术标准化研究院主要负责起草。上海三零卫士信息安全有限公司、北京信

息安全测评中心、山东计算中心、黑龙江电子信息产品监督检验院等单位共同参

与了该标准的起草工作。

1.2任务背景

《信息技术安全技术信息安全风险管理》是国际信息安全管理体系

（ISMS）标准族（即ISO/IEC27000系列标准）中的标准之一。国际信息安全标

准化组织ISO/IECJTC1SC27/WG1专门负责ISMS标准族的研究和制定。ISMS标

准族作为一套具有一定科学理论基础和实践价值的标准，被广泛用于不同国家、

不同领域，为不同信息安全管理需求的用户提供了参考和指导。信息安全管理是

基于风险的管理，也就是说，风险管理是信息安全管理的基本方法，本标准的主

要目的是为信息安全风险管理提供指导，并对于深入理解和有效、合理实施ISMS

具有非常重要的意义。

截至目前，我国在持续跟踪研究该系列标准的基础上，已经转化了ISMS中

最为重要和核心的四项标准，分别是：ISO/IEC27001:2005《信息技术安全技

术信息安全管理体系要求》（对应国家标准GB/T22080:2008）、ISO/IEC

27002:2005《信息技术安全技术信息安全管理使用规则》（对应国家标准GB/T

22081:2008）、ISO/IEC27006:2007《信息技术安全技术信息安全管理体系认

证机构认可要求》（GB/T25067-2010）、ISO/IEC27000:2010《信息技术安全技

术信息安全管理体系概述和词汇》（即将发布）。其中，ISO/IEC27001和ISO/IEC

27002是建设组织信息安全管理体系的基础依据；ISO/IEC27000则提供了有关

ISMS系列标准的术语和定义，并提供了整个ISMS标准族的概貌，对于希望了解

和使用ISMS标准族的用户具有重要的指导意义；ISO/IEC27006则规范了信息

安全管理体系的审核和认证工作。

1.3主要工作过程

1、2010年6月至2011年3月，由中国电子技术标准化研究院牵头，成立

1

由上海三零卫士信息安全有限公司、北京测评中心、山东计算中心、黑龙江电子

信息产品监督检验院等单位共同组成的标准编制组，共同参与编制国家标准《信

息安全管理体系实施指南》、《信息安全管理测量》和《信息安全风险管理》等

工作。对国际标准ISO/IEC27003:2010《信息技术安全技术信息安全管理体

系实施指南》、ISO/IEC27004:2009《信息技术安全技术信息安全管理测量》

和ISO/IEC27005:2008《信息技术安全技术信息安全风险管理》等三个标准

文本，进行了等同翻译，完成了初稿。

2、2011年5月18日至19日，正式召开上述三项国家标准编制工作启动会

暨第一次标准编制组会，会上，主要对各标准范围、主要内容和框架、理解难

点以及三项标准中相关术语概念的协同处理等进行了交流和讨论。根据会议讨

论情况及存在的问题，安排对标准初稿进一步完善。

3、2011年6月至10月，各标准具体负责人根据5月会议讨论决定，对标

准初稿文本进行了修改完善，形成了标准草案第一稿。

4、2011年11月24日至25日，标准编制组召开第二次标准编制组会，对

标准草案第一稿进行讨论和研究，进一步修改完善，形成了标准草案第二稿。

5、2012年3月5日至6日，标准编制组召开第三次标准编制组会，对标准

草案第二稿进行讨论和研究，进一步修改完善，形成了标准草案第三稿。

6、2012年4月起，就已形成的标准草案小范围征求相关专家的意见和建议，

并根据专家意见和建议，本着对国际标准内容理解更加准确、表达更加通畅等

原则，对标准草案第三稿进行了全面的校对，形成了目前的标准草案第四稿。

7、2012年8月28日，标准编制组召开专家意见征求会，一方面，提出标

准草案第四稿中的遗留问题，咨询与会专家的意见和建议；同时另一方面，听

取与会专家对标准草案第四稿的修改意见和建议。会后，根据与会专家的意见

和建议，对标准草案第四稿作了进一步修改完善，形成了标准草案第五稿。

8、2012年11月27日，标准编制组召开专家审查会，听取了与会专家对标

准草案第五稿的修改意见和建议，并通过了专家审查。会后，根据与会专家的

意见和建议，对标准草案第五稿作了进一步修改完善，形成了标准草案第六稿。

9、2013年1月15日，通过了WG7组的全体成员投票工作会议，会后对文

本进行了修改完善，形成了征求意见稿。

2

二、编制原则和主要内容

2.1编制原则

等同采用：基于目前国内对国际ISMS标准族相关标准的研究和转化情况，

以及我国整体信息安全管理理论和技术发展现状，标准编制组认为有必要等同转

化ISO/IEC27005，因此，决定等同采用国际标准ISO/IEC27005:2008《信息技

术安全技术信息安全风险管理》。

准确理解：在充分理解国际标准原文的基础上进行等同翻译，做到准确表

达原意。

语言通畅：在等同翻译时，尽量符合中文的语言习惯，做到表述通畅。

2.2主要内容

本标准为组织内的信息安全风险管理提供指南，特别是支持根据GB/T

22080的ISMS要求。本标准支持GB/T22080所规约的一般概念，旨在有助于基

于风险管理方法来满意地实现信息安全。知晓GB/T22080和GB/T22081中所描

述的概念、模型、过程和术语，对于完整地理解本标准是重要的。

本标准适用于各种类型的组织（例如，商务企业、政府机构、非盈利性组

织），这些组织期望管理可能危及其信息安全的风险。

然而，本标准不提供信息安全风险管理的任何特定方法。由组织来确定其

风险管理方法，这取决于，例如，组织的ISMS范围、风险管理语境或所处行业。

一些现有的方法可在本标准描述的框架下使用，以实现ISMS的要求。

本标准内容框架如下：

引言

1范围

2规范性引用文件

3术语和定义

4本标准结构

5背景

6信息安全风险管理过程概述

7语境建立

7.1总体考虑

3

7.2基本准则

7.3范围和边界

7.4信息安全风险管理组织

8信息安全风险评估

8.1信息安全风险评估总体描述

8.2风险分析

8.3风险评价

9信息安全风险处置

9.1风险处置总体描述

9.2风险降低

9.3风险保留

9.4风险规避

9.5风险转移

10信息安全风险接受

11信息安全风险沟通

12信息安全风险监视和评审

12.1风险因素的监视和评审

12.2风险管理监视、评审和改进

附录A（资料性附录）确定信息安全风险管理过程的范围和边界

附录B（资料性附录）资产识别和估价以及影响评估

附录C（资料性附录）典型威胁示例

附录D（资料性附录）脆弱性和脆弱性评估方法

附录E（资料性附录）信息安全评估方法

附录F（资料性附录）风险降低的约束

参考文献

三、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

本标准是一种方法指南，用于指导组织内的信息安全风险管理，旨在通过

风险管理方法做到控制措施有效、成本效益合理地实现组织的信息安全，防止信

4

息安全风险可能给组织业务带来的负面影响或利益损害。

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的

对比情况，或与测试的国外样品、样机的有关数据对比情况

本标准等同采用国际标准ISO/IEC27005:2008。

五、与有关的现行法律、法规和强制性国家标准的关系

本标准符合现有法律法规。本标准与现有国家标准GB/T22080:2008《信息

技术安全技术信息安全管理体系要求》、GB/T22081:2008《信息技术安全技

术信息安全管理实用规则》以及GB/T25067:2010《信息技术安全技术信息

安全管理体系审核认证机构的要求》都属于信息安全管理体系标准族标准。GB/T

22080:2008提供了建立信息安全管理体系的模型及每个过程的具体活动，可供

用户建立和实施满足自身业务需求和安全需要的信息安全管理体系。GB/T

22081:2008提供了一套通用的安全控制目标和最佳实践控制措施，可指导用户

选择和实施控制措施以实现信息安全。GB/T25067:2010为依据GB/T22080:2008

从事ISMS审核和认证的机构规定了要求并提供相关指导。本标准则为组织内的

信息安全风险管理提供指导，特别是支持根据GB/T22080的ISMS要求。本标准

提出了方法性的建议和解释，并未规定任何要求。本标准可与GB/T22080-2008

和GB/T22081-2008一起使用，但并未修改或降低GB/T22080-2008所规定的要

求或GB/T22081-2008所提出的建议。

六、重大分歧意见的处理经过和依据

详见意见汇总处理表。

七、国家标准作为强制性国家标准或推荐性国家标准的建议

建议本标准作为推荐性国家标准发布实施。

5

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等

内容）

本标准通过风险管理方法，为国家标准GB/T22080:2008《信息技术安全

技术信息安全管理体系要求》和GB/T22081:2008《信息技术安全技术信息

安全管理实用规则》的有效、合理实施提供支持。因此，本标准贯彻实施时，应

与上述两个标准结合在一起进行。

九、其他事项说明

本标准与国家标准