中华人民共和国国家标准信息技术安全技术信息安全风险管理发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会实施发布目次前言引言范围规范性引用文件术语和定义本标准结构背景信息安全风险管理过程概述语境建立信息安全风险评估信息安全风险处置信息安全风险接受信息安全风险沟通信息安全风险监视和评审附录资料性附录确定信息安全风险管理过程的范围和边界附录资料性附录资产识别和估价以及影响评估附录资料性附录典型威胁示例附录资料性附录脆弱性和脆弱性评估方法附录资料性附录信息安全评估方法附录资料性附录风险降低的约束参考文献前言本标准按照给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准使用翻译法等同采用信息技术文版安全技术信息安全风险管理英本标准做了以下修改对引言做了一些编辑性修改本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位中国电子技术标准化研究院上海三零卫士信息安全有限公司中电长城网际系统应用有限公司山东省计算中心北京信息安全测评中心本标准主要起草人许玉娜闵京华上官晓丽董火民赵章界李刚周鸣乐引言信息安全管理体系标准族简称标准族是国际信息安全技术标准化组织制定的信息安全管理体系系列国际标准标准族旨在帮助各种类型和规模的组织开发和实施管理其信息资产安全的框架并为保护组织信息诸如财务信息知识产权员工详细资料或者受客户或第三方委托的信息的的独立评估做准备标准族包括的标准定义了的要求及其认证机构的要求提供了对整个规划实施检查处置过程和要求的直接支持详细指南和或解释阐述了特定行业的指南阐述了的一致性评估目前标准族由下列标准组成信息技术信息技术信息技术信息技术信息技术信息技术安全技术安全技术安全技术安全技术安全技术信息技术安全技术安全技术信息技术信息技术信息技术安全管理指南信息安全管理体系安全技术要求测量信息安全风险管理信息安全管理信息安全管理体系审核认证机构的要求信息安全管理体系审核指南安全技术安全技术概述和词汇信息安全管理实用规则信息安全管理体系实施指南信息技术安全技术信息安全管理体系信息安全控制措施审核员指南行业间及组织间通信的信息安全管理基于的电信行业组织的信息信息技术安全技术和集成实施信息技术安全技术指南信息技术信息安全治理安全技术金融服务信息安全管理指南本标准作为标准族之一为组织内的信息安全风险管理提供指南特别是支持按照的要求然而本标准不提供信息安全风险管理的任何特定方法由组织来确定其风险管理方法这取决于诸如组织的范围风险管理语境或所处行业一些现有的方法可在本标准描述的框架下使用以实现的要求本标准的相关方包括关心组织内信息安全风险的管理者和员工以及在适当情况下支持这种活动的外部方信息技术安全技术信息安全风险管理范围本标准为信息安全风险管理提供指南本标准支持所规约的一般概念旨在为基于风险管理方法来符合要求地实现信息安全提供帮助知晓和中所描述的概念模型过程和术语对于完整地理解本标准是重要的本标准适用于各种类型的组织例如商务企业政府机构非盈利性组织这些组织期望管理可能危及其信息安全的风险规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息技术安全技术信息技术安全技术术语和定义信息安全管理体系要求信息安全管理实用规则和中界定的以及下列术语和定义适用于本文件影响对所达到业务目标的不利改变信息安全风险特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害注它以事态的可能性及其后果的组合来度量风险规避不卷入风险处境的决定或撤离风险处境的行动风险沟通决策者和其他利益相关者之间关于风险的信息交换或共享风险估算为风险的可能性和后果赋值的活动风险识别发现和列出风险要素并描述其特征的活动风险降低为降低风险的可能性和或负面结果所采取的行动风险保留对来自特定风险的损失或收益的接受注在信息安全风险的语境下对于风险保留仅考虑负面后果损失风险转移与另一方对风险带来的损失或收益的共享注在信息安全风险的语境下对于风险转移仅考虑负面结果损失本标准结构本标准描述了信息安全风险管理过程及其活动第章提供了背景信息第章给出了信息安全风险管理过程的总体概述第章提出的所有信息安全风险管理活动在以下各章中依次进行了描述第章语境建立第章风险评估第章风险处置第章风险接受第章风险沟通第章风险监视与评审附录中给出了信息安全风险管理活动的其他信息附录确定信息安全风险管理过程的范围和边界对语境建立提供支持附录资产示例附录典型威胁示例和附录典型脆弱性示例讨论了资产识别和估价以及影响评估附录给出了信息安全风险评估方法的示例附录给出了风险降低的约束第章第章给出的所有风险管理活动的表述结构如下输入标识执行该活动所需的任何信息动作描述活动实施指南为执行该动作提供指南指南中的某些内容可能不适用于所有情况因此执行该动作的其他方法可能更合适输出标识执行该活动后得到的任何信息背景为识别组织的信息安全需求和创建有效的信息安全管理体系一种系统化的信息安全风险管理方法是必要的这种方法宜适用于该组织的环境特别是与整个组织风险管理宜保持一致安全工作宜以有效和及时的方式在需要的地方和时候处理风险信息安全风险管理宜是所有信息安全管理活动中不可分割的一部分并既应用于的实施也应用于的持续运行信息安全风险管理宜是一个持续的过程该过程宜建立语境评估风险以及按风险处置计划进行风险处置以实现相关的建议和决策风险管理为将风险降低至可接受的水平在决定宜做什么和什么时候做之前分析可能发生什么和可能的后果是什么信息安全风险管理将有助于识别风险以风险造成的业务后果和发生的可能性来评估风险沟通和理解这些风险的可能性和后果建立风险处置的优先顺序建立为降低风险发生所采取行动的优先级使利益相关方参与风险管理决策并持续告知风险管理状态监视风险处置的有效性监视和定期评审风险及风险管理过程获取信息以改进风险管理方法向管理者和员工传授风险知识以及减轻风险所采取的行动信息安全风险管理过程可应用于整个组织组织的任何独立部分例如一个部门一处物理位置一项服务任何信息系统现有的或计划的或特定方面的控制措施例如业务持续性计划信息安全风险管理过程概述信息安全风险管理过程由语境建立第章风险评估第章风险处置第章风险接受第章风险沟通第章和风险监视与评审第章组成如图所示信息安全风险管理过程可以迭代地进行风险评估和或风险处置活动迭代方法进行风险评估可在每次迭代时增加评估的深度和细节该迭代方法在最小化识别控制措施所需的时间和精力与确保高风险得到适当评估之间提供了一个良好的平衡首先建立语境然后进行风险评估对于有效地确定将风险降低至可接受水平所需行动如果风险评估提供了足够的信息那么就结束该风险评估接下来进行风险处置如果提供的信息不够充分那么将在修订的语境例如风险评价准则风险接受准则或影响准则下进行该风险评估的另一次迭代见图风险决策点此次迭代可能是在整个范围的有限部分上进行风险处置的有效性取决于该风险评估的结果风险处置后的残余风险可能不会立即达到一个可接受的水平在这种情况下如果必要的话可能需要在改变的语境参数例如风险评估准则风险接受准则或影响准则下进行该风险评估的另一次迭代以及随后的进一步风险处置见图风险决策点风险接受活动要确保残余风险被组织的管理者明确地接受在诸如由于成本而省略或推迟实施控制措施的情况下这点尤其重要在整个信息安全风险管理过程期间重要的是将风险及其处置传达至适当的管理者和运行人员即使是风险处置前已识别的风险信息对管理事件可能是非常有价值的并可能有助于减少潜在损害管理者和员工的风险意识缓解风险的现有控制措施的性质以及组织关注的领域这些均有助于以最有效的方式处理事件和意外情况信息安全风险管理过程的每个活动以及来自两个风险决策点的详细结果均宜记录在案规定的范围边界和语境内所实施的控制措施应基于风险信息安全风险管理过程的应用能够满足这一要求有许多方法可以在组织内成功地实施此过程但无论什么方法组织宜为此过程的每一特定应用选用最适合自身情况的方法在一个中语境建立风险评估风险处置计划制定和风险接受是其规划阶段的全部在此的实施阶段依据风险处置计划实施将风险降低到可接受水平所需的行动和控制措施在此的检查阶段管理者将根据事件和环境变化来确定风险评估和风险处置修订的需要在处置阶段执行所需的任何行动包括风险管理过程的再次应用图信息安全风险管理过程表总结了与过程的四个阶段相关的信息安全风险管理活动表和信息安全风险管理过程对照表过程信息安全风险管理过程语境建立风险评估规划风险处置计划制定风险接受实施风险处置计划实施检查持续的风险监视与评审处置信息安全风险管理过程保持与改进语境建立总体考虑输入与信息安全风险管理语境建立相关的所有关于组织的信息动作宜建立信息安全风险管理的语境包括设定信息安全风险管理所必要的基本准则确定其范围和边界并建立运行信息安全风险管理的一个适当组织实施指南确定信息安全风险管理的目的是必不可少的因为这会影响整个过程尤其是语境建立目的可以是支持遵从法律和证明尽职准备业务持续性计划准备事件响应计划描述产品服务或机制的信息安全要求支持所需的语境建立要素的实施指南在和中进一步讨论注没有使用术语语境然而第章的所有内容都与中规定的确定的范围和边界确定方针和确定风险评估方法要求有关输出对信息安全风险管理过程的基本准则范围和边界以及组织的规定基本准则根据风险管理的范围和目标可应用不同的方法对于每次迭代其方法可能是不同的宜选择或开发一个适当的风险管理方法来确立诸如风险评价准则影响准则风险接受准则等基本准则另外组织宜评估下述工作的必要资源是否可用执行风险评估建立风险处置计划确定并实施策略和规程包括实施所选的控制措施监视控制措施监视信息安全风险管理过程注见中有关实施和运行的资源供给风险评价准则宜通过考虑如下因素开发风险评价准则来评价组织的信息安全风险业务信息过程的战略价值所涉及信息资产的关键性法律法规和规章制度的要求以及合同义务可用性保密性和完整性对运营和业务的重要性利益相关方的期望和观点以及对信誉和和名誉的负面结果另外风险评价准则可被用于规定风险处置的优先级影响准则宜通过考虑如下因素从信息安全事态给组织带来的损害程度或代价的角度来开发和规定影响准则受影响的信息资产的级别破坏信息安全例如保密性完整性和可用性的丧失受损的运行内部或第三方的业务和财务价值的损失计划中断和最终期限名誉损害违反法律法规规章制度或合同要求注见中有关识别丧失保密性完整性和可用性的影响准则风险接受准则宜开发和规定风险接受准则风险接受准则通常取决于组织的方针策略目标和利益相关方的利益组织宜对风险接受水平确定其自身的尺度在开发中宜考虑以下因素对于一个期望的风险目标水平风险接受准则可能包括多个阈值但允许高级管理者在界定的环境下接受高于这一水平的风险风险接受准则可能表示为估算收益或