ICS 35.040 L 80 中华人民共和国国家标准 GB/T 31722--2015/ISO/IEC27005.2008 信息技术 安全技术 信息安全风险管理 Information technology--Security techniques Information security risk management (ISO/IEC 27005:2008.IDT) 2015-06-02发布 2016-02-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 31722-2015/1SO/IEC 27005:2008 目次 前育 引言 1. 范围 2. 规范性引用文件 3 术语和定义 本标准结构 背景 6 信息安全风险管理过程概述 语境建立 8 信息安全风险评估 信息安全风险处置 :O1 信息安全风险接受 11 信息安全风险沟通 12 信息安全风险监视和评审 附录A（资料性附录） 确定信息安全风险管理过程的范围和边界 附录B（资料性附录） 资产识别和估价以及影响评估 附录C（资料性附录) 典型威胁示例： 附录D（资料性附录） 脆弱性和脆弱性评估方法· 附录E（资料性附录） 信息安全评估方法 附录F（资料性附录） 风险降低的约束 参考文献 GB/T 31722--2015/1S0/IEC 27005:2008 前言 本标准按照GB/T1.1-2009给出的规则起草、 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任 本标准使用翻译法等同采用IS0IEC27005：2008信息技术安全技术：信息安全风险管理（英 文版), 本标准做了以下修改： 对引盲做了一些编辑性修改。 本标准由全国信息安全标准化技术委员会（SAC/TC:260）提出并归口 本标准起草单位：中国电子技术标准化研究院、上海三零卫土信息安全有限公司、中电长城网际系 统应用有限公司、山东省计算中心北京信息安全测评中心 本标准主要起草人：许宝娜、闵京华、上官晓丽、董火民、赵章界、李刚、周鸣乐 3 GB/T31722--2015/ISO/IEC27005.2008 引言 信息安全管理体系标准族（InformationSecurityManagementSystem，简称ISMS标准族）是国际 信息安全技术标准化组织（ISO/IECJTC1SC27）制定的信息安全管理体系系列国际标准，：ISMS标准 族旨在帮助各种类型和规模的组织，开发和实施管理其信息资产安全的框架，并为保护组织信息（诸如： ISMS标准族包括的标准：a)定义了ISMS的要求及其认证机构的要求：b)提供了对整个“规划-实施-检 查-处置"(PDCA)过程和要求的直接支持、详细指南和(或）解释；c)阐述了特定行业的ISMS指南;d) 述了ISMS的一致性评估： 目前，ISMS标准族由下列标准组成： GB/T 29246--2012 信息技术 安全技术 信息安全管理体系 概达和词汇 (ISO/IEC 27000:2009) GB/T22080-2008 信息技术 安全技术： 信息安全管理体系：要求（ISO/IEC27001： 2005) GB/T 22081 -2008 信息技术 安全技术：信息安全管理实用规则（ISO/IEC.27002：2005） GB/T 31496--2015 信息技术 安全技术 信息安全管理体系实施指南（ISO/IEC.27003 2010) GB/T 31497--2015 信息技术 安全技术：信息安全管理：测量（ISO/IEC27004：2009） GB/T31722-2015 信息技术 安全技术：信息安全风险管理（ISO/IEC27005：2008） GB/T 25067--2010 信息技术 安全技术：信息安全管理体系审核认证机构的要求（ISO)） IEC 27006:2007) ISO/IEC 27007 :2011 信息技术 安全技术信息安全管理体系审核指南 ISO/IEC TR 27008:2011:: 信息技术安全技术：信息安全控制措施审核员指南 ISO/IEC:27010:2012 信息技术 安全技术行业间及组织间通信的信息安全管理 IS0/IEC 27011:2008 信息技术 安全技术 基于ISO/IEC27002的电信行业组织的信息 安全管理指南 ISO/IEC 27013:2012 信息技术：安全技术ISO/IEC27001和ISO/IEC20000-1集成实施 指南 ISO/IEC27014:2013 ：信息技术安全技术信息安全治理 ISO/EC.TR270152012、信息技术：安全技术：金融服务信息安全管理指南 本标准作为ISMS标准族之为组织内的信息安全风险管理提供指南，特别是支持按照 GB/T22080的ISMS要求，然而，本标准不提供信息安全风险管理的任何特定方法：由组织来确定 其风险管理方法这取决于诸如组织的ISMS范围、风险管理语境或所处行业：一些现有的方法可在本 标准描述的框架下使用，以实现ISMS的要求， 本标准的相关方包括关心组织内信息安全风险的管理者和员工以及（在适当情况下）支持这种活动 的外部方。 GB/T31722-2015/1S0/IEC27005:2008 信息技术安全技术 信息安全风险管理 1. 范围 本标准为信息安全风险管理提供指南。 本标准支持GB/T22080所规约的一般概念，旨在为基于风险管理方法来符合要求地实现信息安 全提供带助 知晓GB/T22080和GB/T22081中所描述的概念模型，过程和术语，对于完整地理解本标准是 重要的。 本标准适用于各种类型的组织（例如，商务企业、政府机构、非盈利性组织），这些组织期望管理可能 危及其信息安全的风险。 2. 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T22080--2008信息技术：安全技术：信息安全管理体系要求（ISO/IEC27001:2005 IDT) GB/T220812008信息技术：安全技术：信息安全管理实用规则（ISO/IEC270022005.IDT) 3术语和定义 GB/T22080--2008和GB/T220812008中界定的以及下列术语和定义适用于本文件 3.1 影响 impact 对所达到业务日标的不利改变 3.2 信息安全风险：information securityrisk 特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。 注：它以事态的可能性及其启巢的组合来度量， 3.3 风险规避 risk avoidance 不卷入风险处境的决定或撤离风险处境的行动。 [ISO/1EC Guide 73:2002] 3.4 风险沟通riskcommunication 决策者和其他利益相关者之间关于风险的信息交换或共享， LISO/1EC Guide 73:2002J 5 GB/T:31722--2015/1SO/1EC27005:2008 3.5 风险估算riskestimation 为风险的可能性和后果赋值的活动。 ［ISO/1EC Guide 73:2002] 3.6 风险识别risk identification 发现和列出风险要素并措述其特征的活动。 ［ISO/IEC Guide73.2002] 3.7 风险降低 riskreduction 为降低风险的可能性和（或）负面结果所采取的行动。 ［ISO/IEC Guide 73:2002] 3.8 风险保留risk retention 对来自特定风险的损失或收益的接受。 ［ISO/IEC Guide 73:2002] 注：在信息安全风险的语境下，对于风险保留仪考总负面后果（损失） 3.9 风险转移 risk transfer 与另一方对风险带来的损失或收益的共享。 [ISO/1EC Guide73.2002] 注：在信息安全风险的语境下，对于风险转移仪考虑负面结果（揽失） ：本标准结构 本标准指述了信息安全风险管理过程及其活动。 第5.章提供了背景信息。 第6章给出了信息安全风险管理过程的总体概述 第6章提出的所有信息安全风险管理活动在以下各章中依次进行了描述： 第7章语境建立： 第8.章风险评估： 第9章风险处置： 第10章 风险接受； 第11章风险沟通； 第12章风险监视与评审 附录中给出了信息安全风险管理活动的其他信息。附录A（确定信息安全风险管理过程的范围和 边界）对语境建立提供支持。附录B(资产示例）附录C(典型威胁示例）和附录D(典型脆弱性示例）讨 论了资产识别和估价以及影响评估。 附录E给出了信息安全风险评估方法的示例 附录 F给出了风险降低的约束。 第7章～第12章给出的所有风险管理活动的表述结构如下： 输人：标识执行该活动所需的任何信息。 动作：措述活动、 2 6 GB/T31722--2015/1S0/IEC 27005:2008 实施指南，为执行该动作提供指南。指南中的某些内容可能不适用于所有情况，因此执行该动作的 其他方法可能更合适。 输出：标识执行该活动后得到的任何信息 5 背景 为识别组织的信息安全需求和创建有效的信息安全管理体系（ISMS），一种系统化的信息安全风险 工作宜以有效和及时的方式在需要的地方和时候处理风险。信息安全风险管理宜是所有信息安全管理 活动中不可分割的一部分，并既应用于ISMS的实施，也应用于ISMS的持续运行。 借息安全风险管理宜是个