信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南編制說明

1、國家標(biāo)準(zhǔn)征求意見稿資料國家標(biāo)準(zhǔn)信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南編制說明一、 工作簡(jiǎn)況1. 任務(wù)來源2018 年，經(jīng)國標(biāo)委批準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì) （SAC/TC260）2018年第二次全會(huì)討論通過，研究修訂信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南國家標(biāo)準(zhǔn)。該項(xiàng)目由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出， 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。2. 主要起草單位和工作組成員該標(biāo)準(zhǔn)由國家信息中心牽頭， 參與單位包括中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國信息安全測(cè)評(píng)中心、 中國電子科技集團(tuán)公司第十五研究所、 北京信息安全測(cè)評(píng)中心、北京國信京寧信息安全科技有限公司、 北京安信天行科技有限公司、國際商業(yè)機(jī)器（中

2、國）有限公司、京東云計(jì)算（北京）有限公司、深信服科技股份有限公司等。標(biāo)準(zhǔn)工作組成員中，祿凱負(fù)責(zé)項(xiàng)目方向把控和整體協(xié)調(diào)，任金強(qiáng)、陳永剛、劉豐、章恒、趙增振負(fù)責(zé)具體實(shí)施和編寫，閔京華、程瑜琦、杜宇鴿、任佩、陳青民、劉凱俊、陳楊國、宋文娣、劉德林負(fù)責(zé)標(biāo)準(zhǔn)研究和編制。3. 主要工作過程標(biāo)準(zhǔn)修訂的主要工作過程如下：（ 1） 成立編制組，形成標(biāo)準(zhǔn)申報(bào)材料標(biāo)準(zhǔn)于 2019 年 1 月開始進(jìn)行相關(guān)調(diào)研工作， 組建信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南 修訂項(xiàng)目組， 對(duì)近年來，尤其是中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組成立以來所發(fā)布的關(guān)于網(wǎng)絡(luò)安全的一系列政策文件進(jìn)行研究， 充分理解我國網(wǎng)絡(luò)安全的戰(zhàn)略規(guī)劃對(duì)信息安全風(fēng)險(xiǎn)管理工

3、作提出的新要求和新挑戰(zhàn)； 同時(shí)，研究信息安全風(fēng)險(xiǎn)管理指南對(duì)云計(jì)算、 物聯(lián)網(wǎng)、大數(shù)據(jù)、智慧城市等新技術(shù)應(yīng)用的適用性；組織人員對(duì) ISO/IEC 27005:2018 、ISO/IEC 31000 等國際標(biāo)準(zhǔn)和等級(jí)保護(hù)、關(guān)基保護(hù)、個(gè)人信息保護(hù)等國內(nèi)標(biāo)準(zhǔn)進(jìn)行研究， 充分了解和掌握國際和國內(nèi)關(guān)于信息安全風(fēng)險(xiǎn)管理工作的最新研究動(dòng)態(tài)，為信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南修訂工作提供借鑒和指導(dǎo)。國家標(biāo)準(zhǔn)征求意見稿資料通過座談或現(xiàn)場(chǎng)調(diào)研等方式， 對(duì)國內(nèi)信息安全主管機(jī)構(gòu) （包括但不限于中央網(wǎng)信辦、公安部、安全部、國家保密局、工信部、國家認(rèn)監(jiān)委等），行業(yè)協(xié)會(huì)（包括但不限于網(wǎng)絡(luò)空間安全協(xié)會(huì) <籌>、中國

4、信息協(xié)會(huì)、 計(jì)算機(jī)學(xué)會(huì)、 網(wǎng)絡(luò)空間安全研究院等），國家關(guān)鍵信息基礎(chǔ)設(shè)施主管機(jī)構(gòu)（包括但不限于金融、電力、能源、交通、通信、教育、水利、電子政務(wù)等） ，服務(wù)和體系認(rèn)證機(jī)構(gòu)（包括但不限于中國信息安全認(rèn)證中心、 中國信息安全測(cè)評(píng)中心、 認(rèn)監(jiān)委認(rèn)可的信息安全管理體系第三方認(rèn)證機(jī)構(gòu)等），風(fēng)險(xiǎn)管理服務(wù)提供機(jī)構(gòu)（包括但不限于北京安信天行科技有限公司，國際商業(yè)機(jī)器（中國）有限公司等）等開展廣泛調(diào)研，充分了解和掌握信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南 （GB/Z 24364-2009 ）的應(yīng)用情況和存在的不足，為修訂工作提供指導(dǎo)。在充分研究和調(diào)研的基礎(chǔ)上， 結(jié)合國家安全主管部門的意見， 形成信息安全技術(shù) 信息安全

5、風(fēng)險(xiǎn)管理指南的修訂原則、設(shè)定修訂重點(diǎn)，重點(diǎn)修訂原標(biāo)準(zhǔn)中與當(dāng)前的國家信息安全戰(zhàn)略不相一致的地方， 與當(dāng)前廣泛應(yīng)用的信息技術(shù)不相適宜的過程和條款， 增加最新的信息安全風(fēng)險(xiǎn)管理方法等。 在此基礎(chǔ)上， 形成標(biāo)準(zhǔn)修訂方案，并提交全國信安標(biāo)委申報(bào)立項(xiàng)。（ 2） 形成標(biāo)準(zhǔn)草案2019 年 1 月信安標(biāo)委正式立項(xiàng)修訂信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南；編制組依據(jù)修訂原則和修訂方案，編制信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南（修訂版）草案，邀請(qǐng)國家安全主管部門、重點(diǎn)行業(yè)主管機(jī)關(guān)、服務(wù)資質(zhì)認(rèn)證機(jī)構(gòu)、風(fēng)險(xiǎn)管理服務(wù)機(jī)構(gòu)等，組織召開審查會(huì)，根據(jù)審查意見，調(diào)整框架并編制信息安全風(fēng)險(xiǎn)管理指南（修訂版）草案。2019 年 10 月在

6、信安標(biāo)委 WG7會(huì)議審議，并依據(jù)征集到的專家意見進(jìn)行修改完善。并在本次會(huì)議周，形成推進(jìn)標(biāo)準(zhǔn)征求意見稿的會(huì)議決議。（ 3） 形成標(biāo)準(zhǔn)征求意見稿2019 年 10 月會(huì)議周后，在信安標(biāo)委的指導(dǎo)下，在專家的幫助下，完成征求意見稿流程。二、 編制原則和確定主要內(nèi)容的依據(jù)及解決的主要問題1. 標(biāo)準(zhǔn)編制原則通過對(duì)信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南 （GB/Z 24364-2009）進(jìn)行國家標(biāo)準(zhǔn)征求意見稿資料修訂完善 , 調(diào)整標(biāo)準(zhǔn)中與當(dāng)前國家安全戰(zhàn)略和安全形勢(shì)不一致、或在標(biāo)準(zhǔn)應(yīng)用過程中不適宜的方法和內(nèi)容，優(yōu)化風(fēng)險(xiǎn)管理的實(shí)施流程和過程 , 補(bǔ)充完善標(biāo)準(zhǔn)中缺失的方法和內(nèi)容， 提升標(biāo)準(zhǔn)的科學(xué)性和適宜性， 形成能夠與

7、當(dāng)前信息安全新形勢(shì)和新環(huán)境相適宜的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn) , 為推動(dòng)中華人民共和國網(wǎng)絡(luò)安全法和國家網(wǎng)絡(luò)空間安全戰(zhàn)略 的落實(shí)，指導(dǎo)我國的信息安全保障工作開展奠定基礎(chǔ)。本項(xiàng)目在中華人民共和國網(wǎng)絡(luò)安全法 、國家網(wǎng)絡(luò)空間安全戰(zhàn)略 和“十三五”國家網(wǎng)絡(luò)安全規(guī)劃 的指導(dǎo)下，對(duì)信息安全風(fēng)險(xiǎn)管理工作在我國的開展現(xiàn)狀進(jìn)行調(diào)研，對(duì)新的網(wǎng)絡(luò)空間安全戰(zhàn)略下， 信息安全風(fēng)險(xiǎn)管理工作所面臨的新要求和新挑戰(zhàn)進(jìn)行充分分析， 同時(shí)，結(jié)合國內(nèi)外的先進(jìn)研究成果和實(shí)踐經(jīng)驗(yàn)， 研究信息安全風(fēng)險(xiǎn)管理的修訂原則、 修訂方針和修訂重點(diǎn)， 在這些方針和原則的指導(dǎo)下，對(duì) GB/Z 24364-2009 進(jìn)行修訂，形成新版的信息安全風(fēng)險(xiǎn)管理指南，指

8、導(dǎo)我國的信息安全風(fēng)險(xiǎn)管理工作開展。2. 標(biāo)準(zhǔn)解決的問題及主要內(nèi)容本次標(biāo)準(zhǔn)修訂的內(nèi)容主要包括標(biāo)準(zhǔn)面向?qū)ο蟆?范圍及術(shù)語修訂、 流程和方法修訂、冗余和陳舊內(nèi)容調(diào)整等。（ 1） 標(biāo)準(zhǔn)面向?qū)ο蟆⒎秶靶g(shù)語修訂標(biāo)準(zhǔn)對(duì)面向的對(duì)象和范圍進(jìn)性了修訂， 由于原標(biāo)準(zhǔn)所針對(duì)的對(duì)象主要是信息系統(tǒng)，結(jié)合在當(dāng)前新的網(wǎng)絡(luò)安全形式下，轉(zhuǎn)變?yōu)槊嫦驑I(yè)務(wù)、信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)和平臺(tái)、數(shù)據(jù)資源等。并將其歸納為風(fēng)險(xiǎn)管理對(duì)象的術(shù)語。（信息安全）風(fēng)險(xiǎn)管理等重要術(shù)語在本標(biāo)準(zhǔn)進(jìn)行定義。 由于原標(biāo)準(zhǔn)中大量定義與已有標(biāo)準(zhǔn)重復(fù)， 且存在異同。 本標(biāo)準(zhǔn)遵照已有術(shù)語標(biāo)準(zhǔn)進(jìn)行術(shù)語調(diào)整， 除個(gè)別重要術(shù)語，在其他標(biāo)準(zhǔn)中已定義的術(shù)語，本標(biāo)準(zhǔn)僅作引用，不重復(fù)定義。

9、本標(biāo)準(zhǔn)主要定義了本標(biāo)準(zhǔn)特有的業(yè)務(wù)、發(fā)展戰(zhàn)略等術(shù)語。另外，在修訂 GB/Z 24364-2009 時(shí) , 要充分兼容 IDT ISO/IEC 27005:2018 。（ 2） 實(shí)施流程和方法的修訂根據(jù)實(shí)際工作情況和需要， 對(duì)原有風(fēng)險(xiǎn)管理內(nèi)容和流程進(jìn)行修訂， 將批準(zhǔn)監(jiān)督部分改為批準(zhǔn)留存， 將監(jiān)控審查改為監(jiān)視評(píng)審。 計(jì)劃調(diào)整后的風(fēng)險(xiǎn)管理流程如下圖所示。國家標(biāo)準(zhǔn)征求意見稿資料背景建立風(fēng)險(xiǎn)評(píng)估監(jiān)視評(píng)審溝通咨詢風(fēng)險(xiǎn)處理批準(zhǔn)留存（ 3） 背景建立的修訂對(duì)風(fēng)險(xiǎn)建立的全過程進(jìn)行調(diào)整， 對(duì)流程進(jìn)行了優(yōu)化， 并將背景建立的對(duì)象與風(fēng)險(xiǎn)管理對(duì)象相結(jié)合。增加了基本原則確定環(huán)節(jié)，為后續(xù)過程提供依據(jù)。（ 4） 風(fēng)險(xiǎn)評(píng)估的修訂

10、與 GB/T 20984信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范相適應(yīng)，調(diào)整相應(yīng)流程和內(nèi)容，將風(fēng)險(xiǎn)評(píng)估過程轉(zhuǎn)變?yōu)閺慕M織發(fā)展戰(zhàn)略和業(yè)務(wù)識(shí)別出發(fā)。（ 5） 風(fēng)險(xiǎn)處理的修訂與 GB/T 33132信息安全技術(shù) 信息安全風(fēng)險(xiǎn)處理實(shí)施指南相適應(yīng)，將整個(gè)處理流程改為風(fēng)險(xiǎn)處理準(zhǔn)備、 風(fēng)險(xiǎn)處理實(shí)施和風(fēng)險(xiǎn)處理效果評(píng)價(jià)三個(gè)環(huán)節(jié)。 并對(duì)內(nèi)容進(jìn)行較大改動(dòng)。（ 6） 批準(zhǔn)留存的修訂在整個(gè)過程中加入留存的環(huán)節(jié)， 對(duì)風(fēng)險(xiǎn)管理結(jié)果進(jìn)行留存。 將原持續(xù)監(jiān)督過程在批準(zhǔn)留存環(huán)節(jié)中移除。（ 7） 監(jiān)視評(píng)審的修訂將持續(xù)監(jiān)督過程放入監(jiān)視評(píng)審環(huán)節(jié)， 并將監(jiān)視評(píng)審的內(nèi)容依據(jù)風(fēng)險(xiǎn)管理主流程的更改調(diào)整。（ 8） 溝通咨詢將溝通咨詢的內(nèi)容依據(jù)風(fēng)險(xiǎn)管理主

11、流程的更改調(diào)整。（ 9） 信息系統(tǒng)生命周期內(nèi)容的修訂將關(guān)于信息系統(tǒng)生命周期的內(nèi)容刪除。（ 10）附錄的修訂國家標(biāo)準(zhǔn)征求意見稿資料在附錄中增加風(fēng)險(xiǎn)管理全過程的文檔輸出，包括文檔所屬過程、文檔名稱和文檔內(nèi)容。三、 主要試驗(yàn) 或驗(yàn)證 情況分析無。四、 知識(shí)產(chǎn)權(quán)情況說明本標(biāo)準(zhǔn)不涉及專利。五、 產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果無。六、 采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況標(biāo)準(zhǔn)參考了國際和國外相關(guān)標(biāo)準(zhǔn)情況，根據(jù)我國國情制定。七、 與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性本標(biāo)準(zhǔn)嚴(yán)格遵循中華人民共和國網(wǎng)絡(luò)安全法等法律、法規(guī)規(guī)章。本標(biāo)準(zhǔn)不觸犯國家現(xiàn)行法律法規(guī)，不與其他強(qiáng)制性國標(biāo)相沖突。2009 年，在

12、原國信辦的直接領(lǐng)導(dǎo)和支持下，在國家安標(biāo)委的大力推動(dòng)下，信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南 （GB/Z 24364-2009 ）正式頒布。標(biāo)準(zhǔn)頒布十年來，GB/Z 24364-2009 為了解和掌握我國信息安全保障工作的開展現(xiàn)狀，推動(dòng)國家信息安全保障體系建設(shè)，提升我國信息安全保障水平奠定了良好的基礎(chǔ)。該標(biāo)準(zhǔn)作為信息安全風(fēng)險(xiǎn)管理的指導(dǎo)標(biāo)準(zhǔn)，與即將發(fā)布的信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 （GB/T 20984）、 2016 年發(fā)布的信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南（GB/T 33132-2016）等共同組成了我國信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系（我國的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系見下圖），對(duì)于指導(dǎo)我國的信息安全保障

13、工作開展奠定了堅(jiān)實(shí)基礎(chǔ)。國家標(biāo)準(zhǔn)征求意見稿資料信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 （GB/T 20984）提出了風(fēng)險(xiǎn)評(píng)估的基本概念、風(fēng)險(xiǎn)要素關(guān)系、風(fēng)險(xiǎn)分析原理、風(fēng)險(xiǎn)評(píng)估實(shí)施流程和評(píng)估方法，以及風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式。適用于監(jiān)管部門、網(wǎng)絡(luò)運(yùn)營者、信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)等組織開展風(fēng)險(xiǎn)評(píng)估工作。信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估指南 （GB/T 31509-2015）定義了風(fēng)險(xiǎn)評(píng)估的基本概念、 原理及實(shí)施流程， 對(duì)資產(chǎn)、威脅和脆弱性識(shí)別要求進(jìn)行了詳細(xì)描述，提出了風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)， 以及風(fēng)險(xiǎn)評(píng)估的工作形式。適用于指導(dǎo)各組織針對(duì)信息系統(tǒng)及其管理開展

14、的信息風(fēng)險(xiǎn)評(píng)估工作。信息安全技術(shù) 信息安全風(fēng)險(xiǎn)處理指南 （GB/T 33132-2016）給出了信息安全風(fēng)險(xiǎn)處理實(shí)施的管理過程和方法， 適用于指導(dǎo)信息系統(tǒng)運(yùn)營使用單位和信息安全服務(wù)機(jī)構(gòu)實(shí)施信息安全風(fēng)險(xiǎn)處理活動(dòng)。信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理（ ISO/IEC 27005:2018）是信息安全風(fēng)險(xiǎn)管理的國際標(biāo)準(zhǔn)， 旨在為基于風(fēng)險(xiǎn)管理方法建立信息安全管理體系提供指導(dǎo)。信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 （ GB/T 22239，以下簡(jiǎn)稱等保要求），其中明確了五種安全等級(jí)中對(duì)信息系統(tǒng)最低要求， 也就是基本安全要求，涵蓋了基本技術(shù)要求和基本管理要求， 用于指導(dǎo)信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。近

15、年來，國家對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和安全保障工作高度重視。 2016 年頒布的中華人民共和國網(wǎng)絡(luò)安全法 、 2016 年底頒布的國家網(wǎng)絡(luò)空間安全戰(zhàn)略國家標(biāo)準(zhǔn)征求意見稿資料中也明確指出，應(yīng)采取必要措施保障關(guān)鍵信息基礎(chǔ)設(shè)施安全。2017 年初頒布的“十三五”國家網(wǎng)絡(luò)安全規(guī)劃中也指出，構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系。信息安全風(fēng)險(xiǎn)管理是黨政機(jī)關(guān)、 重點(diǎn)行業(yè)、智慧城市和大型互聯(lián)網(wǎng)服務(wù)平臺(tái)等的安全保障、 安全檢查和風(fēng)險(xiǎn)評(píng)估的重要措施。 針對(duì)新技術(shù)、 新應(yīng)用建立互聯(lián)網(wǎng)新技術(shù)、新應(yīng)用網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理， 加強(qiáng)對(duì)新技術(shù)、新應(yīng)用上線前的風(fēng)險(xiǎn)管控。八、 重大分歧意見的處理經(jīng)過和依據(jù)本標(biāo)準(zhǔn)編制過程中，如標(biāo)準(zhǔn)編制組內(nèi)部出現(xiàn)重大意見分歧時(shí)，由標(biāo)準(zhǔn)編制組組長(zhǎng)組織召開內(nèi)部調(diào)解會(huì)解決。詳見標(biāo)準(zhǔn)意見匯總處理表。九、 標(biāo)準(zhǔn)性質(zhì)的建議建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。十、 貫徹國家標(biāo)準(zhǔn)的要求和措施建議在正式執(zhí)行本標(biāo)準(zhǔn)前，需要對(duì)標(biāo)準(zhǔn)中的條款進(jìn)行宣貫，以在利益相關(guān)方之間達(dá)成對(duì)標(biāo)準(zhǔn)條款理解上的一致性。該國標(biāo)為信息安全風(fēng)險(xiǎn)管理提供指導(dǎo)性意見，建議在全國推薦性實(shí)施。 在具體貫徹實(shí)施該標(biāo)準(zhǔn)時(shí)， 建議相關(guān)組織使用該標(biāo)準(zhǔn)作為風(fēng)險(xiǎn)管理的依據(jù)。十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議替代信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南（ GB/Z 24364-2009 ）。對(duì)信息安全技術(shù) 信息