標(biāo)準(zhǔn)解讀

《GB/Z 24364-2009 信息安全技術(shù) 信息安全風(fēng)險管理指南》是中國國家標(biāo)準(zhǔn)之一,旨在為組織提供一套系統(tǒng)的方法來管理信息安全風(fēng)險。該標(biāo)準(zhǔn)基于國際標(biāo)準(zhǔn)ISO/IEC 17799:2005(現(xiàn)已被ISO/IEC 27002取代)中的風(fēng)險管理原則,并結(jié)合了中國國情進(jìn)行了適當(dāng)調(diào)整。它涵蓋了從識別到評估再到處理信息安全風(fēng)險的全過程。

首先,在風(fēng)險管理過程方面,本標(biāo)準(zhǔn)定義了一個循環(huán)迭代的過程模型,包括建立背景、風(fēng)險評估、風(fēng)險處理以及監(jiān)督與評審四個主要階段。其中,建立背景是整個風(fēng)險管理工作的起點,要求明確組織的信息安全需求和目標(biāo);風(fēng)險評估階段則進(jìn)一步細(xì)分為資產(chǎn)識別、脆弱性分析、威脅分析及風(fēng)險評價等步驟;風(fēng)險處理階段提供了接受、規(guī)避、轉(zhuǎn)移或減輕風(fēng)險的具體策略;最后通過持續(xù)監(jiān)督與定期評審確保風(fēng)險管理措施的有效性和適應(yīng)性。

其次,對于每個階段,《GB/Z 24364-2009》都給出了詳細(xì)的指導(dǎo)建議和技術(shù)方法。例如,在進(jìn)行資產(chǎn)識別時,不僅要考慮信息系統(tǒng)本身的價值,還需綜合考量其對業(yè)務(wù)連續(xù)性的影響程度;在執(zhí)行脆弱性分析過程中,則需要利用專業(yè)工具和技術(shù)手段全面檢測系統(tǒng)存在的潛在弱點;至于如何制定有效的風(fēng)險緩解計劃,標(biāo)準(zhǔn)中也列舉了幾種常見的實踐做法供參考。

此外,《GB/Z 24364-2009》還強調(diào)了溝通與文檔化的重要性。在整個風(fēng)險管理活動中,保持與利益相關(guān)者之間的良好溝通十分關(guān)鍵,這有助于提高決策質(zhì)量并獲得必要的支持。同時,所有重要的活動記錄都應(yīng)該被妥善保存下來,以便于日后查閱或者作為審計依據(jù)。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 24364-2023
  • 2009-09-30 頒布
  • 2009-12-01 實施
?正版授權(quán)
GB/Z 24364-2009信息安全技術(shù)信息安全風(fēng)險管理指南_第1頁
GB/Z 24364-2009信息安全技術(shù)信息安全風(fēng)險管理指南_第2頁
GB/Z 24364-2009信息安全技術(shù)信息安全風(fēng)險管理指南_第3頁
GB/Z 24364-2009信息安全技術(shù)信息安全風(fēng)險管理指南_第4頁
GB/Z 24364-2009信息安全技術(shù)信息安全風(fēng)險管理指南_第5頁
已閱讀5頁,還剩43頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/Z 24364-2009信息安全技術(shù)信息安全風(fēng)險管理指南-免費下載試讀頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

犌犅/犣24364—2009

信息安全技術(shù)

信息安全風(fēng)險管理指南

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犌狌犻犱犲犾犻狀犲狊犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狉犻狊犽犿犪狀犪犵犲犿犲狀狋

20090930發(fā)布20091201實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

犌犅/犣24364—2009

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4信息安全風(fēng)險管理概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.1信息安全風(fēng)險管理的范圍和對象!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.2信息安全風(fēng)險管理的內(nèi)容和過程!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.3信息安全風(fēng)險管理與信息系統(tǒng)生命周期和信息安全目標(biāo)的關(guān)系!!!!!!!!!!!!!3

4.4信息安全風(fēng)險管理相關(guān)人員的角色和責(zé)任!!!!!!!!!!!!!!!!!!!!!!4

5背景建立!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1背景建立概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.2背景建立過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.3背景建立文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6風(fēng)險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.1風(fēng)險評估概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.2風(fēng)險評估過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

6.3風(fēng)險評估文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7風(fēng)險處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.1風(fēng)險處理概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.2風(fēng)險處理過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3風(fēng)險處理文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8批準(zhǔn)監(jiān)督!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.1批準(zhǔn)監(jiān)督概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.2批準(zhǔn)監(jiān)督過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.3批準(zhǔn)監(jiān)督文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9監(jiān)控審查!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9.1監(jiān)控審查概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9.2監(jiān)控審查過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9.3監(jiān)控審查文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

10溝通咨詢!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

10.1溝通咨詢概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

10.2溝通咨詢過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

10.3溝通咨詢文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

11信息系統(tǒng)規(guī)劃階段的信息安全風(fēng)險管理!!!!!!!!!!!!!!!!!!!!!!!27

11.1安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

11.2風(fēng)險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

12信息系統(tǒng)設(shè)計階段的信息安全風(fēng)險管理!!!!!!!!!!!!!!!!!!!!!!!29

犌犅/犣24364—2009

12.1安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

12.2風(fēng)險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

13信息系統(tǒng)實施階段的信息安全風(fēng)險管理!!!!!!!!!!!!!!!!!!!!!!!31

13.1安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

13.2風(fēng)險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

14信息系統(tǒng)運行維護(hù)階段的信息安全風(fēng)險管理!!!!!!!!!!!!!!!!!!!!!32

14.1安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

14.2風(fēng)險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

15信息系統(tǒng)廢棄階段的信息安全風(fēng)險管理!!!!!!!!!!!!!!!!!!!!!!!34

15.1安全目標(biāo)和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

15.2風(fēng)險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

附錄A(資料性附錄)風(fēng)險處理參考模型及其需求和措施!!!!!!!!!!!!!!!!!36

A.1風(fēng)險處理參考模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

A.2風(fēng)險處理的需求和措施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

犌犅/犣24364—2009

前言

本指導(dǎo)性技術(shù)文件的附錄A為資料性附錄。

本指導(dǎo)性技術(shù)文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。

本指導(dǎo)性技術(shù)文件起草單位:國家信息中心信息安全研究與服務(wù)中心、中國電信股份有限公司北京

研究院。

本指導(dǎo)性技術(shù)文件主要起草人:吳亞非、張鑒、范紅、劉蓓、趙陽。

犌犅/犣24364—2009

引言

一個機構(gòu)要利用其擁有的資源來完成其使命。在信息時代,信息成為第一戰(zhàn)略資源,更是起著至關(guān)

重要的作用。因此,信息資產(chǎn)的安全是關(guān)系到該機構(gòu)能否完成其使命的大事。資產(chǎn)與風(fēng)險是天生的一

對矛盾,資產(chǎn)價值越高,面臨的風(fēng)險就越大。信息資產(chǎn)有著與傳統(tǒng)資產(chǎn)不同的特性,面臨著新型風(fēng)險。

信息安全風(fēng)險管理的目的就是要緩解并平衡這一對矛盾,將風(fēng)險控制到可接受的程度,保護(hù)信息及其相

關(guān)資產(chǎn),最終保證機構(gòu)能夠完成其使命。

信息安全風(fēng)險管理是信息安全保障工作中的一項基礎(chǔ)性工作,主要表現(xiàn)在以下幾方面:

信息安全風(fēng)險管理的思想和措施應(yīng)體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等全方位。由于

在信息安全保障體系的技術(shù)、組織和管理等方面都存在著相關(guān)風(fēng)險,因此,在信息安全保障體系中,技

術(shù)、組織、管理中均應(yīng)引入風(fēng)險管理的思想,準(zhǔn)確地評估風(fēng)險并合理地處理風(fēng)險,共同實現(xiàn)信息安全保障

的目標(biāo)。

信息安全風(fēng)險管理的思想和措施應(yīng)貫穿于信息系統(tǒng)生命周期的全部過程。信息系統(tǒng)生命周期包括

規(guī)劃、設(shè)計、實施、運維和廢棄五個階段。每個階段都存在著相關(guān)風(fēng)險,同樣需要采用信息安全風(fēng)險管理

的思想加以應(yīng)對,采用風(fēng)險管理的措施加以控制。

信息安全風(fēng)險管理的思想和措施是貫徹信息安全等級保護(hù)制度的有力支撐。信息安全風(fēng)險管理依

據(jù)信息安全等級保護(hù)的思想和原則,區(qū)分主次,平衡成本與效益,合理部署和利用信息安全的保護(hù)機制、

信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施,選擇并確定合適的安全控制措施,從而保證機構(gòu)具

有完成其使命所需要的信息安全保障能力。

為落實國家加強信息安全保障工作的要求,為實施信息安全等級保護(hù)制度的需要,制定本指導(dǎo)性技

術(shù)文件。本指導(dǎo)性技術(shù)文件可與GB/T20984結(jié)合使用,并可作為機構(gòu)建立信息安全管理體系(ISMS)

的參考。

本指導(dǎo)性技術(shù)文件參考了ISO/IEC27005等國際信息安全風(fēng)險管理的相關(guān)標(biāo)準(zhǔn),并經(jīng)過國家有關(guān)

行業(yè)和地區(qū)的試點驗證。標(biāo)準(zhǔn)針對信息安全風(fēng)險管理所涉及的背景建立、風(fēng)險評估、風(fēng)險處理、批準(zhǔn)監(jiān)

督、監(jiān)控審查、溝通咨詢等不同過程進(jìn)行了綜合性描述,對信息安全風(fēng)險管理在信息系統(tǒng)生命周期各階

段的應(yīng)用作了系統(tǒng)闡述。

本指導(dǎo)性技術(shù)文件條款中所指的“風(fēng)險管理”,其含義均為“信息安全風(fēng)險管理”。

本指導(dǎo)性技術(shù)文件中列出的帶書名號的文檔是示范性的,其格式和詳細(xì)內(nèi)容未作規(guī)范。

犌犅/犣24364—2009

信息安全技術(shù)

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論