• 被代替
  • 已被新標準代替,建議下載現(xiàn)行標準GB/T 24364-2023
  • 2009-09-30 頒布
  • 2009-12-01 實施
?正版授權(quán)
GB/Z 24364-2009信息安全技術(shù)信息安全風險管理指南_第1頁
GB/Z 24364-2009信息安全技術(shù)信息安全風險管理指南_第2頁
GB/Z 24364-2009信息安全技術(shù)信息安全風險管理指南_第3頁
GB/Z 24364-2009信息安全技術(shù)信息安全風險管理指南_第4頁
GB/Z 24364-2009信息安全技術(shù)信息安全風險管理指南_第5頁
已閱讀5頁,還剩43頁未讀, 繼續(xù)免費閱讀

下載本文檔

免費下載試讀頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準化指導(dǎo)性技術(shù)文件

犌犅/犣24364—2009

信息安全技術(shù)

信息安全風險管理指南

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犌狌犻犱犲犾犻狀犲狊犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狉犻狊犽犿犪狀犪犵犲犿犲狀狋

20090930發(fā)布20091201實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

犌犅/犣24364—2009

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4信息安全風險管理概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.1信息安全風險管理的范圍和對象!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.2信息安全風險管理的內(nèi)容和過程!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.3信息安全風險管理與信息系統(tǒng)生命周期和信息安全目標的關(guān)系!!!!!!!!!!!!!3

4.4信息安全風險管理相關(guān)人員的角色和責任!!!!!!!!!!!!!!!!!!!!!!4

5背景建立!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1背景建立概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.2背景建立過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.3背景建立文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6風險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.1風險評估概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.2風險評估過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

6.3風險評估文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7風險處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.1風險處理概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.2風險處理過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3風險處理文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8批準監(jiān)督!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.1批準監(jiān)督概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.2批準監(jiān)督過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.3批準監(jiān)督文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9監(jiān)控審查!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9.1監(jiān)控審查概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9.2監(jiān)控審查過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9.3監(jiān)控審查文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

10溝通咨詢!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

10.1溝通咨詢概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

10.2溝通咨詢過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

10.3溝通咨詢文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

11信息系統(tǒng)規(guī)劃階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!!!27

11.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

11.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

12信息系統(tǒng)設(shè)計階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!!!29

犌犅/犣24364—2009

12.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

12.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

13信息系統(tǒng)實施階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!!!31

13.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

13.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

14信息系統(tǒng)運行維護階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!32

14.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

14.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

15信息系統(tǒng)廢棄階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!!!34

15.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

15.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

附錄A(資料性附錄)風險處理參考模型及其需求和措施!!!!!!!!!!!!!!!!!36

A.1風險處理參考模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

A.2風險處理的需求和措施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

犌犅/犣24364—2009

前言

本指導(dǎo)性技術(shù)文件的附錄A為資料性附錄。

本指導(dǎo)性技術(shù)文件由全國信息安全標準化技術(shù)委員會提出并歸口。

本指導(dǎo)性技術(shù)文件起草單位:國家信息中心信息安全研究與服務(wù)中心、中國電信股份有限公司北京

研究院。

本指導(dǎo)性技術(shù)文件主要起草人:吳亞非、張鑒、范紅、劉蓓、趙陽。

犌犅/犣24364—2009

引言

一個機構(gòu)要利用其擁有的資源來完成其使命。在信息時代,信息成為第一戰(zhàn)略資源,更是起著至關(guān)

重要的作用。因此,信息資產(chǎn)的安全是關(guān)系到該機構(gòu)能否完成其使命的大事。資產(chǎn)與風險是天生的一

對矛盾,資產(chǎn)價值越高,面臨的風險就越大。信息資產(chǎn)有著與傳統(tǒng)資產(chǎn)不同的特性,面臨著新型風險。

信息安全風險管理的目的就是要緩解并平衡這一對矛盾,將風險控制到可接受的程度,保護信息及其相

關(guān)資產(chǎn),最終保證機構(gòu)能夠完成其使命。

信息安全風險管理是信息安全保障工作中的一項基礎(chǔ)性工作,主要表現(xiàn)在以下幾方面:

信息安全風險管理的思想和措施應(yīng)體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等全方位。由于

在信息安全保障體系的技術(shù)、組織和管理等方面都存在著相關(guān)風險,因此,在信息安全保障體系中,技

術(shù)、組織、管理中均應(yīng)引入風險管理的思想,準確地評估風險并合理地處理風險,共同實現(xiàn)信息安全保障

的目標。

信息安全風險管理的思想和措施應(yīng)貫穿于信息系統(tǒng)生命周期的全部過程。信息系統(tǒng)生命周期包括

規(guī)劃、設(shè)計、實施、運維和廢棄五個階段。每個階段都存在著相關(guān)風險,同樣需要采用信息安全風險管理

的思想加以應(yīng)對,采用風險管理的措施加以控制。

信息安全風險管理的思想和措施是貫徹信息安全等級保護制度的有力支撐。信息安全風險管理依

據(jù)信息安全等級保護的思想和原則,區(qū)分主次,平衡成本與效益,合理部署和利用信息安全的保護機制、

信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施,選擇并確定合適的安全控制措施,從而保證機構(gòu)具

有完成其使命所需要的信息安全保障能力。

為落實國家加強信息安全保障工作的要求,為實施信息安全等級保護制度的需要,制定本指導(dǎo)性技

術(shù)文件。本指導(dǎo)性技術(shù)文件可與GB/T20984結(jié)合使用,并可作為機構(gòu)建立信息安全管理體系(ISMS)

的參考。

本指導(dǎo)性技術(shù)文件參考了ISO/IEC27005等國際信息安全風險管理的相關(guān)標準,并經(jīng)過國家有關(guān)

行業(yè)和地區(qū)的試點驗證。標準針對信息安全風險管理所涉及的背景建立、風險評估、風險處理、批準監(jiān)

督、監(jiān)控審查、溝通咨詢等不同過程進行了綜合性描述,對信息安全風險管理在信息系統(tǒng)生命周期各階

段的應(yīng)用作了系統(tǒng)闡述。

本指導(dǎo)性技術(shù)文件條款中所指的“風險管理”,其含義均為“信息安全風險管理”。

本指導(dǎo)性技術(shù)文件中列出的帶書名號的文檔是示范性的,其格式和詳細內(nèi)容未作規(guī)范。

犌犅/犣24364—2009

信息安全技術(shù)

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論