GBT 31722-2015 信息技术安全技术信息安全风险管理PDF文本图标图集免费下载PDF文本

全部
搜建筑
搜规划
搜景观
搜古建
搜路桥
搜PSD
别墅

典尚

典尚
百度
360

搜地产
搜施工组织
规范图集
搜编号

首页当前位置：全部素材 > 规范图集 > 图标图集

GBT 31722-2015 信息技术安全技术信息安全风险管理PDF文本

ICS35.040 L80 中华人民共和国国家标准 GB/T31722-2015/1S0/IEC27005:2008 信息技术安全技术信息安全风险管理 Information technology-Security techniques-Information security risk management (ISO/IEC27005:2008,IDT)2015-06-02发布 2016-02-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布理甄Z.ZC.ET

GB/T31722-2015/1S0/IEC27005:2008 前言本标准按照GB/T1.1一2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准使用翻译法等同采用ISO/1EC27005:2008《信息技术安全技术信息安全风险管理》（英文版)。本标准做了以下修改：一对引言做了一些编辑性修改。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归。本标准起草单位：中国电子技术标准化研究院、上海三零卫士信息安全有限公司、中电长城网际系统应用有限公司、山东省计算中心、北京信息安全测评中心。本标准主要起草人：许玉娜、闵京华、上官晓丽、莆火民、赵章界、李刚、周鸣乐。甄素衬网Z.ZS沁.NEI

GB/T31722-2015/1S0/1EC27005:2008 引言信息安全管理体系标准族(Information Security Management System,简称ISMS标准族)是国际信息安全技术标准化组织(IS()/IEC JTC1SC27)制定的信息安全管理体系系列国际标准。ISMS标准族旨在帮助各种类型和规模的组织，开发和实施管理其信息资产安全的框架，并为保护组织信息（诸如，财务信息、知识产权、员工详细资料，或者受客户或第三方委托的信息)的ISMS的独立评估做准备。ISMS标准族包括的标准：a)定义了ISMS的要求及其认证机构的要求：b)提供了对整个“规划-实施-检查-处置”(PDCA)过程和要求的直接支持、详细指南和（或）解释：c)阐述了特定行业的ISMS指南：d)闸述了ISMS的一致性评估。目前，ISMS标准族由下列标准组成：一GB/T29246一2012信息技术安全技术信息安全管理体系概述和词汇 (1S0/IEC27000:2009)一GB/T22080一2008信息技术安全技术信息安全管理体系要求(1SO/1IEC27001:2005)GB/T22081一2008信息技术安全技术信息安全管理实用规则(ISO/IEC27002:2005)GB/T31496一2015信息技术安全技术信息安全管理体系实施指南(ISO/IEC27003:2010)GB/T314972015信息技术安全技术信息安全管理测量(1S0/1EC27004:2009》GB/T31722耳201三信息技术安全技术信息安全风险管理(1SO/IE027005:2008)GB/T25067一2010信息技术安全技术信息安全管理体系审核认证机构的要求(ISO/IEC27006:2007)ISO/IEC27007:2011信息技术安全技术信息安全管理体系审核指南 1SO/IEC TR27008:2011信息技术安全技术信息安全控制措施审核员指南 ISO/IEC27010:2012信息技术安全技术行业间及组织间通信的信息安全管理 ISO/IEC27011:2008信息技术安全技术基于ISO/IEC27002的电信行业组织的信息安全管理指南 ISO/IEC27013:2012信息技术安全技术ISO/1EC27001和ISO/IEC20000-1集成实施指南 IS0/IEC27014:2013信息技术安全技术信息安全治理 ISO/IEC TR27015:2012信息技术安全技术金融服务信息安全管理指南本标准作为ISMS标准族之一，为组织内的信息安全风险管理提供指南，特别是支持按照 GB/T22080的ISMS要求。然而，本标准不提供信息安全风险管理的任何特定方法。由组织来确定其风险管理方法，这取决于诸如组织的ISMS范围、风险管理语境或所处行业。一些现有的方法可在本标准描述的框架下使用，以实现ISMS的要求。本标准的相关方包括关心组织内信息安全风险的管理者和员工以及（在适当情况下）支持这种活动的外部方。理甄Z.ZC.ET

GB/T31722-2015/1S0/IEC27005:2008 信息技术安全技术信息安全风险管理 1范围本标准为信息安全风险管理提供指南。本标准支持GB/T22080所规约的一般概念，旨在为基于风险管理方法来符合要求地实现信息安全提供帮助。知晓GB/T22080和GB/T22081中所描述的概念、模型、过程和术语，对于完整地理解本标准是重要的。本标准适用于各种类型的组织（例如，商务企业、政府机构、非盈利性组织），这些组织期望管理可能危及其信息安全的风险。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T220旋@啊题技突季全技不X确息安全管理体系S求(s0c27001:2005.ID GB/T22081一2008信息技术安全技术信息安全管理实用规则(ISO/IEC27002:2005,IDT)3术语和定义 GB/T22080一2008和GB/T22081一2008中界定的以及下列术语和定义适用于本文件。3.1 影响impact 对所达到业务目标的不利改变。3.2 信息安全风险information security risk 特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带米的损害。注：它以事态的可能性及其后果的组合来度量，3.3 风险规避risk avoidance 不卷入风险处境的决定或撤离风险处境的行动。[ISO/IEC Guide 73:2002 3.4 风险沟通risk communication 决策者和其他利益相关者之间关于风险的信息交换或共享。LISO/IEC Guide 73:2002]1 Z.ZS沁.EI

GB/T31722-2015/1S0/1EC27005:2008 3.5 风险估算risk estimation 为风险的可能性和后果赋值的活动。[ISO/IEC Guide 73:2002]3.6 风险识别risk identification 发现和列出风险要素并描述其特征的活动。TISO/IEC Guide 73:2002]3.7 风险降低risk reduction 为降低风险的可能性和（或）负面结果所采取的行动。TISO/IEC Guide 73:20027 3.8 风险保留risk retention 对来自特定风险的损失或收益的接受。TISO/IEC Guide 73:2002]注：在信息安全风险的语境下，对于风险保留仅考虑负面后果（损失）。3.9 风险转移risk transfer 与另一方对风险带来的损失或收益的共享。生m等筑素在材盈.J.NE 4本标准结构本标准描述了信息安全风险管理过程及其活动。第5章提供了背景信息。第6章给出了信息安全风险管理过程的总体概述。第6章提出的所有信息安全风险管理活动在以下各章中依次进行了描述：·第7章语境立；·第8章风险评估：·第9章风险处置；·第10章风险接受：·第11章风险沟通；。第12章风险监视与评审。附录中给出了信息安全风险管理活动的其他信息。附录A(确定信息安全风险管理过程的范围和边界)对语境立提供支持。附录B(资产示例)、附录C(典型威胁示例)和附录D(典型脆弱性示例)讨论了资产识别和估价以及影响评估。附录E给出了信息安全风险评估方法的示例。附录F给出了风险降低的约束。第7章~第12章给出的所有风险管理活动的表述结构如下：输入：标识执行该活动所需的任何信息。动作：描述活动。闐素衬网Z.ZS沁.ET

GB/T31722-2015/1S0/1EC27005:2008 实施指南：为执行该动作提供指南。指南中的某些内容可能不适用于所有情况，因此执行该动作的其他方法可能更合适。输出：标识执行该活动后得到的任何信息。5背景为识别组织的信息安全需求和创有效的信息安全管理体系(ISMS),一种系统化的信息安全风险管理方法是必要的。这种方法宜适用于该组织的环境，特别是与整个组织风险管理宜保持一致。安全工作宜以有效和及时的方式在需要的地方和时候处理风险。信息安全风险管理宜是所有信息安全管理活动中不可分期的一部分，并既应用于ISMS的实施，也应用于ISMS的持续运行。信息安全风险管理宜是一个持续的过程。该过程宜立语境，评估风险以及按风险处置计划进行风险处置以实现相关的议和决策。风险管理为将风险降低至可接受的水平，在决定宜做什么和什么时候做之前，分析可能发生什么和可能的后果是什么。信息安全风险管理将有助于：·识别风险；以风险造成的业务后果和发生的可能性来评估风险；·沟通和理解这些风险的可能性和后果：·立风险处置的优先顺序：·立为降低风险发生所采取行动的优先级：·使利益相关方参与风险管理决策并持续告知风险管理状态；:E提装意壳J.NE可 ·获取信息以改进风险管理方法：·向管理者和员工传授风险知识以及减轻风险所采取的行动。信息安全风险管理过程可应用于整个组织、组织的任何独立部分（例如，一个部门、一处物理位置、一项服务)、任何信息系统、现有的或计划的或特定方面的控制措施（例如，业务持续性计划）。6信息安全风险管理过程概述信息安全风险管理过程由语境立（第7章）、风险评估（第8章）、风险处置（第9章）、风险接受（第 10章)、风险沟通（第11章）和风险监视与评审（第12章）组成。如图1所示，信息安全风险管理过程可以迭代地进行风险评估和（或）风险处置活动。迭代方法进行风险评估可在每次迭代时增加评估的深度和细节。该迭代方法在最小化识别控制措施所需的时间和精力与确保高风险得到适当评估之间，提供了一个良好的平衡。首先立语境，然后进行风险评估。对于有效地确定将风险降低至可接受水平所需行动，如果风险评估提供了足够的信息，那么就结束该风险评估，接下来进行风险处置。如果提供的信息不够充分，那么将在修订的语境（例如，风险评价准则、风险接受准则或影响准则）下进行该风险评估的另一次迭代 (见图1，风险决策点1)。此次迭代可能是在整个范围的有限部分上进行。风险处置的有效性取决于该风险评估的结果。风险处置后的残余风险可能不会立即达到一个可接受的水平。在这种情况下，如果必要的话，可能需要在改变的语境参数（例如，风险评估准则、风险接受准则或影响准则)下进行该风险评估的另一次迭代，以及随后的进一步风险处置（见图1，风险决策点2）。风险接受活动要确保残余风险被组织的管理者明确地接受。在诸如由于成本而省略或推迟实施控制措施的情况下，这点尤其重要。罚素前网Z..E]

GB/T31722-2015/1S0/1EC27005:2008 在整个信息安全风险管理过程期间，重要的是将风险及其处置传达至适当的管理者和运行人员。即使是风险处置前，已识别的风险信息对管理事件可能是非常有价值的，并可能有助于减少潜在损害。管理者和员工的风险意识、缓解风险的现有控制措施的性质以及组织关注的领域，这些均有助于以最有效的方式处理事件和意外情况。信息安全风险管理过程的每个活动以及来自两个风险决策点的详细结果均宜记录在案。GB/T22080规定，ISMS的范围、边界和语境内所实施的控制措施应基于风险。信息安全风险管理过程的应用能够满足这一要求。有许多方法可以在组织内成功地实施此过程。但无论什么方法，组织宜为此过程的每一特定应用，选用最适合自身情况的方法。在一个1SMS中，语境立、风险评估、风险处置计划制定和风险接受是其“规划”阶段的全部。在此ISMS的“实施”阶段，依据风险处置计划，实施将风险降低到可接受水平所需的行动和控制措施。在此ISMS的“检查”阶段，管理者将根据事件和环境变化来确定风险评估和风险处置修订的需要。在“处置"阶段，执行所需的任何行动，包括风险管理过程的再次应用。语境立风险评估风险分析曲 l?ET 风风险估算 1 沟 1 一一一一一一一十一一一一一一一沙风险评价与评香风险决策点1 审评估是否满意风险处置风险决策点2 处置是否满意风险接受第一次或后续运代的终点图1信息安全风险管理过程表1总结了与ISMS过程的四个阶段相关的信息安全风险管理活动理甄Z.ZC.ET

GB/T31722-2015/1S0/1IEC27005:2008 表1ISMS和信息安全风险管理过程对照表 ISMS过程信息安全风险管理过程语境立风险评估规划风险处置计划制定风险接受实施风险处置计划实施检查持续的风险监视与评审处置信息安全风险管理过程保持与改进 7语境立 7.1总体考虑输入：与信息安全风险管理语境立相关的所有关于组织的信息。动作：宜立信息安全风险管理的语境，包括设定信息安全风险管理所必要的基本准则(72)，确定其范围和边界(7.3)，并立运行信息安全风险管理的一个适当组织(7.4)。实施指南：确定信息安全风险管理的目的是必不可少的，因为这会影响整个过程，尤其是语境立。目的可以是：英可批系?网2..ET ·支持1SMS:·遵从法律和证明尽职：·准备业务持续性计划：。准备事件响应计划；·描述产品、服务或机制的信息安全要求。支持1SMS所需的语境立要素的实施指南在7.2、7.3和7.4中进一步讨论。注：GB/T22080没有使用术语“语境”，然而，第7章的所有内容都与GB/T22080中规定的“确定ISMS的范围和边界"[4.2.1a)]“确定1SMS方针”[4.2.1b)门和“确定风险评估方法"[4.2.1c)]要求有关.输出：对信息安全风险管理过程的基本准则、范围和边界以及组织的规定。7.2基本准则根据风险管理的范围和目标，可应用不同的方法。对于每次迭代，其方法可能是不同的。宜选择或开发一个适当的风险管理方法来确立诸如风险评价准则、影响准则、风险接受准则等基本准则。另外，组织宜评估下述工作的必要资源是否可用：·执行风险评估，立风险处置计划：。确定并实施策略和规程，包括实施所选的控制措施；·监视控制措施；·监视信息安全风险管理过程。注：见GB/T22080一2008中5.2.1有关实施和运行1SMS的资源供给。风险评价准则 5 筑素衬网Z..ET

GB/T31722-2015/1S0/1EC27005:2008 宜通过考虑如下因素，开发风险评价准则来评价组织的信息安全风险：业务信息过程的战略价值：·所涉及信息资产的关键性；·法律法规和规章制度的要求，以及合同义务：可用性、保密性和完整性对运营和业务的重要性：·利益相关方的期望和观点，以及对信誉和和名誉的负面结果。另外，风险评价准则可被用于规定风险处置的优先级。影响准则宜通过考虑如下因素，从信息安全事态给组织带来的损害程度或代价的角度来开发和规定影响准则：·受影响的信息资产的级别：·破坏信息安全（例如，保密性、完整性和可用性的丧失）：·受损的运行（内部或第三方的）：业务和财务价值的损失：·计划中断和最终期限：名誉损害：·违反法律法规、规章制度或合同要求。注：见GB/T22080一2008中4.2.1d)4)有关识别丧失保密性、完整性和可用性的影响准则.风险接受准则宜开发和规定风险接受准则。风险接受准则通常取决于组织的方针策略、目标和利益相关方的童对蠱堂孺高材中电C.NE可利益。对于一个期望的风险目标水平，风险接受准则可能包括多个國值，但允许高级管理者在界定的环境下接受高于这一水平的风险；·风险接受准侧可能表示为估算收益（或其他商业利益）与估算风险的比率：不同的风险接受准则可能适用于不同类别的风险，例如，不符合法律法规或规章制度的风险可能不被接受，然而，如果高风险的接受作为一项合同要求有所规定，则可能允许接受高风险：·风险接受准则可能包括对将来附加处置的要求，例如，如果批准并承诺在确定的时间内采取行动将风险降到可接受水平，则此风险可能被接受。根据风险预计存在时间的长短，例如，风险可能与临时或短期的活动有关，风险接受准则可能不同风险接受准则的立宜考虑以下因素：·业务准则：法律法规和规章制度方面：·运行：。技术：财务：·社会和人道主义因素。注：风险接受准则对应于GB/T22080一2008中4.2.1c)2)规定的“制定接受风险的准则，识别可接受的风险级别”更多信息可参见附录A。7.3范围和边界组织宜确定信息安全风险管理的范围和边界。6 罚素前网Z..ET

评星:

顶
0
踩
0

作品评论(1)

首页上一页1下一页尾页

只看楼主回复

tanhui

安全很重要

2023/2/24回复(0)

我也说一句

提交评论

首页上一页1下一页尾页

只看楼主回复

登录后参与讨论

相关推荐：

本站所有资源由用户上传，仅供学习和交流之用；未经授权，禁止商用，否则产生的一切后果将由您自己承担！素材版权归原作者所有，如有侵权请立即与我们联系,我们将及时删除

收藏 免注册直接免费下载

下载地址二：下载

下载出错?

浏览：179 次数：1

下载：免费下载 收藏：0

等级：

编号：200708 18

文件格式：pdf文本

文件大小：4.32MB

投稿：1001 进入

上传时间：2022/8/15 23:42:09

如有侵权请联系删除

您可能在找这些：

PDF文本 免费下载

GBT 31592-2015 消防安全工程总则

GBT 31592-2015 消防安全工程总则

4.12MB 124

PDF文本 免费下载

GBT 31538-2015 混凝土接缝防水用预埋注浆管

GBT 31538-2015 混凝土接缝防水用预埋注浆管

1.65MB 120

PDF文本 免费下载

GBT 31521-2015 公共信息标志材料、构造和电气装置的一般要求

GBT 31521-2015 公共信息标志材料、构造和电气装置的一般要求

941.63KB 106

PDF文本 免费下载

GBT 31498-2015 电动汽车碰撞后安全要求

GBT 31498-2015 电动汽车碰撞后安全要求

992.72KB 131

PDF文本 免费下载

GBT 31467.2-2015 电动汽车用锂离子动力蓄电池包和系统第2部分高能量应用测试规程

GBT 31467.2-2015 电动汽车用锂离子动力蓄电池包和系统第2部分高能量应用测试规程

4.77MB 120

PDF文本 免费下载

GBT 31467.1-2015 电动汽车用锂离子动力蓄电池包和系统第1部分高功率应用测试规程

GBT 31467.1-2015 电动汽车用锂离子动力蓄电池包和系统第1部分高功率应用测试规程

6.82MB 108

PDF文本 免费下载

GBT 31466-2015 电动汽车高压系统电压等级

GBT 31466-2015 电动汽车高压系统电压等级

404.83KB 112

PDF文本 免费下载

GBT 31465.7-2017 道路车辆熔断器第7部分：短引脚式熔断器

GBT 31465.7-2017 道路车辆熔断器第7部分：短引脚式熔断器

2.74MB 73

PDF文本 免费下载

GBT 31465.5-2015 道路车辆熔断器第5部分：板型熔断器

GBT 31465.5-2015 道路车辆熔断器第5部分：板型熔断器

846.59KB 86

PDF文本 免费下载

GBT 31465.3-2015 道路车辆熔断器第3部分：片式熔断器

GBT 31465.3-2015 道路车辆熔断器第3部分：片式熔断器

754.93KB 60

PDF文本 免费下载

GBT 31465.2-2015 道路车辆熔断器第2部分：用户指南

GBT 31465.2-2015 道路车辆熔断器第2部分：用户指南

757.98KB 99

PDF文本 免费下载

GBT 31465.1-2015 道路车辆熔断器第1部分：定义和通用试验要求

GBT 31465.1-2015 道路车辆熔断器第1部分：定义和通用试验要求

639.46KB 81

PDF文本 免费下载

GBT 31463.1-2015 家用和类似用途灯具的连接装置第1部分：通用要求

GBT 31463.1-2015 家用和类似用途灯具的连接装置第1部分：通用要求

978.12KB 106

PDF文本 免费下载

GBT 31455.2-2015 快速公交（BRT）智能系统第2部分调度中心系统技术要求

GBT 31455.2-2015 快速公交（BRT）智能系统第2部分调度中心系统技术要求

4.06MB 66

PDF文本 免费下载

GBT 31455.1-2015 快速公交（BRT）智能系统第1部分总体技术要求

GBT 31455.1-2015 快速公交（BRT）智能系统第1部分总体技术要求

1.35MB 51

PDF文本 免费下载

GBT 31454-2015 公路收费车道图像抓拍与处理

GBT 31454-2015 公路收费车道图像抓拍与处理

637.14KB 67

相关推荐
最新素材

GBT 31592-2015 消防安全工程总则 GBT 31538-2015 混凝土接缝防水用预埋注浆管 GBT 31521-2015 公共信息标志材料、构造和电气装置的一般要求 GBT 31498-2015 电动汽车碰撞后安全要求 GBT 31467.2-2015 电动汽车用锂离子动力蓄电池包和系统第2部分高能量应用测试规程 GBT 31467.1-2015 电动汽车用锂离子动力蓄电池包和系统第1部分高功率应用测试规程 GBT 31466-2015 电动汽车高压系统电压等级 GBT 31465.7-2017 道路车辆熔断器第7部分：短引脚式熔断器 GBT 31465.5-2015 道路车辆熔断器第5部分：板型熔断器 GBT 31465.3-2015 道路车辆熔断器第3部分：片式熔断器 GBT 31465.2-2015 道路车辆熔断器第2部分：用户指南 GBT 31465.1-2015 道路车辆熔断器第1部分：定义和通用试验要求 GBT 31463.1-2015 家用和类似用途灯具的连接装置第1部分：通用要求 GBT 31455.2-2015 快速公交（BRT）智能系统第2部分调度中心系统技术要求 GBT 31455.1-2015 快速公交（BRT）智能系统第1部分总体技术要求 GBT 31454-2015 公路收费车道图像抓拍与处理

技术措施 09版-规划·建筑·景观纠错表幕墙检测收费标准2015年执行木质防火门---1999沪J613 闽3003J101塑钢门窗闽2010-J-34 福建酚醛保温板外墙保温隔热建筑构造闽2010-J-34 酚醛保温板外墙保温隔热建筑构造闽2010-J-31建筑硅质刚性防水构造(DBJT13-85)1 闽2007G119 先张法预应力高强混凝土管桩闽2006J10福建省蒸压砂加气混凝土砌块建筑构造闽2006J10 蒸压砂加气混凝土砌块建筑构造闽2005J03 平屋面建筑构造闽2005J02坡屋面建筑构造闽2005J02 坡屋面建筑构造闽2004J05楼梯栏杆（DBJT13-70）闽2004J05 楼梯栏杆闽2004J04-A 福建省村镇住宅A型通用图闽2004J02 闽2004J02 顶棚闽2004G108 闽2004G108 锚杆静压桩

网站首页典尚平台建筑素材三维模型室内装修视频素材网上传教程帮助中心热门搜索版权申明关于我们联系典尚

Copyright © 2000-2020 www.jzsc.net.粤ICP备07047611号 All Rights Reserved.

客服QQ:609470690 客服电话:0755-83549300 深圳市典尚风设计有限公司

Copyright© 2016典尚平台 JZSC.NET

网站推荐使用腾讯、Chrome浏览器浏览，不推荐360,很卡

粤公网安备 44030302000908号

◆

QQ咨询

◆

网站首页

◆

回顶部