ICS35. 040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 31722—2015/ I SO/ IEC27005: 2008 信息技术 安全技术 信息安全风险管理 I n f o rma t i ont e chno l o e c u r i t e chn i e s— gy—S yt qu I n f o rma t i ons e c u r i t i s kmana emen t yr g ( I SO/ IEC27005: 2008, IDT) 2015 06 02 发布 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 2016 02 01 实施 发 布 GB/T 31722—2015/I SO/IEC27005: 2008 目 次 前言 ………………………………………………………………………………………………………… Ⅰ 引言 ………………………………………………………………………………………………………… Ⅱ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 本标准结构 ……………………………………………………………………………………………… 2 5 背景 ……………………………………………………………………………………………………… 3 6 信息安全风险管理过程概述 …………………………………………………………………………… 3 7 语境建立 ………………………………………………………………………………………………… 5 8 信息安全风险评估 ……………………………………………………………………………………… 7 9 信息安全风险处置 ……………………………………………………………………………………… 13 10 信息安全风险接受 …………………………………………………………………………………… 16 11 信息安全风险沟通 …………………………………………………………………………………… 16 12 信息安全风险监视和评审 …………………………………………………………………………… 17 附录 A (资料性附录) 确定信息安全风险管理过程的范围和边界 …………………………………… 19 附录 B (资料性附录) 资产识别和估价以及影响评估 ………………………………………………… 22 附录 C (资料性附录) 典型威胁示例 …………………………………………………………………… 28 附录 D (资料性附录) 脆弱性和脆弱性评估方法 ……………………………………………………… 31 附录 E (资料性附录) 信息安全评估方法 ……………………………………………………………… 35 附录 F (资料性附录) 风险降低的约束 ………………………………………………………………… 40 参考文献 …………………………………………………………………………………………………… 42 GB/T 31722—2015/I SO/IEC27005: 2008 前 言 本标准按照 GB/T1. 1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准使用翻译法等同采用ISO/ IEC27005: 2008《信息技术 文版)。 安全技术 信息安全风险管理》(英 本标准做了以下修改: ———对引言做了一些编辑性修改。 本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本标准起草单位:中国电子技术标准化研究院、上海三零卫士 信 息 安 全 有 限 公 司、中 电 长 城 网 际 系 统应用有限公司、山东省计算中心、北京信息安全测评中心。 本标准主要起草人:许玉娜、闵京华、上官晓丽、董火民、赵章界、李刚、周鸣乐。 Ⅰ GB/T 31722—2015/I SO/IEC27005: 2008 引 言 信息安全管理体系标准族( I n f o rma t i onSe cu r i t tSys t em,简 称 I SMS 标 准 族)是 国 际 y Managemen 信息安全技术标准化组织( I SO/ IECJTC1SC27)制定的信息安全管理体系系列国际标准。ISMS 标 准 族旨在帮助各种类型和规模的组织,开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如, 财务信息、知识产权、员 工 详 细 资 料,或 者 受 客 户 或 第 三 方 委 托 的 信 息)的 I SMS 的 独 立 评 估 做 准 备。 ISMS 标准族包括的标准: a)定义了ISMS 的要求及其认证机构的要求; b)提供了对整个“规划-实施-检 ( ) ) 查-处置”PDCA 过程和要求的直接支持、详细指南和(或)解释; c 阐述了特定行业的 ISMS 指南; d)阐 述了I SMS 的一致性评估。 目前, ISMS 标准族由下列标准组成: ———GB/T 29246—2012 信息技术 ( ISO/ IEC27000: 2009) ———GB/T22080—2008 信息 技 术 2005) ———GB/T22081—2008 信息技术 ———GB/T31496—2015 信息技术 2010) ———GB/T31497—2015 信息技术 ———GB/T31722—2015 信息技术 ———GB/T25067—2010 信 息 技 术 IEC27006: 2007) ———I / SO IEC27007: 2011 信息技术 安全技术 安全技术 安全技术 安全技术 安全技术 安全技术 安全技术 安全技术 ———I SO/ IECTR27008: 2011 信息技术 ———I SO/ IEC27010: 2012 信息技术 ———I SO/ IEC27011: 2008 信息技术 安全管理指南 信息安全管理体系 安全技术 概述和词汇 要求( ISO/ IEC27001: 信息安全管理实用规则( I SO/ IEC27002: 2005) 信息安全管理体系实施指南( ISO/ IEC27003: 测量( I SO/ IEC27004: 2009) 信息安全风险管理( I SO/ IEC27005: 2008) 信息安全管理 信息安全管理体系审核认证机构的要求( ISO/ 信息安全管理体系审核指南 安全技术 安全技术 信息安全管理体系 信息安全控制措施审核员指南 行业间及组织间通信的信息安全管理 基 于I SO/ IEC27002 的 电 信 行 业 组 织 的 信 息 ———ISO/ IEC27013: 2012 信息技术 安全技术 ISO/ IEC27001 和ISO/ IEC20000 1 集成实施 ———I SO/ IEC27014: 2013 信息技术 安全技术 指南 ———I SO/ IECTR27015: 2012 信息技术 信息安全治理 安全技术 金融服务信息安全管理指南 本标准作为 I SMS 标 准 族 之 一,为 组 织 内 的 信 息 安 全 风 险 管 理 提 供 指 南,特 别 是 支 持 按 照 GB/T22080 的ISMS 要求。然而,本标准不提 供 信 息 安 全 风 险 管 理 的 任 何 特 定 方 法。 由 组 织 来 确 定 其风险管理方法,这取决于诸如组织的I SMS 范围、风险管理语境或所处行业。一些现有的方法可在本 标准描述的框架下使用,以实现I SMS 的要求。 本标准的相关方包括关心组织内信息安全风险的管理者和员工以及(在适当情况下)支持这种活动 的外部方。 Ⅱ GB/T 31722—2015/I SO/IEC27005: 2008 信息技术 安全技术 信息安全风险管理 1 范围 本标准为信息安全风险管理提供指南。 本标准支持 GB/T22080 所规约的一般概念,旨 在 为 基 于 风 险 管 理 方 法 来 符 合 要 求 地 实 现 信 息 安 全提供帮助。 知晓 GB/T22080 和 GB/T22081 中所描述的 概 念、模 型、过 程 和 术 语,对 于 完 整 地 理 解 本 标 准 是 重要的。 本标准适用于各种类型的组织(例如,商务企业、政府机构、非盈利性组织),这些组织期望管理可能 危及其信息安全的风险。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引 用 文 件,仅 注 日 期 的 版 本 适 用 于 本 文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T22080—2008 信 息 技 术 安全技术 GB/T22081—2008 信息技术 安全技术 IDT) 信息安全管理体系 要求( I SO/ IEC27001: 2005, 信息安全管理实用规则( I SO/ IEC27002: 2005, IDT) 3 术语和定义 3. 1 GB/T22080—2008 和 GB/T22081—2008 中界定的以及下列术语和定义适用于本文件。 影响 impa c t 对所达到业务目标的不利改变。 3. 2 信息安全风险 i n f o rma t i ons e cu r i t i s k yr 特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。 注:它以事态的可能性及其后果的组合来度量。 3. 3 风险规避 r i s ka v o i danc e 不卷入风险处境的决定或撤离风险处境的行动。 3. 4 [ ISO/ IECGu i de73: 2002] 风险沟通 r i s kc ommun i c a t i on 决策者和其他利益相关者之间关于风险的信息交换或共享。 [ ISO/ IECGu i de73: 2002] 1 GB/T 31722—2015/I SO/IEC27005: 2008 3. 5 风险估算 r i s ke s t ima t i on 为风险的可能性和后果赋值的活动。 [ ISO/ IECGu i de73: 2002] 3. 6 风险识别 r i s ki d e n t i f i c a t i on 发现和列出风险要素并描述其特征的活动。 [ ISO/ IECGu i de73: 2002] 3.