GB/T 31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施指南

上傳人：中國標(biāo)準(zhǔn)出版社 IP屬地：四川上傳時(shí)間：2023-02-04 格式：PDF 頁數(shù)：64 大小：384.93KB 積分：97

標(biāo)準(zhǔn)解讀

《GB/T 31509-2015 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估實(shí)施指南》是由中國國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的一項(xiàng)國家標(biāo)準(zhǔn)，旨在為組織提供一個(gè)系統(tǒng)化的方法來識(shí)別、分析和評價(jià)信息系統(tǒng)的安全風(fēng)險(xiǎn)，并采取適當(dāng)?shù)拇胧﹣砉芾砗徒档瓦@些風(fēng)險(xiǎn)。該標(biāo)準(zhǔn)適用于各類需要進(jìn)行信息安全風(fēng)險(xiǎn)管理的組織。

根據(jù)此標(biāo)準(zhǔn)，信息安全風(fēng)險(xiǎn)評估過程主要包括以下幾個(gè)步驟：

準(zhǔn)備階段：明確風(fēng)險(xiǎn)評估的目標(biāo)、范圍、方法及所需資源等，同時(shí)確定參與人員及其職責(zé)分工。
資產(chǎn)識(shí)別：列出所有與信息系統(tǒng)相關(guān)的資產(chǎn)（包括硬件、軟件、數(shù)據(jù)等），并對其進(jìn)行分類和價(jià)值評估。
威脅識(shí)別：識(shí)別可能對信息系統(tǒng)造成損害的各種威脅源，如自然災(zāi)害、人為錯(cuò)誤或惡意攻擊等。
脆弱性識(shí)別：查找信息系統(tǒng)中存在的弱點(diǎn)或缺陷，這些可能是導(dǎo)致安全事件發(fā)生的潛在原因。
風(fēng)險(xiǎn)分析：基于上述收集到的信息，使用定量或定性方法對每個(gè)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行分析，以確定其發(fā)生的可能性及影響程度。
風(fēng)險(xiǎn)評價(jià)：將分析結(jié)果與預(yù)先設(shè)定的風(fēng)險(xiǎn)接受準(zhǔn)則相比較，判斷哪些風(fēng)險(xiǎn)是可以接受的，哪些是需要進(jìn)一步處理的。
風(fēng)險(xiǎn)處理計(jì)劃制定：對于不可接受的風(fēng)險(xiǎn)，應(yīng)提出相應(yīng)的緩解策略，并形成具體行動(dòng)計(jì)劃。
報(bào)告編制與評審：編寫風(fēng)險(xiǎn)評估報(bào)告，詳細(xì)記錄整個(gè)過程中的發(fā)現(xiàn)、結(jié)論以及建議；之后還需定期回顧并更新風(fēng)險(xiǎn)狀況。

如需獲取更多詳盡信息，請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

現(xiàn)行
正在執(zhí)行有效
2015-05-15 頒布
2016-01-01 實(shí)施

?正版授權(quán)

GB/T 31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施指南_第1頁

GB/T 31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施指南_第2頁

GB/T 31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施指南_第3頁

GB/T 31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施指南_第4頁

GB/T 31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施指南_第5頁

免費(fèi)預(yù)覽已結(jié)束，剩余59頁可下載查看

 下載本文檔

GB/T 31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施指南-免費(fèi)下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T31509—2015

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估

實(shí)施指南

Informationsecuritytechnology—Guideofimplementationfor

informationsecurityriskassessment

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31509—2015

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語定義和縮略語

3、………………………1

風(fēng)險(xiǎn)評估實(shí)施概述

4………………………2

實(shí)施的基本原則

4.1……………………2

實(shí)施的基本流程

4.2……………………3

風(fēng)險(xiǎn)評估的工作形式

4.3………………3

信息系統(tǒng)生命周期內(nèi)的風(fēng)險(xiǎn)評估

4.4…………………4

風(fēng)險(xiǎn)評估實(shí)施的階段性工作

5……………4

準(zhǔn)備階段

5.1……………4

識(shí)別階段

5.2……………10

風(fēng)險(xiǎn)分析階段

5.3………………………21

風(fēng)險(xiǎn)處理建議

5.4………………………24

附錄資料性附錄調(diào)查表

A()……………28

附錄資料性附錄安全技術(shù)脆弱性核查表

B()…………35

附錄資料性附錄安全管理脆弱性核查表

C()…………45

附錄資料性附錄風(fēng)險(xiǎn)分析案例

D()……………………52

Ⅰ

GB/T31509—2015

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位國家信息中心國家保密技術(shù)研究所北京信息安全測評中心上海市信息安全測

:、、、

評認(rèn)證中心沈陽東軟系統(tǒng)集成工程有限公司國和信誠北京信息安全有限公司

、、()。

本標(biāo)準(zhǔn)主要起草人吳亞非祿凱張志軍陳永剛趙章界席斐應(yīng)力馬朝斌倪志強(qiáng)

:、、、、、、、、。

Ⅲ

GB/T31509—2015

引言

信息安全風(fēng)險(xiǎn)評估是信息安全保障工作的重要內(nèi)容之一與信息系統(tǒng)等級保護(hù)信息安全檢查信

,、、

息安全建設(shè)等工作緊密相關(guān)并通過風(fēng)險(xiǎn)發(fā)現(xiàn)分析評價(jià)為上述相關(guān)工作提供支持

,、、。

為指導(dǎo)信息安全風(fēng)險(xiǎn)評估工作的開展本標(biāo)準(zhǔn)依據(jù)信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范

,《》

從風(fēng)險(xiǎn)評估工作開展的組織管理流程文檔審核等幾個(gè)方面提出了相關(guān)要

(GB/T20984—2007),、、、、

求是信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范的操作性指導(dǎo)標(biāo)準(zhǔn)它也是信息

,《》(GB/T20984—2007),

安全風(fēng)險(xiǎn)管理相關(guān)標(biāo)準(zhǔn)之一

。

Ⅳ

GB/T31509—2015

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估

實(shí)施指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息安全風(fēng)險(xiǎn)評估實(shí)施的過程和方法

。

本標(biāo)準(zhǔn)適用于各類安全評估機(jī)構(gòu)或被評估組織對非涉密信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評估項(xiàng)目的管

理指導(dǎo)風(fēng)險(xiǎn)評估項(xiàng)目的組織實(shí)施驗(yàn)收等工作

,、、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范

GB/T20984—2007

信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南

GB/Z24364—2009

3術(shù)語定義和縮略語

、

和中界定的以及下列術(shù)語和定義適用于本文件

GB/T20984—2007GB/Z24364—2009。

31術(shù)語和定義

311

實(shí)施implementation

將一系列活動(dòng)付諸實(shí)踐的過程

。

312

信息系統(tǒng)生命周期informationsystemlifecycle

信息系統(tǒng)的各個(gè)生命階段包括規(guī)劃階段設(shè)計(jì)階段實(shí)施階段運(yùn)行維護(hù)階段和廢棄階段

人人文庫> 全部分類> 行業(yè)資料 > 各類標(biāo)準(zhǔn)

溫馨提示

1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用，未經(jīng)授權(quán)，嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等，侵權(quán)必究。
2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本（可閱讀打印），因數(shù)字商品的特殊性，一經(jīng)售出，不提供退換貨服務(wù)。
3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致，所以下載的文檔中可能包含空白頁，非文檔質(zhì)量問題。

關(guān)聯(lián)標(biāo)準(zhǔn)

引用標(biāo)準(zhǔn)：
GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范
GB/Z 24364-2009信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南

GB/T 31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施指南

標(biāo)準(zhǔn)解讀

文檔簡介

溫馨提示

最新文檔

評論

關(guān)聯(lián)標(biāo)準(zhǔn)

GB/T 31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施指南

標(biāo)準(zhǔn)解讀

文檔簡介

溫馨提示

最新文檔

評論

關(guān)聯(lián)標(biāo)準(zhǔn)

相關(guān)文檔