標(biāo)準(zhǔn)解讀

《GB/T 31722-2015 信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理》是一項(xiàng)國(guó)家標(biāo)準(zhǔn),旨在為企業(yè)和個(gè)人提供一套系統(tǒng)的方法論和指導(dǎo)原則,以便更好地理解和實(shí)施信息安全風(fēng)險(xiǎn)管理。該標(biāo)準(zhǔn)涵蓋了風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理以及風(fēng)險(xiǎn)管理過(guò)程中的監(jiān)控與評(píng)審等關(guān)鍵環(huán)節(jié)。

在風(fēng)險(xiǎn)評(píng)估部分,標(biāo)準(zhǔn)詳細(xì)介紹了如何識(shí)別資產(chǎn)、威脅及脆弱性,并通過(guò)定性和定量分析方法來(lái)評(píng)價(jià)潛在的安全事件對(duì)組織可能造成的影響程度。此外,還提供了關(guān)于選擇合適的風(fēng)險(xiǎn)評(píng)估工具和技術(shù)方面的指南。

對(duì)于風(fēng)險(xiǎn)處理,標(biāo)準(zhǔn)建議根據(jù)已確定的風(fēng)險(xiǎn)水平采取相應(yīng)的控制措施。這些措施可以是避免、減輕、轉(zhuǎn)移或接受風(fēng)險(xiǎn)。同時(shí)強(qiáng)調(diào)了需要考慮成本效益比,在有限資源條件下做出最優(yōu)決策。

在整個(gè)信息安全風(fēng)險(xiǎn)管理過(guò)程中,持續(xù)性的監(jiān)控與定期評(píng)審是非常重要的。這有助于確保所采取的控制措施仍然有效,并且能夠適應(yīng)不斷變化的安全環(huán)境。為此,《GB/T 31722-2015》提出了一系列具體的活動(dòng)要求,如建立有效的溝通渠道、記錄管理過(guò)程文檔化等。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2015-06-02 頒布
  • 2016-02-01 實(shí)施
?正版授權(quán)
GB/T 31722-2015信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理_第1頁(yè)
GB/T 31722-2015信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理_第2頁(yè)
GB/T 31722-2015信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理_第3頁(yè)
GB/T 31722-2015信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理_第4頁(yè)
GB/T 31722-2015信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余43頁(yè)可下載查看

下載本文檔

GB/T 31722-2015信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31722—2015/ISO/IEC270052008

:

信息技術(shù)安全技術(shù)

信息安全風(fēng)險(xiǎn)管理

Informationtechnology—Securitytechniques—

Informationsecurityriskmanagement

(ISO/IEC27005:2008,IDT)

2015-06-02發(fā)布2016-02-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31722—2015/ISO/IEC270052008

:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

本標(biāo)準(zhǔn)結(jié)構(gòu)

4………………2

背景

5………………………3

信息安全風(fēng)險(xiǎn)管理過(guò)程概述

6……………3

語(yǔ)境建立

7…………………5

信息安全風(fēng)險(xiǎn)評(píng)估

8………………………7

信息安全風(fēng)險(xiǎn)處置

9………………………13

信息安全風(fēng)險(xiǎn)接受

10……………………16

信息安全風(fēng)險(xiǎn)溝通

11……………………16

信息安全風(fēng)險(xiǎn)監(jiān)視和評(píng)審

12……………17

附錄資料性附錄確定信息安全風(fēng)險(xiǎn)管理過(guò)程的范圍和邊界

A()……19

附錄資料性附錄資產(chǎn)識(shí)別和估價(jià)以及影響評(píng)估

B()…………………22

附錄資料性附錄典型威脅示例

C()……………………28

附錄資料性附錄脆弱性和脆弱性評(píng)估方法

D()………31

附錄資料性附錄信息安全評(píng)估方法

E()………………35

附錄資料性附錄風(fēng)險(xiǎn)降低的約束

F()…………………40

參考文獻(xiàn)

……………………42

GB/T31722—2015/ISO/IEC270052008

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理英

ISO/IEC27005:2008《》(

文版

)。

本標(biāo)準(zhǔn)做了以下修改

:

對(duì)引言做了一些編輯性修改

———。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院上海三零衛(wèi)士信息安全有限公司中電長(zhǎng)城網(wǎng)際系

:、、

統(tǒng)應(yīng)用有限公司山東省計(jì)算中心北京信息安全測(cè)評(píng)中心

、、。

本標(biāo)準(zhǔn)主要起草人許玉娜閔京華上官曉麗董火民趙章界李剛周鳴樂(lè)

:、、、、、、。

GB/T31722—2015/ISO/IEC270052008

:

引言

信息安全管理體系標(biāo)準(zhǔn)族簡(jiǎn)稱標(biāo)準(zhǔn)族是國(guó)際

(InformationSecurityManagementSystem,ISMS)

信息安全技術(shù)標(biāo)準(zhǔn)化組織制定的信息安全管理體系系列國(guó)際標(biāo)準(zhǔn)標(biāo)準(zhǔn)

(ISO/IECJTC1SC27)。ISMS

族旨在幫助各種類型和規(guī)模的組織開發(fā)和實(shí)施管理其信息資產(chǎn)安全的框架并為保護(hù)組織信息諸如

,,(,

財(cái)務(wù)信息知識(shí)產(chǎn)權(quán)員工詳細(xì)資料或者受客戶或第三方委托的信息的的獨(dú)立評(píng)估做準(zhǔn)備

、、,)ISMS。

標(biāo)準(zhǔn)族包括的標(biāo)準(zhǔn)定義了的要求及其認(rèn)證機(jī)構(gòu)的要求提供了對(duì)整個(gè)規(guī)劃實(shí)施檢

ISMS:a)ISMS;b)“--

查處置過(guò)程和要求的直接支持詳細(xì)指南和或解釋闡述了特定行業(yè)的指南闡

-”(PDCA)、();c)ISMS;d)

述了的一致性評(píng)估

ISMS。

目前標(biāo)準(zhǔn)族由下列標(biāo)準(zhǔn)組成

,ISMS:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2012

(ISO/IEC27000:2009)

信息技術(shù)安全技術(shù)信息安全管理體系要求

———GB/T22080—2008(ISO/IEC27001:

2005)

信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則

———GB/T22081—2008(ISO/IEC27002:2005)

信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南

———GB/T31496—2015(ISO/IEC27003:

2010)

信息技術(shù)安全技術(shù)信息安全管理測(cè)量

———GB/T31497—2015(ISO/IEC27004:2009)

信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理

———GB/T31722—2015(ISO/IEC27005:2008)

信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求

———GB/T25067—2010(ISO/

IEC27006:2007)

信息技術(shù)安全技術(shù)信息安全管理體系審核指南

———ISO/IEC27007:2011

信息技術(shù)安全技術(shù)信息安全控制措施審核員指南

———ISO/IECTR27008:2011

信息技術(shù)安全技術(shù)行業(yè)間及組織間通信的信息安全管理

———ISO/IEC27010:2012

信息技術(shù)安全技術(shù)基于的電信行業(yè)組織的信息

———ISO/IEC27011:2008ISO/IEC27002

安全管理指南

信息技術(shù)安全技術(shù)和集成實(shí)施

———ISO/IEC27013:2012ISO/IEC27001ISO/IEC20000-1

指南

信息技術(shù)安全技術(shù)信息安全治理

———ISO/IEC27014:2013

信息技術(shù)安全技術(shù)金融服務(wù)信息安全管理指南

———ISO/IECTR27015:2012

本標(biāo)準(zhǔn)作為標(biāo)準(zhǔn)族之一為組織內(nèi)的信息安全風(fēng)險(xiǎn)管理提供指南特別是支持按照

ISMS,,

的要求然而本標(biāo)準(zhǔn)不提供信息安全風(fēng)險(xiǎn)管理的任何特定方法由組織來(lái)確定

GB/T22080ISMS。,。

其風(fēng)險(xiǎn)管理方法這取決于諸如組織的范圍風(fēng)險(xiǎn)管理語(yǔ)境或所處行業(yè)一些現(xiàn)有的方法可在本

,ISMS、。

標(biāo)準(zhǔn)描述的框架下使用以實(shí)現(xiàn)的要求

,ISMS。

本標(biāo)準(zhǔn)的相關(guān)方包括關(guān)心組織內(nèi)信息安全風(fēng)險(xiǎn)的管理者和員工以及在適當(dāng)情況下支持這種活動(dòng)

()

的外部方

。

GB/T31722—2015/ISO/IEC270052008

:

信息技術(shù)安全技術(shù)

信息安全風(fēng)險(xiǎn)管理

1范圍

本標(biāo)準(zhǔn)為信息安全風(fēng)險(xiǎn)管理提供指南

。

本標(biāo)準(zhǔn)支持所規(guī)約的一般概念旨在為基于風(fēng)險(xiǎn)管理方法來(lái)符合要求地實(shí)現(xiàn)信息安

GB/T22080,

全提供幫助

知曉和中所描述的概念模型過(guò)程和術(shù)語(yǔ)對(duì)于完整地理解本標(biāo)準(zhǔn)是

GB/T22080GB/T22081、、,

重要的

。

本標(biāo)準(zhǔn)適用于各種類型的組織例如商務(wù)企業(yè)政府機(jī)構(gòu)非盈利性組織這些組織期望管理可能

(,、、),

危及其信息安全的風(fēng)險(xiǎn)

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2008

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論