標準解讀

《GB/T 33132-2016 信息安全技術 信息安全風險處理實施指南》是一項國家標準,旨在為組織提供一套系統(tǒng)化的方法論來識別、評估以及控制信息安全風險。該標準適用于所有類型和規(guī)模的組織,無論是政府機構還是商業(yè)實體,都能依據(jù)其內(nèi)容進行有效的風險管理活動。

根據(jù)該標準,信息安全風險處理過程被劃分為幾個主要階段:風險識別、風險分析、風險評價與風險處置。在風險識別階段,需要通過各種手段發(fā)現(xiàn)可能影響信息系統(tǒng)安全的因素或事件;風險分析則進一步對這些已識別的風險源進行定性或定量的研究,以理解它們對資產(chǎn)潛在威脅的程度;隨后,在風險評價過程中,基于分析結果確定哪些風險是可接受的,哪些需要采取行動加以緩解;最后,針對不可接受的風險制定相應的控制措施,并執(zhí)行這些措施來降低風險水平至可接受范圍內(nèi)。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2016-10-13 頒布
  • 2017-05-01 實施
?正版授權
GB/T 33132-2016信息安全技術信息安全風險處理實施指南_第1頁
GB/T 33132-2016信息安全技術信息安全風險處理實施指南_第2頁
GB/T 33132-2016信息安全技術信息安全風險處理實施指南_第3頁
GB/T 33132-2016信息安全技術信息安全風險處理實施指南_第4頁
GB/T 33132-2016信息安全技術信息安全風險處理實施指南_第5頁
免費預覽已結束,剩余23頁可下載查看

下載本文檔

GB/T 33132-2016信息安全技術信息安全風險處理實施指南-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T33132—2016

信息安全技術信息安全風險處理

實施指南

Informationsecuritytechnology—Guideofimplementationfor

informationsecurityrisktreatment

2016-10-13發(fā)布2017-05-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T33132—2016

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

風險處理實施概述

4………………………2

風險處理基本原則

4.1…………………2

風險處理的方式

4.2……………………2

風險處理的角色和職責

4.3……………3

風險處理的基本流程

4.4………………3

風險處理準備

5……………5

制定風險處理計劃

5.1…………………5

獲得管理層批準

5.2……………………6

風險處理實施

6……………6

風險處理方案制定

6.1…………………6

風險處理方案實施

6.2…………………8

風險處理效果評價

7………………………8

概述

7.1…………………8

評價原則

7.2……………8

評價方法

7.3……………9

評價方案

7.4……………9

評價實施

7.5……………9

持續(xù)改進

7.6……………10

附錄資料性附錄風險處理實踐示例

A()………………11

背景

A.1………………11

風險處理準備

A.2……………………12

風險處理實施

A.3……………………14

風險處理評價

A.4……………………21

參考文獻

……………………23

GB/T33132—2016

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位國家信息中心北京信息安全測評中心中國民航大學東軟集團股份有限公司

:、、、、

北京數(shù)字認證股份有限公司西安交大捷普網(wǎng)絡科技有限公司

、。

本標準主要起草人吳亞非祿凱陳永剛趙章界馬勇席斐陳青民何建鋒

:、、、、、、、。

GB/T33132—2016

引言

信息安全風險管理是信息安全保障工作中的一項重要基礎性工作其核心思想是對管理對象面臨

,

的信息安全風險進行管控信息安全風險管理工作貫穿于信息系統(tǒng)生命周期規(guī)劃設計實施運行維

。(、、、

護和廢棄的全過程主要工作過程包括風險評估和風險處理兩個基本步驟風險評估是對風險管理對

),。

象所面臨的風險進行識別分析和評價的過程風險處理是依據(jù)風險評估的結果選擇和實施安全措施

、。,

的過程

。

為指導各類組織規(guī)范性地開展信息安全風險處理在信息安全技術信息安

,GB/T20984—2007《

全風險評估規(guī)范信息安全技術信息安全風險管理指南和

》、GB/Z24364—2009《》GB/T31509—2015

信息安全技術信息安全風險評估實施指南的基礎上本標準針對風險評估工作中反映出來的各類

《》,

信息安全風險從風險處理工作的組織管理流程評價等方面給出了相關描述用于指導組織形成客

,、、、,

觀規(guī)范的風險處理方案促進風險管理工作的完善

、,。

GB/T33132—2016

信息安全技術信息安全風險處理

實施指南

1范圍

本標準給出了信息安全風險處理的基本概念處理原則處理方式處理流程以及處理結束后的效

、、、

果評價等管理過程和方法并對處理過程中的角色和職責進行了定義

,。

本標準適用于指導信息系統(tǒng)運營使用單位和信息安全服務機構實施信息安全風險處理活動

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術信息安全風險評估規(guī)范

GB/T20984—2007

信息安全技術信息安全風險管理指南

GB/Z24364—2009

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T20984—2007、GB/Z24364—2009。

31

.

風險處理risktreatment

選擇并且執(zhí)行措施來更改風險的過程

。

[ISO/IECGuide73:2002]。

注在本標準中術語控制措施

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論