國家標準編制說明一、工作簡況1.1任務(wù)來源根據(jù)國家標準化管理委員會2023年下達的國家標準制修訂計劃，《信息安全技術(shù)信息安全風(fēng)險管理指導(dǎo)》由中國電子技術(shù)標準化研究院負責(zé)承辦，項目編號：2023003198，目前處于計劃網(wǎng)上公示階段。本標準由全國信息安全標準化技術(shù)委員會歸口管理。1.2修訂背景本標準是ISO/IEC27000（ISMS）系列標準的重要標準之一，適用于組織建立和實現(xiàn)自身信息安全管理體系（ISMS），改進自身信息安全風(fēng)險管理過程。2015年我國將ISO/IEC27005轉(zhuǎn)化為國家標準GB/T31722—2015《信息技術(shù)安全技術(shù)信息安全風(fēng)險管理指南》。2022年10月，新版本ISO/IEC27005完成修訂并正式發(fā)布，新版本引入了風(fēng)險情景概念、增加了信息安全風(fēng)險管理循環(huán)、變更了信息安全風(fēng)險評估編寫過程等內(nèi)容，鑒于新版本ISO/IEC27005技術(shù)內(nèi)容變化較大，因此有必要對GB/T31722—2015進行修訂。本次修訂工作一方面為保證我國國家標準緊跟國際標準變化，維護與其他管理體系標準的兼容性，同時為我國相關(guān)風(fēng)險管理標準的制定提供參考依據(jù)；另一方面是幫助相關(guān)組織及時了解和使用國際最新的信息安全風(fēng)險管理方法，支持其開展ISMS相關(guān)工作，提升組織自身信息安全保障能力。1.3起草過程中國電子技術(shù)標準化研究院負責(zé)組織起草，北京安信天行科技有限公司、中國合格評定國家認可中心、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、中國信息安全測評中心、黑龍江省網(wǎng)絡(luò)空間研究中心、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、山東省標準化研究院、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司等單位共同參與了本標準的起草工作。具體起草過程如下：2023年3月，標準牽頭單位聯(lián)合原標準起草單位，成立標準編制組，并確定任務(wù)分工及翻譯注意事項。2023年4-5月，標準牽頭單位匯總形成標準草案初稿，標準編制組根據(jù)各自分工校對相關(guān)內(nèi)容。2023年6-8月，標準編制組多次組織標準草案研討會，針對有爭議的翻譯進行討論，不斷修改完善標準草案。2023年8月25日，信安標委印發(fā)《關(guān)于上報2023年第一批網(wǎng)絡(luò)安全國家標準計劃項目建議的函》（信安字〔2023〕16號），國家標準《信息安全技術(shù)信息安全風(fēng)險管理指導(dǎo)》修訂項目正式立項。2023年9月11日至9月22日，在信安標委網(wǎng)站和微信公眾號面向社會公開征集標準參編單位。2023年10月24日，標準牽頭單位組織召開項目啟動會，研討確定標準編制思路、工作計劃、任務(wù)分工等。2023年11月2日，標準牽頭單位在信安標委2023年第二次標準周WG7工作組會上對標準修訂情況進行了匯報，經(jīng)過工作組內(nèi)審議討論，建議推進至征求意見稿，會后對標準文本進一步修改完善并面向編制組征集試點工作方案。2023年11月23日，討論標準試點工作方案，確定下一步試點工作安排；2023年12月6日，組織編制工作組正式召開試點啟動會，宣貫試點工作方案并交流試點工作計劃和想法，提出具體試點要求。2023年12月8日，秘書處組織召開征求意見稿專家審查會，本標準通過評審可以發(fā)起公開征求意見，并根據(jù)專家意見進行了修改完善。二、標準編制原則、主要內(nèi)容及其確定依據(jù)2.1標準編制原則本標準的研制工作遵循以下原則：（1）目的原則翻譯過程中，要符合中文的語言表達習(xí)慣。翻譯行為所要達到的目的決定整個翻譯行為的過程，即結(jié)果決定方法。（2）連貫性原則要做到表述通暢，具有可讀性和可接受性，使標準讀者能夠容易理解。（3）忠實性原則本標準與國際標準之間應(yīng)該存在語際連貫一致，在充分理解國際標準原文的基礎(chǔ)上進行翻譯，做到準確表達原意。2.2主要內(nèi)容及其確定依據(jù)本標準等同采用ISO/IEC27005:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護信息安全風(fēng)險管理指導(dǎo)》，對GB/T31722—2015《信息技術(shù)安全技術(shù)信息安全風(fēng)險管理南》。本標準可用于組織實施信息安全風(fēng)險管理活動，特別是信息安全風(fēng)險評估和處置，實現(xiàn)ISMS規(guī)定的信息安全風(fēng)險管理要求，有效管理信息安全風(fēng)險，提升組織信息安全保障能力。本標準共包含10章和1個附錄。前4章是標準的通用要素，分別為：范圍、規(guī)范性引用文件、術(shù)語和定義、本標準的結(jié)構(gòu)。從第5章開始是標準的主要技術(shù)內(nèi)容，分別為：信息安全風(fēng)險管理、環(huán)境的建立背景介紹、信息安全風(fēng)險評估過程、信息安全風(fēng)險處理過程、運行、相關(guān)ISMS過程流程的利用。附錄A給出了支持風(fēng)險評估過程的技術(shù)示例。第5章對信息安全風(fēng)險管理的概念進行了闡述，給出了與ISMS相關(guān)的信息安全風(fēng)險管理過程。第6章詳細闡述了確立組織實施風(fēng)險管理活動所處的內(nèi)外部環(huán)境信息，包括應(yīng)用風(fēng)險評估和風(fēng)險處理、確定利益相關(guān)方的基本要求、建立和維護信息安全風(fēng)險標準等。第7章介紹了信息安全風(fēng)險評估過程，該過程包括識別信息安全風(fēng)險、分析信息安全風(fēng)險、評估信息安全風(fēng)險。第8章闡述了信息安全風(fēng)險處理過程，該過程為選擇適當?shù)男畔踩L(fēng)險處理方案，確定實施信息安全風(fēng)險所需的所有控制。第9章是運行，具體包括執(zhí)行信息安全風(fēng)險評估程序、執(zhí)行信息安全風(fēng)險處理過程。第10章介紹了利用ISMS的相關(guān)過程，具體包括領(lǐng)導(dǎo)和承諾、溝通與協(xié)商，文件化信息、監(jiān)視和測量、管理評審、糾正措施和持續(xù)改進。2.3修訂前后技術(shù)內(nèi)容的對比修訂的主要內(nèi)容除結(jié)構(gòu)調(diào)整和編輯性改動外，更改了信息安全風(fēng)險管理過程中迭代地進行風(fēng)險評估和/或風(fēng)險處置的內(nèi)容，增加了“運行”章節(jié)，說明執(zhí)行風(fēng)險評估、風(fēng)險處置的過程。同時，更改了附錄的編寫，增加了支持風(fēng)險評估過程的技術(shù)示例。三、試驗驗證的分析、綜述報告，技術(shù)經(jīng)濟論證，預(yù)期的經(jīng)濟效益、社會效益和生態(tài)效益3.1試驗驗證的分析、綜述報告本標準的適用對象包括旨在改進自身信息安全風(fēng)險管理過程的組織、開展風(fēng)險管理咨詢和評估服務(wù)的相關(guān)機構(gòu)、開發(fā)風(fēng)險管理相關(guān)產(chǎn)品的網(wǎng)絡(luò)安全企業(yè)等。本標準編制組將根據(jù)項目管理要求，在標準試點驗證與標準實施應(yīng)用方面制定詳細工作方案，選取不同行業(yè)領(lǐng)域、不同單位性質(zhì)的組織機構(gòu)推廣標準實施，暫定選擇央企、風(fēng)險管理咨詢機構(gòu)和網(wǎng)絡(luò)安全企業(yè)等單位進行試點，標準編寫單位將作為技術(shù)支撐機構(gòu)協(xié)助進行實施。3.2技術(shù)經(jīng)濟論證暫無。3.3預(yù)期的經(jīng)濟效益、社會效益和生態(tài)效益標準發(fā)布后，旨在改進自身信息安全風(fēng)險管理過程的組織（如政府機構(gòu)、商務(wù)企業(yè)、非盈利性組織等）可依據(jù)標準持續(xù)改進和提升組織自身信息安全風(fēng)險管理能力；風(fēng)險管理咨詢和評估服務(wù)的相關(guān)機構(gòu)（如中國信息安全測評中心、黑龍江省網(wǎng)絡(luò)空間研究中心等）可根據(jù)本標準修改完善相關(guān)咨詢服務(wù)和評估依據(jù)；網(wǎng)絡(luò)安全企業(yè)（如北京安信天行科技有限公司、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司）既可以依據(jù)本標準提升自身信息安全風(fēng)險管理能力，也可以根據(jù)實施經(jīng)驗來改善其信息安全風(fēng)險管理相關(guān)產(chǎn)品功能，為用戶提供更加優(yōu)秀的產(chǎn)品和方案。四、與國際、國外同類標準技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況ISO/IECJTC1/SC27于2022年10月發(fā)布了新版國際標準ISO/IEC27005:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護信息安全風(fēng)險管理指導(dǎo)》（第4版）。ISO/IEC27005是支持組織信息安全風(fēng)險管理的指導(dǎo)文件，并以ISO/IEC27001國際標準為基礎(chǔ)，通過基于事態(tài)的方法和基于資產(chǎn)的方法，提出風(fēng)險評估的原則、過程、處置方法等。在本次ISO/IEC27005修訂過程中，標準名稱歷經(jīng)多次調(diào)整，先是由“信息安全風(fēng)險管理指導(dǎo)”調(diào)整為“信息安全風(fēng)險及機會管理指導(dǎo)”，最后又回到了“信息安全風(fēng)險管理指導(dǎo)”。討論中，國際專家普遍認為信息安全只有“風(fēng)險”而沒有“機會”。其次，在內(nèi)容的修訂上，修訂目標聚焦于讓組織更容易采用，并確保組織了解和使用國際最新的信息安全風(fēng)險管理方法。國內(nèi)組織長期積極關(guān)注信息安全管理體系（ISMS）標準的變化，及時將ISMS系列內(nèi)的ISO/IEC27001、ISO/IEC27002、ISO/IEC27005等國際標準最新版本及時轉(zhuǎn)化為國家標準，保障通用技術(shù)領(lǐng)域我國國家標準與國際標準的一致性。五、以國際標準為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國際國外標準，并說明未采用國際標準的原因本標準等同采用國際標準ISO/IEC27005:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護信息安全風(fēng)險管理指導(dǎo)》，做了下列最小限度的編輯性改動：——對引言做了一些編輯性修改。六、與有關(guān)法律、行政法規(guī)及相關(guān)標準的關(guān)系本標準為實現(xiàn)GB/T22080《信息技術(shù)安全技術(shù)信息安全管理體系要求》中規(guī)定的信息安全風(fēng)險要求和信息安全相關(guān)風(fēng)險的措施提供指導(dǎo)，同時對GB/T31496《信息技術(shù)安全技術(shù)信息安全管理體系實施指南》進行了補充。七、重大分歧意見的處理經(jīng)過和依據(jù)本標準編制過程中未出現(xiàn)重大分歧。八、涉及專利的有關(guān)說明本標準不涉及專利。九、實施國家標準的要求，以及組織措施、技術(shù)措施、過渡期和實施日期的建議等措施建議建議本標準作為推薦性國家標準發(fā)布實施。標準發(fā)布后，將在標準起草單位內(nèi)率先開展應(yīng)用，并通過標準宣貫、標準應(yīng)用指