《信息技術 安全技術 信息安全風險管理》編制說明_第1頁
《信息技術 安全技術 信息安全風險管理》編制說明_第2頁
《信息技術 安全技術 信息安全風險管理》編制說明_第3頁
《信息技術 安全技術 信息安全風險管理》編制說明_第4頁
《信息技術 安全技術 信息安全風險管理》編制說明_第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

一、工作簡況

1.1任務來源

《信息技術安全技術信息安全風險管理》是國家標準化管理委員會2010

年下達的信息安全國家標準制定項目,國標計劃號為:20111634-T-469。由中國

電子技術標準化研究院主要負責起草。上海三零衛(wèi)士信息安全有限公司、北京信

息安全測評中心、山東計算中心、黑龍江電子信息產(chǎn)品監(jiān)督檢驗院等單位共同參

與了該標準的起草工作。

1.2任務背景

《信息技術安全技術信息安全風險管理》是國際信息安全管理體系

(ISMS)標準族(即ISO/IEC27000系列標準)中的標準之一。國際信息安全標

準化組織ISO/IECJTC1SC27/WG1專門負責ISMS標準族的研究和制定。ISMS標

準族作為一套具有一定科學理論基礎和實踐價值的標準,被廣泛用于不同國家、

不同領域,為不同信息安全管理需求的用戶提供了參考和指導。信息安全管理是

基于風險的管理,也就是說,風險管理是信息安全管理的基本方法,本標準的主

要目的是為信息安全風險管理提供指導,并對于深入理解和有效、合理實施ISMS

具有非常重要的意義。

截至目前,我國在持續(xù)跟蹤研究該系列標準的基礎上,已經(jīng)轉化了ISMS中

最為重要和核心的四項標準,分別是:ISO/IEC27001:2005《信息技術安全技

術信息安全管理體系要求》(對應國家標準GB/T22080:2008)、ISO/IEC

27002:2005《信息技術安全技術信息安全管理使用規(guī)則》(對應國家標準GB/T

22081:2008)、ISO/IEC27006:2007《信息技術安全技術信息安全管理體系認

證機構認可要求》(GB/T25067-2010)、ISO/IEC27000:2010《信息技術安全技

術信息安全管理體系概述和詞匯》(即將發(fā)布)。其中,ISO/IEC27001和ISO/IEC

27002是建設組織信息安全管理體系的基礎依據(jù);ISO/IEC27000則提供了有關

ISMS系列標準的術語和定義,并提供了整個ISMS標準族的概貌,對于希望了解

和使用ISMS標準族的用戶具有重要的指導意義;ISO/IEC27006則規(guī)范了信息

安全管理體系的審核和認證工作。

1.3主要工作過程

1、2010年6月至2011年3月,由中國電子技術標準化研究院牽頭,成立

1

由上海三零衛(wèi)士信息安全有限公司、北京測評中心、山東計算中心、黑龍江電子

信息產(chǎn)品監(jiān)督檢驗院等單位共同組成的標準編制組,共同參與編制國家標準《信

息安全管理體系實施指南》、《信息安全管理測量》和《信息安全風險管理》等

工作。對國際標準ISO/IEC27003:2010《信息技術安全技術信息安全管理體

系實施指南》、ISO/IEC27004:2009《信息技術安全技術信息安全管理測量》

和ISO/IEC27005:2008《信息技術安全技術信息安全風險管理》等三個標準

文本,進行了等同翻譯,完成了初稿。

2、2011年5月18日至19日,正式召開上述三項國家標準編制工作啟動會

暨第一次標準編制組會,會上,主要對各標準范圍、主要內(nèi)容和框架、理解難

點以及三項標準中相關術語概念的協(xié)同處理等進行了交流和討論。根據(jù)會議討

論情況及存在的問題,安排對標準初稿進一步完善。

3、2011年6月至10月,各標準具體負責人根據(jù)5月會議討論決定,對標

準初稿文本進行了修改完善,形成了標準草案第一稿。

4、2011年11月24日至25日,標準編制組召開第二次標準編制組會,對

標準草案第一稿進行討論和研究,進一步修改完善,形成了標準草案第二稿。

5、2012年3月5日至6日,標準編制組召開第三次標準編制組會,對標準

草案第二稿進行討論和研究,進一步修改完善,形成了標準草案第三稿。

6、2012年4月起,就已形成的標準草案小范圍征求相關專家的意見和建議,

并根據(jù)專家意見和建議,本著對國際標準內(nèi)容理解更加準確、表達更加通暢等

原則,對標準草案第三稿進行了全面的校對,形成了目前的標準草案第四稿。

7、2012年8月28日,標準編制組召開專家意見征求會,一方面,提出標

準草案第四稿中的遺留問題,咨詢與會專家的意見和建議;同時另一方面,聽

取與會專家對標準草案第四稿的修改意見和建議。會后,根據(jù)與會專家的意見

和建議,對標準草案第四稿作了進一步修改完善,形成了標準草案第五稿。

8、2012年11月27日,標準編制組召開專家審查會,聽取了與會專家對標

準草案第五稿的修改意見和建議,并通過了專家審查。會后,根據(jù)與會專家的

意見和建議,對標準草案第五稿作了進一步修改完善,形成了標準草案第六稿。

9、2013年1月15日,通過了WG7組的全體成員投票工作會議,會后對文

本進行了修改完善,形成了征求意見稿。

2

二、編制原則和主要內(nèi)容

2.1編制原則

等同采用:基于目前國內(nèi)對國際ISMS標準族相關標準的研究和轉化情況,

以及我國整體信息安全管理理論和技術發(fā)展現(xiàn)狀,標準編制組認為有必要等同轉

化ISO/IEC27005,因此,決定等同采用國際標準ISO/IEC27005:2008《信息技

術安全技術信息安全風險管理》。

準確理解:在充分理解國際標準原文的基礎上進行等同翻譯,做到準確表

達原意。

語言通暢:在等同翻譯時,盡量符合中文的語言習慣,做到表述通暢。

2.2主要內(nèi)容

本標準為組織內(nèi)的信息安全風險管理提供指南,特別是支持根據(jù)GB/T

22080的ISMS要求。本標準支持GB/T22080所規(guī)約的一般概念,旨在有助于基

于風險管理方法來滿意地實現(xiàn)信息安全。知曉GB/T22080和GB/T22081中所描

述的概念、模型、過程和術語,對于完整地理解本標準是重要的。

本標準適用于各種類型的組織(例如,商務企業(yè)、政府機構、非盈利性組

織),這些組織期望管理可能危及其信息安全的風險。

然而,本標準不提供信息安全風險管理的任何特定方法。由組織來確定其

風險管理方法,這取決于,例如,組織的ISMS范圍、風險管理語境或所處行業(yè)。

一些現(xiàn)有的方法可在本標準描述的框架下使用,以實現(xiàn)ISMS的要求。

本標準內(nèi)容框架如下:

引言

1范圍

2規(guī)范性引用文件

3術語和定義

4本標準結構

5背景

6信息安全風險管理過程概述

7語境建立

7.1總體考慮

3

7.2基本準則

7.3范圍和邊界

7.4信息安全風險管理組織

8信息安全風險評估

8.1信息安全風險評估總體描述

8.2風險分析

8.3風險評價

9信息安全風險處置

9.1風險處置總體描述

9.2風險降低

9.3風險保留

9.4風險規(guī)避

9.5風險轉移

10信息安全風險接受

11信息安全風險溝通

12信息安全風險監(jiān)視和評審

12.1風險因素的監(jiān)視和評審

12.2風險管理監(jiān)視、評審和改進

附錄A(資料性附錄)確定信息安全風險管理過程的范圍和邊界

附錄B(資料性附錄)資產(chǎn)識別和估價以及影響評估

附錄C(資料性附錄)典型威脅示例

附錄D(資料性附錄)脆弱性和脆弱性評估方法

附錄E(資料性附錄)信息安全評估方法

附錄F(資料性附錄)風險降低的約束

參考文獻

三、主要試驗(或驗證)的分析、綜述報告,技術經(jīng)濟論證,預期的經(jīng)濟效果

本標準是一種方法指南,用于指導組織內(nèi)的信息安全風險管理,旨在通過

風險管理方法做到控制措施有效、成本效益合理地實現(xiàn)組織的信息安全,防止信

4

息安全風險可能給組織業(yè)務帶來的負面影響或利益損害。

四、采用國際標準和國外先進標準的程度,以及與國際、國外同類標準水平的

對比情況,或與測試的國外樣品、樣機的有關數(shù)據(jù)對比情況

本標準等同采用國際標準ISO/IEC27005:2008。

五、與有關的現(xiàn)行法律、法規(guī)和強制性國家標準的關系

本標準符合現(xiàn)有法律法規(guī)。本標準與現(xiàn)有國家標準GB/T22080:2008《信息

技術安全技術信息安全管理體系要求》、GB/T22081:2008《信息技術安全技

術信息安全管理實用規(guī)則》以及GB/T25067:2010《信息技術安全技術信息

安全管理體系審核認證機構的要求》都屬于信息安全管理體系標準族標準。GB/T

22080:2008提供了建立信息安全管理體系的模型及每個過程的具體活動,可供

用戶建立和實施滿足自身業(yè)務需求和安全需要的信息安全管理體系。GB/T

22081:2008提供了一套通用的安全控制目標和最佳實踐控制措施,可指導用戶

選擇和實施控制措施以實現(xiàn)信息安全。GB/T25067:2010為依據(jù)GB/T22080:2008

從事ISMS審核和認證的機構規(guī)定了要求并提供相關指導。本標準則為組織內(nèi)的

信息安全風險管理提供指導,特別是支持根據(jù)GB/T22080的ISMS要求。本標準

提出了方法性的建議和解釋,并未規(guī)定任何要求。本標準可與GB/T22080-2008

和GB/T22081-2008一起使用,但并未修改或降低GB/T22080-2008所規(guī)定的要

求或GB/T22081-2008所提出的建議。

六、重大分歧意見的處理經(jīng)過和依據(jù)

詳見意見匯總處理表。

七、國家標準作為強制性國家標準或推薦性國家標準的建議

建議本標準作為推薦性國家標準發(fā)布實施。

5

八、貫徹國家標準的要求和措施建議(包括組織措施、技術措施、過渡辦法等

內(nèi)容)

本標準通過風險管理方法,為國家標準GB/T22080:2008《信息技術安全

技術信息安全管理體系要求》和GB/T22081:2008《信息技術安全技術信息

安全管理實用規(guī)則》的有效、合理實施提供支持。因此,本標準貫徹實施時,應

與上述兩個標準結合在一起進行。

九、其他事項說明

本標準與國家標準

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論