ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T31722—2025/ISO/IEC270052022

:

代替GB/T31722—2015

網(wǎng)絡(luò)安全技術(shù)信息安全風(fēng)險管理指導(dǎo)

Cybersecuritytechnology—Guidanceonmanaginginformationsecurityrisks

ISO/IEC270052022Informationsecuritcbersecuritandrivac

(:,y,yypy

rotection—GuidanceonmanaininformationsecuritrisksIDT

pggy,)

2025-08-01發(fā)布2026-02-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T31722—2025/ISO/IEC270052022

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

信息安全風(fēng)險相關(guān)術(shù)語

3.1……………1

信息安全風(fēng)險管理相關(guān)術(shù)語

3.2………………………4

文件結(jié)構(gòu)

4…………………5

信息安全風(fēng)險管理

5………………………6

信息安全風(fēng)險管理過程

5.1……………6

信息安全風(fēng)險管理循環(huán)

5.2……………7

環(huán)境建立

6…………………7

組織需考慮的事項

6.1…………………7

識別相關(guān)方的基本要求

6.2……………8

應(yīng)用風(fēng)險評估

6.3………………………8

建立和維護信息安全風(fēng)險準(zhǔn)則

6.4……………………8

選擇適當(dāng)?shù)姆椒?/p>

6.5……………………12

信息安全風(fēng)險評估過程

7…………………12

概述

7.1…………………12

信息安全風(fēng)險識別

7.2…………………13

信息安全風(fēng)險分析

7.3…………………14

信息安全風(fēng)險評價

7.4…………………16

信息安全風(fēng)險處置過程

8…………………17

概述

8.1…………………17

選擇適合的信息安全風(fēng)險處置選項

8.2………………17

確定實現(xiàn)信息安全風(fēng)險處置選項所需的所有控制

8.3………………18

比較確定的控制與中附錄中的控制

8.4GB/T22080—2025A……20

制定適用性聲明

8.5……………………20

信息安全風(fēng)險處置計劃

8.6……………21

運行

9………………………23

執(zhí)行信息安全風(fēng)險評估過程

9.1………………………23

執(zhí)行信息安全風(fēng)險處置過程

9.2………………………23

利用相關(guān)過程

10ISMS…………………23

Ⅰ

GB/T31722—2025/ISO/IEC270052022

:

組織環(huán)境

10.1…………………………23

領(lǐng)導(dǎo)和承諾

10.2………………………24

溝通和咨詢

10.3………………………24

文件化信息

10.4………………………25

監(jiān)視和評審

10.5………………………27

管理評審

10.6…………………………28

糾正措施

10.7…………………………28

持續(xù)改進

10.8…………………………28

附錄資料性支持風(fēng)險評估過程的技術(shù)示例

A()………30

信息安全風(fēng)險準(zhǔn)則

A.1………………30

實踐技術(shù)

A.2…………………………34

參考文獻

……………………48

圖信息安全風(fēng)險管理過程

1………………6

圖信息安全風(fēng)險評估組成部分

A.1……………………34

圖資產(chǎn)依賴關(guān)系圖的示例

A.2…………35

圖生態(tài)系統(tǒng)中相關(guān)方的識別

A.3………………………38

圖基于風(fēng)險場景的風(fēng)險評估

A.4………………………45

圖模型應(yīng)用的示例

A.5SFDT…………47

表后果標(biāo)度示例

A.1……………………30

表可能性標(biāo)度示例

A.2…………………31

表風(fēng)險準(zhǔn)則的定性方法示例

A.3………………………32

表對數(shù)型可能性標(biāo)度示例

A.4…………33

表對數(shù)型后果標(biāo)度示例

A.5……………33

表使用三色風(fēng)險矩陣的評價標(biāo)度示例

A.6……………34

表風(fēng)險源示例及常用攻擊方法

A.7……………………36

表用預(yù)期最終狀態(tài)表述動機分類的示例

A.8…………37

表攻擊目標(biāo)的示例

A.9…………………37

表典型威脅示例

A.10……………………39

表典型脆弱性示例

A.11…………………41

表兩種方法中風(fēng)險場景示例

A.12………………………45

表風(fēng)險場景和監(jiān)視風(fēng)險相關(guān)事態(tài)關(guān)系的示例

A.13……………………46

Ⅱ

GB/T31722—2025/ISO/IEC270052022

:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術(shù)安全技術(shù)信息安全風(fēng)險管理與

GB/T31722—2015《》,GB/T31722—

相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下

2015,,:

刪除了影響信息安全風(fēng)險風(fēng)險規(guī)避風(fēng)險估算等術(shù)語及其定義見年版的第章

a)“”“”“”“”(20153);

增加了風(fēng)險場景控制等術(shù)語及其定義見第章

b)“”“”(3);

刪除了背景見年版的第章

c)“”(20155);

增加了信息安全風(fēng)險管理循環(huán)見

d)“”(5.2);

更改了信息安全風(fēng)險評估過程增加了基于事態(tài)的方法基于資產(chǎn)的方法見第章

e)“”,“”“”(7,

年版的第章

20158);

增加了運行見第章

f)“”(9);

增加了利用相關(guān)過程見第章

g)“ISMS”(10)。

本文件等同采用信息安全網(wǎng)絡(luò)安全和隱私保護信息安全風(fēng)險管理指導(dǎo)

ISO/IEC27005:2022《》。

本文件做了下列最小限度的編輯性改動

:

為與我國技術(shù)標(biāo)準(zhǔn)體系協(xié)調(diào)將標(biāo)準(zhǔn)名稱改為網(wǎng)絡(luò)安全技術(shù)信息安全風(fēng)險管理指導(dǎo)

———,《》。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院北京安信天行科技有限公司中國網(wǎng)絡(luò)安全審查認(rèn)

:、、

證和市場監(jiān)管大數(shù)據(jù)中心中國合格評定國家認(rèn)可中心中國信息安全測評中心黑龍江省網(wǎng)絡(luò)空間研

、、、

究中心中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司山東省標(biāo)準(zhǔn)化研究院北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司

、、、、

廣州民航信息技術(shù)有限公司陜西省網(wǎng)絡(luò)與信息安全測評中心亞信科技成都有限公司南方電網(wǎng)數(shù)

、、()、

字電網(wǎng)集團信息通信科技有限公司新華三技術(shù)有限公司國網(wǎng)網(wǎng)安北京科技有限公司國家計算機

、、()、

網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司啟明星辰信息技術(shù)集團股份有限公司

、、、

北京神州綠盟科技有限公司中科信息安全共性技術(shù)國家工程研究中心有限公司杭州安恒信息技術(shù)股

、、

份有限公司公安部第一研究所北京山石網(wǎng)科信息技術(shù)有限公司民航成都電子信息技術(shù)有限責(zé)任公

、、、

司北京中金云網(wǎng)科技有限公司北京賽西認(rèn)證有限責(zé)任公司上海觀安信息技術(shù)股份有限公司上海三

、、、、

零衛(wèi)士信息安全有限公司北京時代新威信息技術(shù)有限公司西北工業(yè)大學(xué)國家能源集團新能源技術(shù)

、、、

研究院有限公司

。

本文件主要起草人許玉娜陳青民林陽薈晨王秉政付志高尤其范科峰李琳王琰方舟

:、、、、、、、、、、

曲家興白瑞閔京華公偉雷曉鋒白旭東楊婧婧陸麗王姣朱雪峰鄭耀宗李俊廖雙曉王健

、、、、、、、、、、、、、、

萬曉蘭李祉岐崔牧凡靳蒲胡月郝少碩胡建勛陳星呂由李秋香何伊圣馬勇程燕趙麗華

、、、、、、、、、、、、、、

謝江劉彪王連強王震高超張秋生李京呂方超

、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2015GB/T31722—2015;

本次為第一次修訂

———。

Ⅲ

GB/T31722—2025/ISO/IEC270052022

:

引言

本文件就以下方面提供指導(dǎo)

:

實現(xiàn)中規(guī)定的信息安全風(fēng)險管理要求應(yīng)對信息安全相關(guān)風(fēng)險的措施見

———GB/T22080—2025;(

中和第章

GB/T22080—20256.18);

在信息安全環(huán)境下實現(xiàn)中的風(fēng)險管理指導(dǎo)

———GB/T24353—2022。

本文件包含風(fēng)險管理的具體指導(dǎo)并對進行了補充

,GB/T31496—2023。

Ⅳ

GB/T31722—2025/ISO/IEC270052022

:

網(wǎng)絡(luò)安全技術(shù)信息安全風(fēng)險管理指導(dǎo)

1范圍

本文件提供了指導(dǎo)以幫助組織

,:

滿足有關(guān)應(yīng)對信息安全風(fēng)險活動的要求

———GB/T22080—2025;

實施信息安全風(fēng)險管理活動特別是信息安全風(fēng)險評估和處置

———,。

本文件適用于所有組織無論其類型規(guī)模或領(lǐng)域

,、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,