[PDF] GB/T 31722-2015 - 自动发货. 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/T 31722-2015 | 495 | GB/T 31722-2015 | 9秒内发货PDF | 信息技术 安全技术 信息安全风险管理 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 31722-2015 (GB/T31722-2015) |
| 中文名称 | 信息技术 安全技术 信息安全风险管理 |
| 英文名称 | Information technology -- Security techniques -- Information security risk management |
| 行业 | 国家标准 (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.040 |
| 字数估计 | 47,476 |
| 发布日期 | 2015-06-02 |
| 实施日期 | 2016-02-01 |
| 引用标准 | GB/T 22080-2008; GB/T 22081-2008 |
| 采用标准 | ISO/IEC 27005-2008, IDT |
| 标准依据 | 国家标准公告2015年第19号 |
| 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
| 范围 | 本标准为信息安全风险管理提供指南。本标准支持GB/T 22080所规约的一般概念, 旨在为基于风险管理方法来符合要求地实现信息安全提供帮助。知晓GB/T 22080和GB/T 22081中所描述的概念、模型、过程和术语, 对于完整地理解本标准是重要的。本标准适用于各种类型的组织(例如, 商务企业、政府机构、非盈利性组织), 这些组织期望管理可能危及其信息安全的风险。 |
GB/T 31722-2015
Information technology - Security techniques - Information security risk management
ICS 35.040
L80
中华人民共和国国家标准
信息技术 安全技术
信息安全风险管理
(ISO/IEC 27005:2008,IDT)
2015-06-02发布
2016-02-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 本标准结构 2
5 背景 3
6 信息安全风险管理过程概述 3
7 语境建立 5
8 信息安全风险评估 7
9 信息安全风险处置 13
10 信息安全风险接受 16
11 信息安全风险沟通 16
12 信息安全风险监视和评审 17
附录A(资料性附录) 确定信息安全风险管理过程的范围和边界 19
附录B(资料性附录) 资产识别和估价以及影响评估 22
附录C(资料性附录) 典型威胁示例 28
附录D(资料性附录) 脆弱性和脆弱性评估方法 31
附录E(资料性附录) 信息安全评估方法 35
附录F(资料性附录) 风险降低的约束 40
参考文献 42
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准使用翻译法等同采用ISO/IEC 27005:2008《信息技术 安全技术 信息安全风险管理》(英
文版)。
本标准做了以下修改:
---对引言做了一些编辑性修改。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国电子技术标准化研究院、上海三零卫士信息安全有限公司、中电长城网际系
统应用有限公司、山东省计算中心、北京信息安全测评中心。
本标准主要起草人:许玉娜、闵京华、上官晓丽、董火民、赵章界、李刚、周鸣乐。
引 言
信息安全技术标准化组织(ISO/IEC JTC1SC27)制定的信息安全管理体系系列国际标准。ISMS标准
族旨在帮助各种类型和规模的组织,开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如,
财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的ISMS的独立评估做准备。
ISMS标准族包括的标准:a)定义了ISMS的要求及其认证机构的要求;b)提供了对整个“规划-实施-检
查-处置”(PDCA)过程和要求的直接支持、详细指南和(或)解释;c)阐述了特定行业的ISMS指南;d)阐
述了ISMS的一致性评估。
目前,ISMS标准族由下列标准组成:
---GB/T 29246-2012 信 息 技 术 安 全 技 术 信 息 安 全 管 理 体 系 概 述 和 词 汇
(ISO/IEC 27000:2009)
---GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC 27001:
2005)
---GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则(ISO/IEC 27002:2005)
---GB/T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南(ISO/IEC 27003:
2010)
---GB/T 31497-2015 信息技术 安全技术 信息安全管理 测量(ISO/IEC 27004:2009)
---GB/T 25067-2010 信息技术 安全技术 信息安全管理体系审核认证机构的要求(ISO/
IEC 27006:2007)
---ISO/IEC 27007:2011 信息技术 安全技术 信息安全管理体系审核指南
---ISO/IEC TR27008:2011 信息技术 安全技术 信息安全控制措施审核员指南
---ISO/IEC 27010:2012 信息技术 安全技术 行业间及组织间通信的信息安全管理
---ISO/IEC 27011:2008 信息技术 安全技术 基于ISO/IEC 27002的电信行业组织的信息
安全管理指南
---ISO/IEC 27013:2012 信息技术 安全技术 ISO/IEC 27001和ISO/IEC 20000-1集成实施
指南
---ISO/IEC 27014:2013 信息技术 安全技术 信息安全治理
---ISO/IEC TR27015:2012 信息技术 安全技术 金融服务信息安全管理指南
本标准作为ISMS标准族之一,为组织内的信息安全风险管理提供指南,特别是支持按照
GB/T 22080的ISMS要求。然而,本标准不提供信息安全风险管理的任何特定方法。由组织来确定
其风险管理方法,这取决于诸如组织的ISMS范围、风险管理语境或所处行业。一些现有的方法可在本
标准描述的框架下使用,以实现ISMS的要求。
本标准的相关方包括关心组织内信息安全风险的管理者和员工以及(在适当情况下)支持这种活动
的外部方。
信息技术 安全技术
信息安全风险管理
1 范围
本标准为信息安全风险管理提供指南。
本标准支持GB/T 22080所规约的一般概念,旨在为基于风险管理方法来符合要求地实现信息安
全提供帮助。
知晓GB/T 22080和GB/T 22081中所描述的概念、模型、过程和术语,对于完整地理解本标准是
重要的。
本标准适用于各种类型的组织(例如,商务企业、政府机构、非盈利性组织),这些组织期望管理可能
危及其信息安全的风险。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC 27001:2005,
IDT)
GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则(ISO/IEC 27002:2005,IDT)
3 术语和定义
GB/T 22080-2008和GB/T 22081-2008中界定的以及下列术语和定义适用于本文件。
3.1
影响 impact
对所达到业务目标的不利改变。
3.2
特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。
注:它以事态的可能性及其后果的组合来度量。
3.3
风险规避 riskavoidance
不卷入风险处境的决定或撤离风险处境的行动。
[ISO/IEC Guide73:2002]
3.4
风险沟通 riskcommunication
决策者和其他利益相关者之间关于风险的信息交换或共享。
[ISO/IEC Guide73:2002]
3.5
风险估算 riskestimation
为风险的可能性和后果赋值的活动。
[ISO/IEC Guide73:2002]
3.6
风险识别 riskidentification
发现和列出风险要素并描述其特征的活动。
[ISO/IEC Guide73:2002]
3.7
风险降低 riskreduction
为降低风险的可能性和(或)负面结果所采取的行动。
[ISO/IEC Guide73:2002]
3.8
风险保留 riskretention
对来自特定风险的损失或收益的接受。
[ISO/IEC Guide73:2002]
注:在信息安全风险的语境下,对于风险保留仅考虑负面后果(损失)。
3.9
风险转移 risktransfer
与另一方对风险带来的损失或收益的共享。
[ISO/IEC Guide73:2002]
注:在信息安全风险的语境下,对于风险转移仅考虑负面结果(损失)。
4 本标准结构
本标准描述了信息安全风险管理过程及其活动。
第5章提供了背景信息。
第6章给出了信息安全风险管理过程的总体概述。
第6章提出的所有信息安全风险管理活动在以下各章中依次进行了描述:
● 第7章 语境建立;
● 第8章 风险评估;
● 第9章 风险处置;
● 第10章 风险接受;
● 第11章 风险沟通;
● 第12章 风险监视与评审。
附录中给出了信息安全风险管理活动的其他信息。附录A(确定信息安全风险管理过程的范围和
边界)对语境建立提供支持。附录B(资产示例)、附录C(典型威胁示例)和附录D(典型脆弱性示例)讨
论了资产识别和估价以及影响评估。
附录E给出了信息安全风险评估方法的示例。
附录F给出了风险降低的约束。
第7章~第12章给出的所有风险管理活动的表述结构如下:
输入:标识执行该活动所需的任何信息。
动作:描述活动。
实施指南:为执行该动作提供指南。指南中的某些内容可能不适用于所有情况,因此执行该动作的
其他方法可能更合适。
输出:标识执行该活动后得到的任何信息。
5 背景
为识别组织的信息安全需求和创建有效的信息安全管理体系(ISMS),一种系统化的信息安全风险
管理方法是必要的。这种方法宜适用于该组织的环境,特别是与整个组织风险管理宜保持一致。安全
工作宜以有效和及时的方式在需要的地方和时候处理风险。信息安全风险管理宜是所有信息安全管理
活动中不可分割的一部分,并既应用于ISMS的实施,也应用于ISMS的持续运行。
信息安全风险管理宜是一个持续的过程。该过程宜建立语境,评估风险以及按风险处置计划进行
风险处置以实现相关的建议和决策。风险管理为将风险降低至可接受的水平,在决定宜做什么和什么
时候做之前,分析可能发生什么和可能的后果是什么。
信息安全风险管理将有助于:
● 识别风险;
● 以风险造成的业务后果和发生的可能性来评估风险;
● 沟通和理解这些风险的可能性和后果;
● 建立风险处置的优先顺序;
● 建立为降低风险发生所采取行动的优先级;
● 使利益相关方参与风险管理决策并持续告知风险管理状态;
● 监视风险处置的有效性;
● 监视和定期评审风险及风险管理过程;
● 获取信息以改进风险管理方法;
● 向管理者和员工传授风险知识以及减轻风险所采取的行动。
信息安全风险管理过程可应用于整个组织、组织的任何独立部分(例如,一个部门、一处物理位置、
一项服务)、任何信息系统、现有的或计划的或特定方面的控制措施(例如,业务持续性计划)。
6 信息安全风险管理过程概述
信息安全风险管理过程由语境建立(第7章)、风险评估(第8章)、风险处置(第9章)、风险接受(第
10章)、风险沟通(第11章)和风险监视与评审(第12章)组成。
如图1所示,信息安全风险管理过程可以迭代地进行风险评估和(或)风险处置活动。迭代方法进
行风险评估可在每次迭代时增加评估的深度和细节。该迭代方法在最小化识别控制措施所需的时间和
精力与确保高风险得到适当评估之间,提供了一个良好的平衡。
首先建立语境,然后进行风险评估。对于有效地确定将风险降低至可接受水平所需行动,如果风险
评估提供了足够的信息,那么就结束该风险评估,接下来进行风险处置。如果提供的信息不够充分,那
么将在修订的语境(例如,风险评价准则、风险接受准则或影响准则)下进行该风险评估的另一次迭代
(见图1,风险决策点1)。此次迭代可能是在整个范围的有限部分上进行。
风险处置的有效性取决于该风险评估的结果。风险处置后的残余风险可能不会立即达到一个可接受
的水平。在这种情况下,如果必要的话,可能需要在改变的语境参数(例如,风险评估准则、风险接受准则
或影响准则)下进行该风险评估的另一次迭代,以及随后的进一步风险处置(见图1,风险决策点2)。
风险接受活动要确保残余风险被组织的管理者明确地接受。在诸如由于成本而省略或推迟实施控
制措施的情况下,这点尤其重要。
在整个信息安全风险管理过程期间,重要的是将风险及其处置传达至适当的管理者和运行人员。
即使是风险处置前,已识别的风险信息对管理事件可能是非常有价值的,并可能有助于减少潜在损害。
管理者和员工的风险意识、缓解风险的现有控制措施的性质以及组织关注的领域,这些均有助于以最有
效的方式处理事件和意外情况。信息安全风险管理过程的每个活动以及来自两个风险决策点的详细结
果均宜记录在案。
GB/T 22080规定,ISMS的范围、边界和语境内所实施的控制措施应基于风险。信息安全风险管
理过程的应用能够满足这一要求。有许多方法可以在组织内成功地实施此过程。但无论什么方法,组
织宜为此过程的每一特定应用,选用最适合自身情况的方法。
在一个ISMS中,语境建立、风险评估、风险处置计划制定和风险接受是其“规划”阶段的全部。在
此ISMS的“实施”阶段,依据风险处置计划,实施将风险降低到可接受水平所需的行动和控制措施。在
此ISMS的“检查”阶段,管理者将根据事件和环境变化来确定风险评估和风险处置修订的需要。在“处
置”阶段,执行所需的任何行动,包括风险管理过程的再次应用。
图1 信息安全风险管理过程
表1总结了与ISMS过程的四个阶段相关的信息安全风险管理活动。
表1 ISMS和信息安全风险管理过程对照表
ISMS过程 信息安全风险管理过程
规划
语境建立
风险评估
风险处置计划制定
风险接受
实施 风险处置计划实施
检查 持续的风险监视与评审
处置 信息安全风险管理过程保持与改进
7 语境建立
7.1 总体考虑
输入:与信息安全风险管理语境建立相关的所有关于组织的信息。
动作:宜建立信息安全风险管理的语境,包括设定信息安全风险管理所必要的基本准则(7.2),确定
其范围和边界(7.3),并建立运行信息安全风险管理的一个适当组织(7.4)。
实施指南:
确定信息安全风险管理的目的是必不可少的,因为这会影响整个过程,尤其是语境建立。目的可
以是:
● 支持ISMS;
● 遵从法律和证明尽职;
● 准备业务持续性计划;
● 准备事件响应计划;
● 描述产品、服务或机制的信息安全要求。
支持ISMS所需的语境建立要素的实施指南在7.2、7.3和7.4中进一步讨论。
注:GB/T 22080没有使用术语“语境”。然而,第7章的所有内容都与GB/T 22080中规定的“确定ISMS的范围和
边界”[4.2.1a)]“确定ISMS方针”[4.2.1b)]和“确定风险评估方法”[4.2.1c)]要求有关。
输出:对信息安全风险管理过程的基本准则、范围和边界以及组织的规定。
7.2 基本准则
根据风险管理的范围和目标,可应用不同的方法。对于每次迭代,其方法可能是不同的。
宜选择或开发一个适当的风险管理方法来确立诸如风险评价准则、影响准则、风险接受准则等基本
准则。
另外,组织宜评估下述工作的必要资源是否可用:
● 执行风险评估,建立风险处置计划;
● 确定并实施策略和规程,包括实施所选的控制措施;
● 监视控制措施;
● 监视信息安全风险管理过程。
注:见GB/T 22080-2008中5.2.1有关实施和运行ISMS的资源供给。
风险评价准则
宜通过考虑如下因素,开发风险评价准则来评价组织的信息安全风险:
● 业务信息过程的战略价值;
● 所涉及信息资产的关键性;
● 法律法规和规章制度的要求,以及合同义务;
● 可用性、保密性和完整性对运营和业务的重要性;
● 利益相关方的期望和观点,以及对信誉和和名誉的负面结果。
另外,风险评价准则可被用于规定风险处置的优先级。
影响准则
宜通过考虑如下因素,从信息安全事态给组织带来的损害程度或代价的角度来开发和规定影响
准则:
● 受影响的信息资产的级别;
● 破坏信息安全(例如,保密性、完整性和可用性的丧失);
● 受损的运行(内部或第三方的);
● 业务和财务价值的损失;
● 计划中断和最终期限;
● 名誉损害;
● 违反法律法规、规章制度或合同要求。
注:见GB/T 22080-2008中4.2.1d)4)有关识别丧失保密性、完整性和可用性的影响准则。
风险接受准则
宜开发和规定风险接受准则。风险接受准则通常取决于组织的方针策略、目标和利益相关方的
利益。
组织宜对风险接受水平确定其自身的尺度。在开发中宜考虑以下因素:
● 对于一个期望的风险目标水平,风险接受准则可能包括多个阈值,但允许高级管理者在界定的
环境下接受高于这一水平的风险;
● 风险接受准则可能表示为估算收益(或其他商业利益)与估算风险的比率;
● 不同的风险接受准则可能适用于不同类别的风险,例如,不符合法律法规或规章制度的风险可
能不被接受,然而,如果高风险的接受作为一项合同要求有所规定,则可能允许接受高风险;
● 风险接受准则可能包括对将来附加处置的要求,例如,如果批准并承诺在确定的时间内采取行
动将风险降到可接受水平,则此风险可能被接受。
根据风险预计存在时间的长短,例如,风险可能与临时或短期的活动有关,风险接受准则可能不同。
风险接受准则的建立宜考虑以下因素:
● 业务准则;
● 法律法规和规章制度方面;
● 运行;
● 技术;
● 财务;
● 社会和人道主义因素。
注:风险接受准则对应于GB/T 22080-2008中4.2.1c)2)规定的“制定接受风险的准则,识别可接受的风险级
别”。
更多信息可参见附录A。
7.3 范围和边界
组织宜确定信息安全风险管理的范围和边界。
信息安全风险管理过程的范围需要被确定,以确保所有相关的资产在风险评估中都被考虑到。此
外,边界也需要被识别见GB/T 22080-2008中4.2.1a),以便考虑到通过这些边界可能引起的风险。
宜收集组织的相关信息,以决定其运营所处环境及其与信息安全风险管理过程的关联。
当确定范围和边界时,组织宜考虑以下信息:
● 组织的战略性业务目标、战略和策略;
● 业务过程;
● 组织的功能和结构;
● 适用于组织的法律法规和规章制度以及合同要求;
● 组织的信息安全方针;
● 组织的整体风险管理方法;
● 信息资产;
● 组织场所及其地理特征;
● 影响组织的制约因素;
● 利益相关方的期望;
● 社会文化环境;
● 接口(即与所处环境的信息交换)。
此外,组织宜对从范围中的任何排除提供正当理由。
风险管理范围的例子可能是某个IT应用、IT基础设施、某个业务过程或组织的某个界定部分。
注:信息安全风险管理的范围和边界与GB/T 22080-2008中4.2.1a)要求的ISMS范围和边界有关。
更多信息可参见附录A。
7.4 信息安全风险管理机构
宜建立并保持信息安全风险管理过程的机构及其职责。该机构的主要角色和职责如下:
● 开发适用于组织的信息安全风险管理过程;
● 识别和分析利益相关者;
● 确定组织内部和外部所有相关方的角色和职责;
● 建立组织和利益相关方之间所需要的联系,以及与组织高层风险管理功能(例如,运营风险管
理)的接口和与其他相关项目或活动的接口;
● 确定决策升级路径;
● 规范要保存的记录。
该机构宜得到适当的组织管理者的批准。
注:GB/T 22080要求确定并提供建立、实施、运行、监视、评审、保持和改进ISMS所需的资源GB/T 22080-2008中
5.2.1a)。风险管理运行机构可被看作GB/T 22080所要求的资源之一。
8 信息安全风险评估
8.1 信息安全风险评估总体描述
注:在GB/T 22080中,风险评估活动被称为过程。
输入:为信息安全风险管理过......
英文网页English: GB/T 31722-2015
相关标准: GB/T 31509|GB/T 37027|GB/T 19713|GB/T 31509|GB/T 31722-2015|GB/T 31722|