路径: 主页 > GB/T > 第206页 > GB/T 31722-2025 | 标准编号 | GB/T 31722-2025 (GB/T31722-2025) | | 中文名称 | 网络安全技术 信息安全风险管理指导 | | 英文名称 | Cybersecurity technology - Guidance on managing information security risks | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 54,534 | | 发布日期 | 2025-08-01 | | 实施日期 | 2026-02-01 | | 旧标准 (被替代) | GB/T 31722-2015 | | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | GB/T 31722-2025: 饲料中异噻唑啉酮类化合物的测定 液相色谱-串联质谱法
ICS 35.030
CCSL80
中华人民共和国国家标准
代替GB/T 31722-2015
网络安全技术 信息安全风险管理指导
2025-08-01发布
2026-02-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
3.1 信息安全风险相关术语 1
3.2 信息安全风险管理相关术语 4
4 文件结构 5
5 信息安全风险管理 6
5.1 信息安全风险管理过程 6
5.2 信息安全风险管理循环 7
6 环境建立 7
6.1 组织需考虑的事项 7
6.2 识别相关方的基本要求 8
6.3 应用风险评估 8
6.4 建立和维护信息安全风险准则 8
6.5 选择适当的方法 12
7 信息安全风险评估过程 12
7.1 概述 12
7.2 信息安全风险识别 13
7.3 信息安全风险分析 14
7.4 信息安全风险评价 16
8 信息安全风险处置过程 17
8.1 概述 17
8.2 选择适合的信息安全风险处置选项 17
8.3 确定实现信息安全风险处置选项所需的所有控制 18
8.4 比较确定的控制与GB/T 22080-2025中附录A中的控制 20
8.5 制定适用性声明 20
8.6 信息安全风险处置计划 21
9 运行 23
9.1 执行信息安全风险评估过程 23
9.2 执行信息安全风险处置过程 23
10 利用ISMS相关过程 23
10.1 组织环境 23
10.2 领导和承诺 24
10.3 沟通和咨询 24
10.4 文件化信息 25
10.5 监视和评审 27
10.6 管理评审 28
10.7 纠正措施 28
10.8 持续改进 28
附录A(资料性) 支持风险评估过程的技术示例 30
A.1 信息安全风险准则 30
A.2 实践技术 34
参考文献 48
图1 信息安全风险管理过程 6
图A.1 信息安全风险评估组成部分 34
图A.2 资产依赖关系图的示例 35
图A.3 生态系统中相关方的识别 38
图A.4 基于风险场景的风险评估 45
图A.5 SFDT模型应用的示例 47
表A.1 后果标度示例 30
表A.2 可能性标度示例 31
表A.3 风险准则的定性方法示例 32
表A.4 对数型可能性标度示例 33
表A.5 对数型后果标度示例 33
表A.6 使用三色风险矩阵的评价标度示例 34
表A.7 风险源示例及常用攻击方法 36
表A.8 用预期最终状态表述动机分类的示例 37
表A.9 攻击目标的示例 37
表A.10 典型威胁示例 39
表A.11 典型脆弱性示例 41
表A.12 两种方法中风险场景示例 45
表A.13 风险场景和监视风险相关事态关系的示例 46
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件代替GB/T 31722-2015《信息技术 安全技术 信息安全风险管理》,与GB/T 31722-
2015相比,除结构调整和编辑性改动外,主要技术变化如下:
a) 删除了“影响”“信息安全风险”“风险规避”“风险估算”等术语及其定义(见2015年版的第3章);
b) 增加了“风险场景”“控制”等术语及其定义(见第3章);
c) 删除了“背景”(见2015年版的第5章);
d) 增加了“信息安全风险管理循环”(见5.2);
e) 更改了“信息安全风险评估过程”,增加了“基于事态的方法”“基于资产的方法”(见第7章,
2015年版的第8章);
f) 增加了“运行”(见第9章);
g) 增加了“利用ISMS相关过程”(见第10章)。
本文件等同采用ISO/IEC 27005:2022《信息安全 网络安全和隐私保护 信息安全风险管理指导》。
本文件做了下列最小限度的编辑性改动:
---为与我国技术标准体系协调,将标准名称改为《网络安全技术 信息安全风险管理指导》。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:中国电子技术标准化研究院、北京安信天行科技有限公司、中国网络安全审查认
证和市场监管大数据中心、中国合格评定国家认可中心、中国信息安全测评中心、黑龙江省网络空间研
究中心、中电长城网际系统应用有限公司、山东省标准化研究院、北京天融信网络安全技术有限公司、
广州民航信息技术有限公司、陕西省网络与信息安全测评中心、亚信科技(成都)有限公司、南方电网数
字电网集团信息通信科技有限公司、新华三技术有限公司、国网网安(北京)科技有限公司、国家计算机
网络应急技术处理协调中心、中国联合网络通信集团有限公司、启明星辰信息技术集团股份有限公司、
北京神州绿盟科技有限公司、中科信息安全共性技术国家工程研究中心有限公司、杭州安恒信息技术股
份有限公司、公安部第一研究所、北京山石网科信息技术有限公司、民航成都电子信息技术有限责任公
司、北京中金云网科技有限公司、北京赛西认证有限责任公司、上海观安信息技术股份有限公司、上海三
零卫士信息安全有限公司、北京时代新威信息技术有限公司、西北工业大学、国家能源集团新能源技术
研究院有限公司。
本文件主要起草人:许玉娜、陈青民、林阳荟晨、王秉政、付志高、尤其、范科峰、李琳、王琰、方舟、
曲家兴、白瑞、闵京华、公伟、雷晓锋、白旭东、杨婧婧、陆丽、王姣、朱雪峰、郑耀宗、李俊、廖双晓、王健、
万晓兰、李祉岐、崔牧凡、靳蒲、胡月、郝少硕、胡建勋、陈星、吕由、李秋香、何伊圣、马勇、程燕、赵丽华、
谢江、刘彪、王连强、王震、高超、张秋生、李京、吕方超。
本文件及其所代替文件的历次版本发布情况为:
---2015年首次发布为GB/T 31722-2015;
---本次为第一次修订。
引 言
本文件就以下方面提供指导:
---实现GB/T 22080-2025中规定的信息安全风险管理要求;应对信息安全相关风险的措施(见
GB/T 22080-2025中6.1和第8章);
---在信息安全环境下实现GB/T 24353-2022中的风险管理指导。
本文件包含风险管理的具体指导,并对GB/T 31496-2023进行了补充。
网络安全技术 信息安全风险管理指导
1 范围
本文件提供了指导,以帮助组织:
---满足GB/T 22080-2025有关应对信息安全风险活动的要求;
---实施信息安全风险管理活动,特别是信息安全风险评估和处置。
本文件适用于所有组织,无论其类型、规模或领域。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
注:GB/T 29246-2023 信息安全技术 信息安全管理体系 概述和词汇(ISO/IEC 27000:2018,IDT)
3 术语和定义
ISO/IEC 27000界定的以及下列术语和定义适用于本文件。
ISO 和IEC 维护用于标准化的术语数据库,地址如下:
---ISO 在线浏览平台:http://www.iso.org/obp;
3.1 信息安全风险相关术语
3.1.1
外部环境 externalcontext
组织寻求其目标实现所处的外部状况。
注:外部环境包括以下内容:
---国际、国内、区域或地方的社会、文化、政治、法律、监管、金融、技术、经济、地质环境;......
|