標準解讀

《GB/Z 24364-2009 信息安全技術(shù) 信息安全風險管理指南》是中國國家標準之一,旨在為組織提供一套系統(tǒng)的方法來管理信息安全風險。該標準基于國際標準ISO/IEC 17799:2005(現(xiàn)已被ISO/IEC 27002取代)中的風險管理原則,并結(jié)合了中國國情進行了適當調(diào)整。它涵蓋了從識別到評估再到處理信息安全風險的全過程。

首先,在風險管理過程方面,本標準定義了一個循環(huán)迭代的過程模型,包括建立背景、風險評估、風險處理以及監(jiān)督與評審四個主要階段。其中,建立背景是整個風險管理工作的起點,要求明確組織的信息安全需求和目標;風險評估階段則進一步細分為資產(chǎn)識別、脆弱性分析、威脅分析及風險評價等步驟;風險處理階段提供了接受、規(guī)避、轉(zhuǎn)移或減輕風險的具體策略;最后通過持續(xù)監(jiān)督與定期評審確保風險管理措施的有效性和適應性。

其次,對于每個階段,《GB/Z 24364-2009》都給出了詳細的指導建議和技術(shù)方法。例如,在進行資產(chǎn)識別時,不僅要考慮信息系統(tǒng)本身的價值,還需綜合考量其對業(yè)務連續(xù)性的影響程度;在執(zhí)行脆弱性分析過程中,則需要利用專業(yè)工具和技術(shù)手段全面檢測系統(tǒng)存在的潛在弱點;至于如何制定有效的風險緩解計劃,標準中也列舉了幾種常見的實踐做法供參考。

此外,《GB/Z 24364-2009》還強調(diào)了溝通與文檔化的重要性。在整個風險管理活動中,保持與利益相關者之間的良好溝通十分關鍵,這有助于提高決策質(zhì)量并獲得必要的支持。同時,所有重要的活動記錄都應該被妥善保存下來,以便于日后查閱或者作為審計依據(jù)。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現(xiàn)行標準GB/T 24364-2023
  • 2009-09-30 頒布
  • 2009-12-01 實施
?正版授權(quán)
GB/Z 24364-2009信息安全技術(shù)信息安全風險管理指南_第1頁
GB/Z 24364-2009信息安全技術(shù)信息安全風險管理指南_第2頁
GB/Z 24364-2009信息安全技術(shù)信息安全風險管理指南_第3頁
GB/Z 24364-2009信息安全技術(shù)信息安全風險管理指南_第4頁
GB/Z 24364-2009信息安全技術(shù)信息安全風險管理指南_第5頁
已閱讀5頁,還剩43頁未讀 繼續(xù)免費閱讀

下載本文檔

GB/Z 24364-2009信息安全技術(shù)信息安全風險管理指南-免費下載試讀頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準化指導性技術(shù)文件

犌犅/犣24364—2009

信息安全技術(shù)

信息安全風險管理指南

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犌狌犻犱犲犾犻狀犲狊犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狉犻狊犽犿犪狀犪犵犲犿犲狀狋

20090930發(fā)布20091201實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

犌犅/犣24364—2009

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4信息安全風險管理概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.1信息安全風險管理的范圍和對象!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.2信息安全風險管理的內(nèi)容和過程!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.3信息安全風險管理與信息系統(tǒng)生命周期和信息安全目標的關系!!!!!!!!!!!!!3

4.4信息安全風險管理相關人員的角色和責任!!!!!!!!!!!!!!!!!!!!!!4

5背景建立!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1背景建立概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.2背景建立過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.3背景建立文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6風險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.1風險評估概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.2風險評估過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

6.3風險評估文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7風險處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.1風險處理概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.2風險處理過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3風險處理文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8批準監(jiān)督!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.1批準監(jiān)督概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.2批準監(jiān)督過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.3批準監(jiān)督文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9監(jiān)控審查!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9.1監(jiān)控審查概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9.2監(jiān)控審查過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

9.3監(jiān)控審查文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

10溝通咨詢!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

10.1溝通咨詢概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

10.2溝通咨詢過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

10.3溝通咨詢文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

11信息系統(tǒng)規(guī)劃階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!!!27

11.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

11.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

12信息系統(tǒng)設計階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!!!29

犌犅/犣24364—2009

12.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

12.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

13信息系統(tǒng)實施階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!!!31

13.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

13.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

14信息系統(tǒng)運行維護階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!32

14.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

14.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

15信息系統(tǒng)廢棄階段的信息安全風險管理!!!!!!!!!!!!!!!!!!!!!!!34

15.1安全目標和安全需求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

15.2風險管理的過程與活動!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

附錄A(資料性附錄)風險處理參考模型及其需求和措施!!!!!!!!!!!!!!!!!36

A.1風險處理參考模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

A.2風險處理的需求和措施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

犌犅/犣24364—2009

前言

本指導性技術(shù)文件的附錄A為資料性附錄。

本指導性技術(shù)文件由全國信息安全標準化技術(shù)委員會提出并歸口。

本指導性技術(shù)文件起草單位:國家信息中心信息安全研究與服務中心、中國電信股份有限公司北京

研究院。

本指導性技術(shù)文件主要起草人:吳亞非、張鑒、范紅、劉蓓、趙陽。

犌犅/犣24364—2009

引言

一個機構(gòu)要利用其擁有的資源來完成其使命。在信息時代,信息成為第一戰(zhàn)略資源,更是起著至關

重要的作用。因此,信息資產(chǎn)的安全是關系到該機構(gòu)能否完成其使命的大事。資產(chǎn)與風險是天生的一

對矛盾,資產(chǎn)價值越高,面臨的風險就越大。信息資產(chǎn)有著與傳統(tǒng)資產(chǎn)不同的特性,面臨著新型風險。

信息安全風險管理的目的就是要緩解并平衡這一對矛盾,將風險控制到可接受的程度,保護信息及其相

關資產(chǎn),最終保證機構(gòu)能夠完成其使命。

信息安全風險管理是信息安全保障工作中的一項基礎性工作,主要表現(xiàn)在以下幾方面:

信息安全風險管理的思想和措施應體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等全方位。由于

在信息安全保障體系的技術(shù)、組織和管理等方面都存在著相關風險,因此,在信息安全保障體系中,技

術(shù)、組織、管理中均應引入風險管理的思想,準確地評估風險并合理地處理風險,共同實現(xiàn)信息安全保障

的目標。

信息安全風險管理的思想和措施應貫穿于信息系統(tǒng)生命周期的全部過程。信息系統(tǒng)生命周期包括

規(guī)劃、設計、實施、運維和廢棄五個階段。每個階段都存在著相關風險,同樣需要采用信息安全風險管理

的思想加以應對,采用風險管理的措施加以控制。

信息安全風險管理的思想和措施是貫徹信息安全等級保護制度的有力支撐。信息安全風險管理依

據(jù)信息安全等級保護的思想和原則,區(qū)分主次,平衡成本與效益,合理部署和利用信息安全的保護機制、

信任體系、監(jiān)控體系和應急處理等重要的基礎設施,選擇并確定合適的安全控制措施,從而保證機構(gòu)具

有完成其使命所需要的信息安全保障能力。

為落實國家加強信息安全保障工作的要求,為實施信息安全等級保護制度的需要,制定本指導性技

術(shù)文件。本指導性技術(shù)文件可與GB/T20984結(jié)合使用,并可作為機構(gòu)建立信息安全管理體系(ISMS)

的參考。

本指導性技術(shù)文件參考了ISO/IEC27005等國際信息安全風險管理的相關標準,并經(jīng)過國家有關

行業(yè)和地區(qū)的試點驗證。標準針對信息安全風險管理所涉及的背景建立、風險評估、風險處理、批準監(jiān)

督、監(jiān)控審查、溝通咨詢等不同過程進行了綜合性描述,對信息安全風險管理在信息系統(tǒng)生命周期各階

段的應用作了系統(tǒng)闡述。

本指導性技術(shù)文件條款中所指的“風險管理”,其含義均為“信息安全風險管理”。

本指導性技術(shù)文件中列出的帶書名號的文檔是示范性的,其格式和詳細內(nèi)容未作規(guī)范。

犌犅/犣24364—2009

信息安全技術(shù)

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權(quán),嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論